Разработчики компьютерных систем создали новый фильтр для защиты от ддос атак

24.12.09

Новая система защиты от ddos атак, направленных против компьютерных сетей и различных серверов, может в большой степени повысить уровень безопасность государственных, частных и образовательных учреждений. Свое детище в сфере защиты от ддос атак на этот раз предложили разработчики из Университета Аубурна, штат Алабама.

Существующие методы, на основе которых действует защита от ddos атак, основываются на конфигурировании установленного программного и аппаратного обеспечения на фильтрацию подозрительных потоков данных и распознавание его признаков по соответствующим особенностям. Однако, такие фильтры зачастую располагаются на тех же самых серверах, которые становятся целью атаки, поэтому в случае массивного ddos нападения свободные вычислительные ресурсы быстро истощаются, делая защиту от ддос атак малоэффективной.

Разработчики компьютерных систем создали принципиально новый фильтр для защиты от ddos атак, который в силах устранить проблему посредством применения пассивного протокола нового типа для всех участников обмена данными: и пользователя, и ресурса.

Разработка способна блокировать потоки данных, направленных по адресу защищаемых компьютеров, серверов идентификации (АS) и других машин, давая возможность легальным пользователям беспрепятственно продолжать работу с веб-узлами.

Пользовательский компьютер должен будет передать соответствующее сгенерированное для этого фильтра значение на сервер для проведения его быстрой проверки. Это значение является одноразово сформированным закрытым ключом, отправляемым параллельно с идентификатором. Такая защита от ддос атак не даст атакующему возможности подобрать эти две величины правильно, и, как следствие, не пропустит ложные пакеты.

В процессе испытания новой системы защиты от ddos атак было обнаружено, что на сервер возлагается весьма незначительная нагрузка, поскольку период задержки ответа также слегка возрастает и присутствие дополнительных вычислительных мощностей практически не требуется. Даже в том случае, если весь 10-гигабитный канал полностью заполнен ddos пакетами, данная защита от ддос атак тратит всего 6 наносекунд, необходимых для признания пакета данных частью злонамеренного трафика.