Onderzoekers hebben software ontwikkeld waarmee gedistribueerde denial-of-service aanvallen (DDoS) geblokkeerd kunnen worden zonder dat het RAM-geheugen en de processor onder de belasting hoeven te lijden. Het filter, dat schuil gaat onder de naam ‘identity based privacy-protected access control’ (IPCAF) houdt ook session hijacking, dictionary attacks en man-in-the-middle attacks tegen, melden de onderzoekers die werkzaam zijn aan de Auburn University in de Amerikaanse staat Alabama.

De nieuwe methode wordt aangeraden als vervanging van IP-adres filtering, wat soms wordt gebruikt om DDoS-aanvallen te blokkeren. Vaak wordt deze vorm van bescherming echter omzeild door gespoofte IP-adressen. Volgens hoogleraar Chang-Hwa “John” Wu van de universiteit wordt met deze methode het aantal gebruikte resources op aangevallen machines drastisch teruggebracht.

Slim resource management

Met IPCAF krijgen geautoriseerde gebruikers eenmalig een gebruikersnaam met bijbehorend wachtwoord om zich kenbaar te maken voor de server die ze proberen te bereiken. Daarna worden in de verbinding pseudonieme ID’s en packet-field values opgezet zodat TCP/IP-pakketjes over de verbinding per stuk geautoriseerd worden. De ontvangende machine checkt simpelweg de pakketjes waarna deze bepaalt of het legitieme data is of niet. Alleen wanneer goede pakketjes worden ontdekt, ruimt de server meer CPU- en RAM-resources in om de volgende stroom aan pakketjes van dezelfde client-computer te verwerken.

Bij DDoS-aanvallen kunnen grote sites als Twitter en Bitbucket relatief gemakkelijk neergehaald worden door een enorme stroom aan pakketten vanaf verschillende computers naar de server te versturen. De uitdaging tot nog toe was om een manier te vinden die voorkwam dat de aangevallen machine veel CPU en RAM ging gebruiken om uit te maken of pakketjes legitiem zijn of niet. Intussen zijn er wel systemen ontwikkeld die ongewilde pakketten kunnen filteren, maar die zijn duur en vereisen het nodige management en onderhoud, vertelt Wu.

IPCAF draait op servers- en cliëntsystemen zonder dat het grote impact heeft op de prestaties van de machines. In een test met IPCAF steeg de CPU-belasting van 10,21 procent (in idle) tot 11,78 procent bij een DDoS-aanval. Volgens Wu kunnen x86-processors pakketjes met behulp van IPCAF in 6 nanoseconde identificeren. In een normale situatie vergt het herkennen van TCP/IP-pakketjes enkele milliseconden. Ter vergelijking: dat is ongeveer een miljoen keer trager.

Hash-filter

Om processorkracht te besparen hanteert IPCAF een lichtgewicht methode om hashing toe te passen. Deze methode, genaamd Hash-based Message Authentication Code (HMAC), creëert de waarde waarop het filter vervolgens controleert. De datapakketten hoeven dus niet eerst helemaal te worden doorgenomen.

Wu verklaart dat in labtests een 10Gb-verbinding gevuld werd met legitiem verkeer, waarna later werd overgeschakeld naar DDoS. De vertraging in het netwerk nam 30 nanoseconden toe. “Voor de mens is dat geen verschil”, zegt de onderzoeker. Volgens de hoogleraar is het doel van het onderzoek om een commerciële versie van de software voor bedrijven te ontwikkelen. Wanneer dat gaat gebeuren, kon John Wu nog niet zeggen. Momenteel werkt het team onderzoekers aan een methode om de herkomst van DDoS-aanvallen beter te kunnen herleiden.

Bron: Techworld