Решение задач на тему: Быстрая схема аутентификации и обмена ключами, устойчивая к DDoS-атаке

Введение

Развитие коммерческих приложений в Интернет сталкивается с постоянно появляющимися новыми видами угроз и атак. Одной из наиболее эффективных атак является распределённая атака, направленная на отказ в обслуживании (DDoS, Distributed Denial оf Service). Суть этой атаки сводится к тому, что большое количество компьютеров, предоставленных хакерами, или исполняющих вредоносный код, внедрённый на компьютер с вирусами и "троянскими конями", пытаются одновременно установить множество соединений с атакуемым сервером, вызывая исчерпание ресурсов атакуемого сервера, в первую очередь, вычислительной мощности процессора и пропускной способности канала связи с Интернет. В Интернет существуют уже довольно большое количество сетей компьютеров-"зомби", на которые был внедрён код, позволяющий выполнять любые действия по команде владельца сети таких компьютеров ("ботнет"). В результате DDoS-атаки добропорядочные пользователи не могут воспользоваться услугами, предоставляемые атакуемым сервером. С помощью такой сети, например, была реализована атака на "Живой Журнал" весной-летом 2011 года, что в результате вызвало политический и общественный резонанс в России, помимо этого участившиеся сбои в работе "ЖЖ" побудили часть блоггеров завести аккаунты на других конкурирующих сервисах, в частности, сервисе микроблогов Twitter[9].

Для борьбы с различными видами атак из Интернет применяются межсетевые экраны (фильтры, брандмауэры, файерволы), обеспечивающие некоторую защиту от таких атак[3,4,5]. Однако, несмотря на прогресс в этом направлении, надёжного решения против, например, SYN-атаки до сих пор нет. Более того, DDoS-атака может быть осуществлена просто большим количеством одновременно устанавливаемых соединений, имитирующих соединения легальных пользователей, не обладающих признаками типовых видов атак и, таким образом, беспрепятственно проникающих через межсетевой экран. Этот вид атаки является наиболее сложным с точки зрения оказания противодействия. Наиболее распространённые схемы аутентификации и обмена сеансовыми ключами на основе асимметричной криптографии (с публичным ключом) не были рассчитаны на применение в условиях такой DDoS-атаки. Для противодействия данному виду DDoS-атаки и была разработана реализованная в данном проекте схема. Разумеется, она не отменяет необходимости использования традиционных межсетевых экранов.

В традиционных схемах процедура аутентификации и обмена сеансовыми ключами включает в себя многостадийный обмен пакетами между клиентом и сервером, внося этим неснижаемую задержку установления связи и прирост сетевого трафика, а также нагрузку на процессор из-за громоздких вычислений на секретном ключе сервера для каждого входящего соединения. Таким образом, атакующие могут легко привести к перегрузке процессора сервера громоздкими вычислениями. Несмотря на разработку новых криптографических алгоритмов с публичным ключом (криптография на эллиптических кривых) и применение аппаратных ускорителей, уязвимость к DDoS-атаке с имитацией подключения легальных пользователей сохраняется.

Оглавление

- Цель и задачи

- Краткий обзор предметной области

- Классификация криптографических протоколов

- Классификация алгоритмов шифрования

- Понятие аутентификации

- Поиск и сравнение аналогов

- Таблица сравнения аналогов

- Описание реализуемой схемы

- Формирование требований к ПО

- Общие сведения

- Требования к серверу

- Требования к клиенту

- Технологическая платформа