Разработка ученых отличается оригинальностью подхода, быстродействием автоматического срабатывания защиты и почти стопроцентной непробиваемостью "брони", что значительно превосходит показатели подобного программного обеспечения, представленного на рынке. Подробностям устройства самарского электронного "щита" посвящена статья, опубликованная в авторитетном международном журнале Journal of Communications and Information Networks.

В очень упрощенном виде типичную DDoS-атаку с DNS-усилением можно сравнить с метанием снежков. Хакер исподтишка бросает снежок (пакет данных с запросом) в спину спортсмену-качку (DNS-серверу). Спортсмен недоуменно оборачивается, а хакер его уверяет: "Это не я бросил, это вот он" — и показывает на идущего мимо прохожего, которого хакер и выбрал в качестве своей жертвы, решив использовать для нападения силу спортсмена-качка (DNS-усиление).

Дело в том, что каждый такой "снежок" в виртуальном мире именной, на нем как бы стоит подпись того, кто его слепил и бросил. Хакер подделывает подпись прохожего на своем снежке, спортсмен видит, что да, судя по подписи, бросил вон тот прохожий, и обрушивает в ответ на ни в чем не повинного человека (сайт-жертву) огромную снежную глыбу весом в десятки раз больше, чем тот снежок, что был брошен хакером. В результате прохожий весь в снегу, оглушен и практически без чувств.

А теперь представьте, что такая сценка повторяется тысячи или миллионы раз и продолжается часы или целые сутки. "Оглушенный" сайт, выбранный в качестве жертвы, становится недоступен пользователям. Покупатели, например, не могут зайти в Интернет-магазин и уходят к конкурентам, банк не может получить платежи, пользователи сайта остаются без необходимой им информации и так далее, сплошные убытки и проблемы из-за DDoS-атак. По данным из открытых источников, интенсивность DDoS-атак в мире в 2022 году выросла в десятки раз по сравнению с предыдущим годом, а количество атак на Рунет увеличилось на 700%.

"Атаки распределенного отказа в обслуживании (DDoS) с усилением системы доменных имен (DNS) являются одним из популярных типов вторжений, которые включают обращение злоумышленников к DNS-серверам от имени жертвы. При этом размер ответа DNS-сервера во много раз превышает размер поступившего запроса, то есть, атакуемый сервер буквально заваливают огромными пакетами данных, и он прекращает работать. Нами представлен оригинальный метод противодействия DDoS-атакам с усилением DNS. Новизна подхода заключается в том, что мы предлагаем анализировать не входящий, как обычно, а исходящий с сервера-жертвы трафик. DNS-серверы, используемые хакерами для таких атак, можно легко автоматически выявить и заблокировать по заголовкам пакетов ICMP, которые начинает отправлять сервер, попавший под атаку", — рассказал один из авторов разработки, профессор кафедры суперкомпьютеров и общей информатики Самарского университета им. Королева Андрей Сухов.

Попав под атаку, сервер-жертва начинает бросать в ответ DNS-серверу небольшие специальные "снежки" — пакеты протокола ICMP (Internet Control Message Protocol), вот их-то и анализирует система защиты, предложенная самарскими учеными. Вместо того чтобы пытаться проанализировать весь трафик, в том числе большие "снежные глыбы", заваливающие сервер и отнимающие у него последние силы и ресурсы, система защиты легко и быстро определяет по заголовкам маленьких исходящих пакетов, с какого именно DNS-сервера ведется атака, и временно блокирует его адреса — бросаемые глыбы больше не попадают в прохожего, атакуемый сайт продолжает работать.

"DNS-серверы, используемые для атак с усилением, легко обнаруживаются по заголовкам пакетов ICMP (тип 3, код 3) исходящего трафика. Пакеты этого типа генерируются при доступе к закрытым портам сервера-жертвы. Для предотвращения таких атак мы использовали Linux-утилиту и модуль программно-определяемой сети (SDN), который был ранее разработан нами для защиты от сканирования портов. В ходе испытаний Linux-утилита показала наивысшую эффективность защиты, равную 99,8%, то есть, до атакуемого сервера дошли только два пакета атаки из тысячи отправленных", — подчеркнула доцент кафедры суперкомпьютеров и общей информатики Самарского университета им. Королева Самара Майхуб.

Для проведения тестовых испытаний был создан компьютерный полигон, в рамках которого специальная программа — утилита Saddam — производила атаку на сервер-жертву, используя для усиления запросов DNS-сервер. Собранный на атакуемом сервере трафик использовался для анализа всех аспектов противодействия атаке.

"Результаты испытаний показали, что разработанное нами программное обеспечение можно использовать в практических целях не только для защиты серверов от любых DDoS-атак с усилением, но и для противодействия любой атаке, в ходе которой происходит сканирование портов", — отметил Андрей Сухов.