федеральное государственное автономное образовательное учреждение высшего образования
«Самарский национальный исследовательский университет имени академика С.П. Королева»

Свежие новости

События

Ученые Самарского университета им. Королёва разработали эффективный способ защиты от хакерских атак

Ученые Самарского университета им. Королёва разработали эффективный способ защиты от хакерских атак

Самарский университет

В создании электронного "щита" также участвовали ученые из Севастополя и США

Сухов Андрей Майхуб Самара разработки Наука IT международное сотрудничество кафедра суперкомпьютеров и общей информатики Соколов Алексей
10.08.2023 2023-09-11

Ученые Самарского университета им. Королёва совместно с коллегами из Севастопольского государственного университета и университета Миссури (г. Колумбия, США) разработали эффективный способ защиты от хакерских атак. С помощью данного метода можно значительно улучшить защиту Интернет-сайтов от так называемых DDoS-атак с DNS-усилением - в настоящее время это один из наиболее популярных у злоумышленников видов атак, в результате которых сайты и внутренние сети компаний и организаций становятся на время недоступными для пользователей.

Разработка ученых отличается оригинальностью подхода, быстродействием автоматического срабатывания защиты и почти стопроцентной непробиваемостью "брони", что значительно превосходит показатели подобного программного обеспечения, представленного на рынке. Подробностям устройства самарского электронного "щита" посвящена статья, опубликованная в авторитетном международном журнале Journal of Communications and Information Networks.

В очень упрощенном виде типичную DDoS-атаку с DNS-усилением можно сравнить с метанием снежков. Хакер исподтишка бросает снежок (пакет данных с запросом) в спину спортсмену-качку (DNS-серверу). Спортсмен недоуменно оборачивается, а хакер его уверяет: "Это не я бросил, это вот он" - и показывает на идущего мимо прохожего, которого хакер и выбрал в качестве своей жертвы, решив использовать для нападения силу спортсмена-качка (DNS-усиление).

Дело в том, что каждый такой "снежок" в виртуальном мире именной, на нем как бы стоит подпись того, кто его слепил и бросил. Хакер подделывает подпись прохожего на своем снежке, спортсмен видит, что да, судя по подписи, бросил вон тот прохожий, и обрушивает в ответ на ни в чем не повинного человека (сайт-жертву) огромную снежную глыбу весом в десятки раз больше, чем тот снежок, что был брошен хакером. В результате прохожий весь в снегу, оглушен и практически без чувств.

А теперь представьте, что такая сценка повторяется тысячи или миллионы раз и продолжается часы или целые сутки. "Оглушенный" сайт, выбранный в качестве жертвы, становится недоступен пользователям. Покупатели, например, не могут зайти в Интернет-магазин и уходят к конкурентам, банк не может получить платежи, пользователи сайта остаются без необходимой им информации и так далее, сплошные убытки и проблемы из-за DDoS-атак. По данным из открытых источников, интенсивность DDoS-атак в мире в 2022 году выросла в десятки раз по сравнению с предыдущим годом, а количество атак на Рунет увеличилось на 700%.

"Атаки распределенного отказа в обслуживании (DDoS) с усилением системы доменных имен (DNS) являются одним из популярных типов вторжений, которые включают обращение злоумышленников к DNS-серверам от имени жертвы. При этом размер ответа DNS-сервера во много раз превышает размер поступившего запроса, то есть, атакуемый сервер буквально заваливают огромными пакетами данных и он прекращает работать. Нами представлен оригинальный метод противодействия DDoS-атакам с усилением DNS. Новизна подхода заключается в том, что мы предлагаем анализировать не входящий, как обычно, а исходящий с сервера-жертвы трафик. DNS-серверы, используемые хакерами для таких атак, можно легко автоматически выявить и заблокировать по заголовкам пакетов ICMP, которые начинает отправлять сервер, попавший под атаку", - рассказал один из авторов разработки, профессор кафедры суперкомпьютеров и общей информатики Самарского университета им. Королёва Андрей Сухов.

Попав под атаку, сервер-жертва начинает бросать в ответ DNS-серверу небольшие специальные "снежки" - пакеты протокола ICMP (Internet Control Message Protocol), вот их-то и анализирует система защиты, предложенная самарскими учеными. Вместо того, чтобы пытаться проанализировать весь трафик, в том числе большие "снежные глыбы", заваливающие сервер и отнимающие у него последние силы и ресурсы, система защиты легко и быстро определяет по заголовкам маленьких исходящих пакетов, с какого именно DNS-сервера ведется атака, и временно блокирует его адреса - бросаемые глыбы больше не попадают в прохожего, атакуемый сайт продолжает работать.

"DNS-серверы, используемые для атак с усилением, легко обнаруживаются по заголовкам пакетов ICMP (тип 3, код 3) исходящего трафика. Пакеты этого типа генерируются при доступе к закрытым портам сервера-жертвы. Для предотвращения таких атак мы использовали Linux-утилиту и модуль программно-определяемой сети (SDN), который был ранее разработан нами для защиты от сканирования портов. В ходе испытаний Linux-утилита показала наивысшую эффективность защиты, равную 99,8%, то есть, до атакуемого сервера дошли только два пакета атаки из тысячи отправленных", - подчеркнула доцент кафедры суперкомпьютеров и общей информатики Самарского университета им. Королёва Самара Майхуб.

Для проведения тестовых испытаний был создан компьютерный полигон, в рамках которого специальная программа - утилита Saddam - производила атаку на сервер-жертву, используя для усиления запросов DNS-сервер. Собранный на атакуемом сервере трафик использовался для анализа всех аспектов противодействия атаке.

"Результаты испытаний показали, что разработанное нами программное обеспечение можно использовать в практических целях не только для защиты серверов от любых DDoS-атак с усилением, но и для противодействия любой атаке, в ходе которой происходит сканирование портов", - отметил Андрей Сухов.


Справочно

DNS-серверы (англ. Domain Name System "система доменных имён") - серверы в Интернете, благодаря которым обеспечивается связь между наименованием сайта и его цифровым адресом. DNS-сервер можно сравнить с телефонной книгой или списком контактов - чтобы зайти на необходимый вам сайт, ваш компьютер делает перед этим запрос на DNS-сервер.

Текст: Алексей Соколов