Gyurkity Péter

DoS-támadások ellen véd az UltraDNS új megoldása

A biztonsági technológiákra szakosodott vállalat bemutatta legújabb fejlesztését, amely állításuk szerint kielégítő védelmet nyújt az elterjedt szolgálat-megtagadási támadásokkal szemben.

A cég által kifejlesztett megoldást DNS Shield névre keresztelték, amely a hivatalos bejelentés szerint kifejezetten a Distributed Denial of Service (DDoS), vagyis az elosztott támadások ellen készült. Ez nem más, mint egy privát hálózat, amelyet a szolgáltató és a weboldalak helyét meghatározó könyvtárak között hoznak létre. A szolgáltató DNS infrastruktúrája közvetlenül az UltraDNS hálózathoz csatlakozik, ezzel egy megbízható, kellően védett kapcsolatot hoz létre, amely eddig a legjobb védelmet kínálja a támadások ellen.

A vállalatnak jó ideje bosszúságot okoznak a DDoS-akciók. 2002-ben az addigi legnagyobb támadást voltak kénytelenek elszenvedni, amelynek során másodpercenként mintegy 2 millió hamis adatcsomag érkezett a .info tartománynévhez tartozó rendszereket menedzselő UltraDNS szervereire. A társaság szakértői azokon a gerinchálózatokon próbálták meg blokkolni a DNS szervereket elárasztó adattömeget, amelyek a számítógépek elérését biztosítják.

"A szolgálatmegtagadási támadások rendkívül nagy károkat okoznak és igen nehéz ellenük védekezni. Nagyon kevés eszközünk van ez ellen, és a támadók egyre jobb módszereket alkalmaznak" - jelentette ki a Reutersnek Ben Petro, az UltraDNS vezérigazgatója. Természetesen ez nemcsak a szolgáltatóknak, hanem a cégnek is jelentős előrelépés, hiszen az új megoldás révén előnybe kerülhet riválisaival - például az Akamaival - szemben.

A vállalat most is használ ilyen megoldásokat - ezeknél a DNS-feloldási procedúra szintén lokálisan, a szerződött szolgáltató hálózatán belül, IP ANYCAST eljárással történik. Az újítás nem más, mint hogy a védelmet nyújtó eljárást a szolgáltatók belső hálózatába integrálják. Ez csak a hálózaton belül elhelyezkedő, engedélyett felhasználóknak nyújt hozzáférést, és nem engedi be a kívülről érkező, hálózatot veszélyeztető forgalmat. "A most bemutatott fejlesztés kétségtelenül nagy előrelépést jelent, ám még rengeteg teendőnk van, hogy kidolgozzuk a teljes biztonságot nyújtó védelmet" - jelentette ki Steve Crocker, az ICANN biztonsági tanácsadói testületének elnöke.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • pemga #5
    Ha jól értelmezem, akkor nem :). Ugyanis nem egy ip lesz a "dns-szerver", illetve egész pontosan kívülről egy ip-nek látszik, belül cluster. IPv6-ban ez már alap feat, a poén, hogy alacsony szinten van megvalósítva (IP, nem application).

    Japán megvalsítás, sok rajzzal
    Anycast-ról bővebben (Már 2002 óta van anycast DNS szerverekben :))
  • pemga #4
    Az ISP-t kell kitiltani, aki benne van Elosztott... Vagy az összes ISP-t? :). Ez a lényeg: nem egyedi támadásokról van szó. Vagy a Te vizualizálásoddal élve:

    Rádió bemondja: Egy őrült szembeforgalomba megy az autópályán.
    - Egy?!? Az összes...
  • irkab1rka #3
    módszer kell ddos ellen?
    Az ISP-t kell kitiltani, aki benne van. (period)

    Majd ők szépen megoldják neked a problémát azzal, hogy nem engednek becsatlakozni, ha nem frissített a géped/virusos/te csinálod a ddos-t :)

    Az autopályára sem elég a jogsi. Kell forgalmi, zöldkártya.

    Ezt meg hívták már úgy, hogy info-highway. nem?
  • [HUN]PAStheLoD #2
    Hm, ez nem túl világos, mi az, hogy "belső névfeloldás"? Egy támadható IP mindenképp lesz .. minden esetre sok sikert nekik :D
  • IoIa #1
    Ez semmire sem jó. A védelmet biztosító céget ugyanúgy tudják blokkolni...