В Самарском вузе разработали новый способ защиты от хакерских атак
. Электронный «щит» показал эффективность почти 100% в ходе испытанийВ Самаре разработали электронный «щит» от хакерских атак с эффективностью почти 100%
Эффективный способ защиты интернет-сайтов от хакерских атак разработали в Самарском университете им. Королева совместно с коллегами из Севастопольского государственного университета и Университета Миссури ( (Колумбия, США). Как пояснили редакции РБК Life в самарском вузе, их ноу-хау позволит значительно улучшить защиту от так называемых DDoS-атак с DNS-усилением.
Сейчас это один из наиболее популярных у злоумышленников видов атак, в результате которых сайты и внутренние сети компаний и организаций становятся на время недоступными для пользователей.
Подробно об устройстве самарского электронного «щита» говорится в статье, опубликованной в авторитетном международном журнале Journal of Communications and Information Networks.
В вузе заявляют, что их разработка отличается «оригинальностью подхода, быстродействием автоматического срабатывания защиты и почти стопроцентной непробиваемостью «брони», что значительно превосходит показатели подобного программного обеспечения, представленного на рынке».
Для простоты понимания там привели пример, сравнив типичную DDoS-атаку с DNS-усилением и метание снежков.
Суть хакерской атаки
Хакер исподтишка бросает снежок (пакет данных с запросом) в спину спортсмену-качку. Этим спортсменом выступает в данном случае DNS-сервер, который можно сравнить с телефонной книгой или списком контактов: чтобы зайти на необходимый пользователю сайт, компьютер делает перед этим запрос на DNS-сервер. Спортсмен недоуменно оборачивается, а хакер его уверяет: «Это не я бросил, это вот он» — и показывает на идущего мимо прохожего, которого хакер и выбрал в качестве своей жертвы, решив использовать для нападения силу спортсмена-качка (DNS-усиление).
Каждый такой «снежок» в виртуальном мире именной, на нем как бы стоит подпись того, кто его слепил и бросил. Хакер подделывает подпись прохожего на своем снежке, спортсмен судит по подписи, что бросил прохожий, и обрушивает в ответ на ни в чем не повинного человека (сайт-жертву) огромную снежную глыбу весом в десятки раз больше, чем тот снежок, что был брошен хакером. В результате прохожий весь в снегу, оглушен и практически без чувств.
Такая ситуация может повторяться тысячи или миллионы раз и продолжаться часами и сутками. «Оглушенный» сайт-жертва становится недоступен пользователям. Другими словами, покупатели не могут зайти в интернет-магазин и уходят к конкурентам, банк не может получить платежи, пользователи сайта остаются без необходимой им информации и так далее. Владельцы сайтов и ресурсов получают убытки и проблемы из-за DDoS-атак.
Примечательно: интенсивность DDoS-атак в мире в 2022 году выросла в десятки раз по сравнению с предыдущим годом, а количество атак в Рунете увеличилось на 700%.
Электронный «щит»
«Нами представлен оригинальный метод противодействия DDoS-атакам с усилением DNS. Новизна подхода заключается в том, что мы предлагаем анализировать не входящий, как обычно, а исходящий с сервера-жертвы трафик. DNS-серверы, используемые хакерами для таких атак, можно легко автоматически выявить и заблокировать по заголовкам пакетов ICMP, которые начинает отправлять сервер, попавший под атаку», — рассказал один из авторов разработки, профессор кафедры суперкомпьютеров и общей информатики Самарского университета им. Королева Андрей Сухов.
Попав под атаку, сервер-жертва начинает бросать в ответ DNS-серверу небольшие специальные «снежки» — пакеты протокола ICMP (Internet Control Message Protocol), вот их-то и анализирует система защиты, предложенная самарскими учеными.
Вместо того чтобы пытаться проанализировать весь трафик, в том числе большие «снежные глыбы», заваливающие сервер и отнимающие у него последние силы и ресурсы, система защиты легко и быстро определяет по заголовкам маленьких исходящих пакетов, с какого именно DNS-сервера ведется атака, и временно блокирует его адреса — бросаемые «глыбы» больше не попадают в «прохожего», атакуемый сайт продолжает работать.
«DNS-серверы, используемые для атак с усилением, легко обнаруживаются по заголовкам пакетов исходящего трафика. Пакеты этого типа генерируются при доступе к закрытым портам сервера-жертвы. Для предотвращения таких атак мы использовали Linux-утилиту и модуль программно-определяемой сети (SDN), который был ранее разработан нами для защиты от сканирования портов. В ходе испытаний Linux-утилита показала наивысшую эффективность защиты, равную 99,8%, то есть до атакуемого сервера дошли только два пакета атаки из тысячи отправленных», — говорит доцент кафедры суперкомпьютеров и общей информатики Самарского университета Самара Майхуб.
Для проведения тестовых испытаний был создан компьютерный полигон, в рамках которого специальная программа — утилита Saddam — производила атаку на сервер-жертву, используя для усиления запросов DNS-сервер. Собранный на атакуемом сервере трафик использовался для анализа всех аспектов противодействия атаке.
«Результаты испытаний показали, что разработанное нами программное обеспечение можно использовать в практических целях не только для защиты серверов от любых DDoS-атак с усилением, но и для противодействия любой атаке, в ходе которой происходит сканирование портов», — отметил Андрей Сухов.
Из стран на первом месте по количеству DDoS-атак находится Китай, говорится в исследовании разработчика систем защиты от угроз информационной безопасности «Гарда Технологии». Россия, в свою очередь, в 2022 году вошла в топ-5 стран, которые подвергались DDoS-атакам, направленным на коммерческие структуры и государственные предприятия, следует из данных поставщика услуг информационной безопасности StormWall. Всего на страну пришлось 8,4% от общего количества DDoS-атак на все страны мира.
В начале июля массированной хакерской атаке подверглись сайт и мобильное приложение РЖД. В компании тогда отметили, что инцидент не сказался на работе касс и продажа билетов производилась в обычном режиме.
