ПРОТОКОЛЫ
Фрэнсис Чу
Распределенные атаки на крупные Web-сайты нанесли компаниям серьезный ущерб, измеряемый тысячами долларов. Пока не существует средств для блокирования этих атак, и трудно распознать их источник, поскольку хакеры осуществляют подмену IP-адресов.
В июле Internet Engineering Task Force (Комитет инженерной поддержки Интернета) организовал группу для разработки стандарта сообщений ICMP Traceback, с помощью которого можно будет отслеживать пути IP-пакетов через Интернет. Он имеет кодовое название Itrace и создается для обнаружения DDoS-атак.
Для внедрения стандарта Itrace в Интернете планируется задействовать маршрутизаторы сервис-провайдеров (ISP). Модернизированные маршрутизаторы с поддержкой Itrace будут случайным образом генерировать трассировочные сообщения, посылаемые вместе с пакетами по месту их назначения.
Организуя DDoS-атаки против Web-серверов, хакеры используют большие группы компьютеров, и пакеты, предназначенные для подавления сервера, вначале попадают на маршрутизаторы многих ISP. С помощью информации, содержащейся в сообщениях ICMP Traceback, ИТ-менеджеры атакованного сайта смогут определить источник поступающих пакетов.
Пока Itrace только разрабатывается, и предстоит преодолеть много трудностей. Необходимо, в частности, чтобы новый стандарт поддержали производители маршрутизаторов, а провайдерам услуг Интернета придется взять на себя расходы по обновлению собственных инфраструктур.
Потребуется также разработать схемы аутентификации, удостоверяющие трассировочные сообщения, с тем чтобы помешать хакерам посылать поддельные сообщения ICMP, маскирующие следы их деятельности.
Но стоит ли много говорить о еще не проверенном средстве, разработка которого только началась? Есть надежда, что оно станет первым шагом в предупреждении одной из самых опасных атак на Web-сайты.
Лучший способ предотвратить DDoS-атаки для Интернет-сообщества - обеспечить такой уровень защиты Web-серверов, при котором хакеры даже не смогут начать атаку.
Однако если стандарт Itrace будет реализован, то само наличие инструмента, выслеживающего источник DDoS-атак, может отпугнуть многих хакеров опасностью разоблачения. Конечно, самые бывалые из них найдут способы перехитрить Itrace, но эта технология положит начало долгожданному крестовому походу против DDoS-атак.