Onderzoekers van een Amerikaanse universiteit hebben software ontwikkeld waarmee gedistribueerde denial-of-service aanvallen (DDoS) zijn te blokkeren. Deze methode zorgt niet voor extra belasting op het geheugen of de processor van servers. Het filter, dat schuil gaat onder de naam ‘identity based privacy-protected access control’ (IPCAF), weert ook andere aanvallen af. Dit omvat session hijacking, dictionary attacks en man-in-the-middle attacks, melden de onderzoekers van de Auburn University in de Amerikaanse staat Alabama.

De nieuwe methode wordt aangeraden als vervanging van IP-adres filtering, wat soms wordt gebruikt om DDoS-aanvallen te blokkeren. Vaak wordt deze vorm van bescherming echter omzeild door gespoofte IP-adressen. Volgens hoogleraar Chang-Hwa 'John' Wu van de universiteit wordt met deze methode de hoeveelheid gebruikte resources op aangevallen machines drastisch teruggebracht.

Inlog vereist

Met IPCAF krijgen geautoriseerde gebruikers eenmalig een gebruikersnaam met bijbehorend wachtwoord om zich kenbaar te maken voor de server die ze proberen te bereiken. Vervolgens wordt die login meegenomen in de tcp/ip-pakketjes van de bezoeker aan de site. Daarvoor worden in de verbinding pseudonieme ID’s en packet-field values opgezet zodat de tcp/ip-pakketten per stuk geautoriseerd worden.

De ontvangende machine checkt simpelweg de pakketjes waarna deze bepaalt of het legitieme data is of niet. Alleen wanneer goede pakketjes worden ontdekt, ruimt de server meer processorkracht en geheugenruimte in om de volgende stroom aan pakketjes van dezelfde clientcomputer te verwerken.

Overspoelen

DDoS-aanvallen kunnen grote sites als Twitter en Bitbucket relatief makkelijk neerhalen door een enorme stroom aan pakketten vanaf verschillende computers naar de server of servers van het doelwit te versturen. Het probleem tot nog toe was een manier te vinden om te voorkomen dat de aangevallen machine veel processor- en geheugencapaciteit ging gebruiken om uit te maken of pakketjes legitiem zijn of niet. Intussen zijn er wel systemen ontwikkeld die ongewilde pakketten kunnen filteren, maar die zijn duur en vereisen het nodige management en onderhoud, vertelt Wu.

IPCAF draait op servers- en clientsystemen zonder dat het grote impact heeft op het prestatieniveau van de machines. In een test met IPCAF steeg de processorbelasting van 10,21 procent (in idle toestand) naar 11,78 procent bij een DDoS-aanval. Volgens Wu kunnen x86-processors pakketjes met behulp van IPCAF in 6 nanosecondes identificeren. In een normale situatie vergt het herkennen van tcp/ip-pakketjes enkele milliseconden. Ter vergelijking: dat is ongeveer een miljoen keer trager.

Lichtgewicht filter

Om processorkracht te besparen, hanteert IPCAF een lichtgewicht methode om de tcp/ip-pakketten te controleren. Deze hashing-methode, genaamd Hash-based Message Authentication Code (HMAC), creëert de waarde waar het filter dan op controleert. De datapakketten hoeven dus niet eerst helemaal te worden doorgenomen.

Wu vertelt dat in labtests een verbinding van 10 Gbps (gigabit per seconde) eerst verzadigd werd met legitiem verkeer, waarna DDoS-pakketten daaraan werden toegevoegd. De vertraging (latency) in het netwerk steeg daardoor 30 nanoseconden. Voor mensen valt dat verschil niet op, zegt de onderzoeker.

In ontwikkeling

De hoogleraar vertelt dat het doel van dit onderzoek is een commerciële versie van de software voor bedrijven te ontwikkelen. Wanneer dat gaat gebeuren, kan Wu nog niet zeggen. Momenteel werkt het team onderzoekers aan een methode om de herkomst van DDoS-aanvallen beter te herleiden.

Bron: Techworld.nl.