Két módszer az internetes támadások számának radikális csökkentésére

Az IEEE tudományos találkozóján adták elő a diákok elgondolásaikat, melyek a hálózati szoftverekben való egyszerű módosításokra vonatkoztak. Ezek révén – állítják a diákok – elejét lehetne venni a nagyszabású denial of service (DoS) támadásoknak. A siker kulcsa abban rejlik, hogy a jelenleg használt Internet protokollnak implementálnia kell(ene) a változtatásokat.

Három fajtára oszthatók a DoS támadások: az első típusba azon akciók tartoznak, melyek a célpont webszerverének egészét lebénítják például hiteles adatokkal való elárasztással. A második csoportot azon támadások alkotják, melyek a célrendszer szabad memóriáját fogyasztják el pillanatok alatt, lefagyasztva a szervert. Végül a harmadik típusba a biztonsági hibákat és réseket kihasználó támadások tartoznak. A két megoldás az első két csoportba tartozó DoS támadások ellen jelenthet védelmet.

Az első megoldás

Abraham Yaar az első típusra, azaz az adatokkal való elárasztás problémájára kínál választ. Az internetes adatok fejléce (amelyek révén például az e-mailek eljutnak a feladótól a címzettig) számos kihasználatlan bitet tartalmaz, ezeket egy úgynevezett ujjlenyomatként lehetne használni. Ennek révén nyomon követhető lenne, milyen útvonalon érkezett az adat – támadás esetén pedig egyszerűen le lehetne tiltani azokat a régiókat, ahonnan az elárasztás érkezik. Yaar véleménye szerint még abban az esetben is, amikor a normális adatforgalom 170-szeresét generálják a támadók, a szerver kapacitásának 60 százalékát tudja az egyéb felhasználókra fordítani.

A második megoldás

A második csoportba sorolt DoS támadásokra talált megoldást egy másik diák – aki ezt kirakós eljárásnak (puzzle method) nevezte el. Ennek lényege, hogy a szerverek olyan logikai kirakók megoldására kényszerítsék a bejövő kérelmeket küldő számítógépeket, melyek kivitelezése (processzor)időbe kerül. Ennek révén megállíthatók az ilyen támadások, hiszen a túl sok kérelem jóval inkább leterhelné a támadó számítógépeket, semmint hogy képesek legyenek ˝felfalni˝ a szabad memóriát. Ez az eljárás egyébként a spammerek tekintetében is megoldást hozhatna.

Az ez utóbbi technikát javasló Xiao Feng Wang elmondása szerint a ˝hétköznapi´ felhasználók ebből semmi változást nem érzékelnének, hiszen egy-egy kérelem ilyentén feladatok elé való állítása még nem terheli meg észrevehetően a felhasználók számítógépeit.

És a problémák

Mindkét megoldásnak elismeréssel adóztak a szimpóziumon, ugyanakkor felvetődött egy fontos probléma: ezek az eljárások csak akkor működnek, ha a támadók az eddig megszokott mennyiségű zombi-számítógépel lépnek akcióba: ha azonban egy sikeres támadás kivitelezéséhez a jövőben már például 15-ször több PC megszerzésére van szükség, az sem lehetetlen feladat.