La fin des attaques par déni de service ?
Des ingénieurs de l’Université d’Auburn en Alabama ont développé une nouvelle méthode pour rejeter les attaques par déni de service avant qu'elles n'arrivent au serveur.
Les attaques par déni de service
Cette technique fonctionne sous tous les types de serveurs, y compris les systèmes cloud computing et fut détaillée par les universitaires dans la revue International Journal Information and Computer Security.
Une attaque par déni de service envoie une requête que le serveur n’arrive pas à traiter et qui résulte en l’indisponibilité des ressources. Le but est par exemple de faire tomber un serveur web et les sites qu’il héberge ou de passer au travers du pare-feu afin d’accéder à des systèmes privés ou documents confidentiels.
Il existe déjà des méthodes pour filtrer des requêtes en provenance de solutions connues et reconnaître certains comportements propres à une attaque par déni de service. Néanmoins, ces techniques ne font qu’esquiver une attaque en cours. Les chercheurs ont mis au point un système qui les empêcherait complètement.
La nouvelle parade ?
Il s’agit d’un protocole passif (l’IPACF - Identity-Based Privacy-Protected Access Control Filter) qui doit être présent sur le serveur et les machines clientes. Ces dernières envoient un nom d’utilisateur et un mot de passe qui ne sont valides qu'une seule fois. Le système repose sur le fait que les identifiants sont constamment différents et en principe infalsifiables. Les pirates ne pourraient pas, selon les chercheurs, les imiter et toute tentative de contourner ce système serait donc détectée comme une attaque par déni de service et les paquets en provenance de ces ordinateurs seraient ignorés par le serveur.
Cette technique demande des transferts supplémentaires, mais selon les scientifiques, l’impact de IPACF sur les serveurs et ses processeurs serait minimum tout comme les temps de latence sur le réseau. L’IPACF ne demanderait que 6 nanosecondes pour rejeter une requête illégitime. Le problème est le déploiement d'un tel système. Si cette technique est intéressante sur le papier, il faut que ce protocole devienne un réel standard, ce qui ne sera pas le cas dans l'immédiat.
- Windows XP Mode passe en RTM
- La fraude financière ne s’arrête pas
- NVIDIA montre une fausse carte Fermi ?
- LSI prend en charge le SATA 6 gigabits/s
- AMD baisse les prix des Phenom II
- GeForce : DivX, Blu-ray, HDMI 1.3
- Le nom de code du jour : Kite
- Jouer sur un netbook ? Pourquoi pas ?
- iNote : IBM s’attaque à Google
Quand bien même le temps pour rejeter une requête est infime, tout comme les ressources utilisées, en multipliant ceci par des millions voir des milliards de requêtes simultanées, le serveur finira par tomber malgré tout.
Bref, cette méthode permettra peut-être de limiter la casse des attaques DoS de petite envergure, mais les vraies grosses attaques arriveront toujours à leurs fins, faire tomber des serveurs du fait d'un trop grand nombre de requêtes simultanées.
titre: "La fin des attaques par déni de service ?"
conclusion: "ce qui nous semble impossible en l'état actuel des choses."
va vraiment faloir penser à arreter de faire des titres attrape-clics ca commence à devenir malsain
pas d'accord, le point d'interrogation est justement là pour laisser planer le doute dès le départ, s'il n'y avait pas eu ce ?, alors oui le titre aurait été abusif au vu de la conclusion...
Toute modification du protocole IP qui impose des changements obligatoires du code est vouée à l'échec. Le nombre de machines en production sur internet tournant sur des OS sans maintenance est bien trop important. Combien d'utilisateurs de par le monde utilisent encore Windows98 ? Combien de serveurs tournent sur VAX voir même PDP-11 ? Il y a même des banques qui tournent encore des applications sur Burroughs ! Et je ne parle même pas des produits "embedded" type camera IP, etc.
question: "La fin des attaques par déni de service ?"
réponse: "ce qui nous semble impossible en l'état actuel des choses."
Et comme ça tu comprends mieux ?
Donc ca ne sature pas le serveur, mais ca sature les tuyeaux?
pour être reconnue, la machine cliente doit envoyer un mdp a usage unique. très bien, parce que c'est sur que si chaque client est validé, ça va permettre d'ignorer facilement celles qui n'en ont pas.
mais comment le mdp parvient-il au client? celui-ci doit-il le générer un local, ce qui induit l'installation d'une application? ou bien est-ce que c'est le serveur qui doit le transmettre? dans les deux cas, je pense que le système sera cracké avant même d'exister.
@zorro3364 : Il suffit d'utiliser un système de type RSA avec une clé publique.
Quand bien même le temps pour rejeter une requête est infime, tout comme les ressources utilisées, en multipliant ceci par des millions voir des milliards de requêtes simultanées, le serveur finira par tomber malgré tout.Bref, cette méthode permettra peut-être de limiter la casse des attaques DoS de petite envergure, mais les vraies grosses attaques arriveront toujours à leurs fins, faire tomber des serveurs du fait d'un trop grand nombre de requêtes simultanées.
La technique est nouvelle, laissons leur le temps de l'améliorer