Vlákno názorů k článku Nové paradigma internetových aplikací od Dan Lukes - Jednim z pozadavku zlanku byla diskuse nad systemy...

Jednim z pozadavku zlanku byla diskuse nad systemy odolavajicimi DoS utokum. Ja se domnivam, ze takovy system neni mozne principielne sestrojit. DoS utoky jsou utoky spocivajici v takovem vyuziti sluzeb site, ktere sit neni schopna uspokojit a dojde k pretizeni. Pominme trivialni pripad, kdy lze DoS utoku zabranit tim, ze prestaneme poskytovat prislusnou sluzbu (i tento zpusob se pouziva, napriklad se jiz obvykle neodpovida na PING smerovany na broadcast adresu coz je sluzba site, lec sluzba bez vetsich problemu postradatelna). Druhy trivialni zpusob jak zabranit DoS utoku je zabranit vycerpani zdroju - tedy bud tim, ze budou neomezene (tak tento zpusob take asi nebudeme moci obvykle pouzit) nebo alespon tim, ze zadost o sluzbu bude vyzadovat srovnatelne mnozstvi zdroju jako jeji vyrizeni (to zlikviduje utocniky tim, ze nebudou mit dost silny stroj, linku, vypocetni kapacitu a podobne).

Zbyva posledni zpusob - rozeznat uziti sluzby od zneuziti sluzby. Bez toho, ze bych byl schopen sve tvrzeni dokazat rikam, ze tento problem neni plne algoritmizovatelny - to znamena, ze se nepodari najit jasny algoritmus, ktery by nad prichazejici zadosti o poskytnuti sluzby dokazal jednoznacne rozhodnout, zda jde o uziti nebo o zneuziti - a to ani v pripade, ze bude mit kompletni stavovou informaci o vsech minulych vyrizenych zadostech. DoS utoku se tedy muzeme branit pouze heuristicky a tedy s nikoli zajistenou uspesnosti.

Pokud jde o utok necileny proti konkretni organizaci ci sluzbe, pak muze pomoci proste - sluzbu zajistuje vice ruznych stroju, pricemz uzivatele jsou na ne smerovani podle urciteho algoritmu. Takovyto princip "zaloznich" ci "konkurujicich si" stroju je zatim jednoduse realizovatelny pouze pro SMTP a to pomoci MX zaznamu v DNS. Obecny mechanismus, pouzitelny pro prakticky veskere sluzby je sice jiz take na svete (SRV zaznam v DNS), zatim vsak neni v praxi pouzivan, protoze na jeho pouzivani nejsou pripraveny "resolver" knihovny. Ani tento mechanismus vsak neresi smerovany utok proti konkretni sluzbe nebo organizaci, protoze utocnik si samozrejme najde vsechny dostupne servery a utocit bude proti vsem.

Dalsim zajimavym mechanismem by mohlo byt teritorialni rozdeleni kdy pozadavky prichazejici z urcite oblasti vyrizuje konkretni skupina serveru, kdezto dotaz odjinud jina. Tim bychom dosahli toho, ze DoS utok z jedne oblasti by narusil poskytovani sluzby pouze do teto oblasti. Bohuzel, nejprve by ale muselo byt prijato opatreni, ktere by zabranovalo falsovat identitu (napr. IP adresu) tazatele a muselo by take (a to celosvetove) dojit k zmenam v DNS systemu (aby cloveku z urcite oblasti podaval jine informace nez cloveku odjinud).

Zakladni obranou proti DoS utokum tak stale zustava brutalni sila - priste mit tolik a tak dobre vybavenych serveru, aby k vycerpani zdroju nemohlo tojit nijak lehce. A krome toho se muzeme branit proti kazdemu konkretnimu DoS utoku, obvykle ale az pote, co byl nekde (uspesne) pouzit. Znovu tedy jde o obranu silou, v tomto pripade je vsak "silou" velice schopny spravce systemu.

DoS utoky vsak podle meho nazoru zustanou (na Internetu v soucasnem slova smyslu) nikdy nerozhodnutou bitvou sestavajicich se z bitev v pretlacovani "kdo je chytrejsi". To samozrejme nerika, ze si nemame pokouset branit - a nektere zpusoby obrany jsem zde nabidnul k diskusi, jine jiste doplni nekdo dalsi.

Každý útok hrubou silou připomíná zapálení papíru zvětšovacím sklem: na jedno malé místo soustředíme sluneční energii, která by normálně dopadla na velkou plochu. Jinými slovy, pro každý vyřazený počítač potřebujeme soustředit sílu mnoha útočících počítačů.
Musíme se smířit s tím, že pomocí mechanismů, jako je útok DoS, lze vyřadit libovolný počítač sítě. Proti tomu nemůžeme bojovat.
Můžeme ale dosáhnout toho, že aplikace nebude záviset na funkci několika (relativně málo) počítačů a nezmizí spolu se zmizením těchto počítačů ze sítě. Kolik už není "málo"? Inu, 20 miliónů klientů Napsteru se už odstranit nedá, ale řekněme řádově tisíce by měly bohatě stačit (protože - stejně jako u lupy - těžko sestrojíme takové zvětšovací sklo, které nám zapálí najednou předmět o velikosti fotbalového hřiště).

Bohuzel existuji utoky typu "Poison victim", kdy proste otravite zdroje informaci. Da se predpokladat, ze pri masivni distribuovatelnosti bude mozne velmi efektivne uplatnit tento typ utoku. Utocnik totiz bude uvnitr systemu :-)))

To je sice zajimava myslenka, ale pri podrobnejsim pohledu nikam nevede. Pominme, ze Napster je velice spatny priklad, protoze ten vyzaduje centralni pocitac jehoz vyrazenim funkcnost Napster site zanika. Bavme se spise o necem bez centralni autority, rekneme o Gnutelle. Hacek hodny pozornosti je v tom, ze jde o velice "uzky"- takrka jednoucelovy - software a krome toho, to co nabizi je velice jednoducha sluzba. Takovy software skutecne muze bezet prakticky vsude, v statisicich kopii. Cim slozitejsi software ale budete potrebovat (slozitejsi sluzby jsou uz napriklad i probirane vyhledavace) tim mene pravdepodobne je, ze je takovou aplikaci mozne spustit na nejakem nahodne pevne zvolenem pocitaci. V tom okamziku ztracite moznost do provozu sluzby zapojit "sirokou verejnost", ktera vam hardware poskytne v podstate zdarma a dostavate se do situace, kdy je pocet pocitacu poskytujicich sluzbu limituje zustatek na beznem uctu. A to nemluvim ani o tom, ze kooperativni sit nemusi byt pouzita pouze k bohulibym ucelum - tentyz princip, ktery umoznuje provozovat gnutella sit tak, ze je opravdu takrka nemozne jeji provoz zlikvidovat muze byt pouzit (a takove pokusy uz zde dokonce byly) na vytvoreni site zamerene na likvidaci urcite sluzby. Nelze sice sestrojit lupu, ktera nam zapali cele fotbalove hriste. Ale stotisic mensich lup to jiz dokaze ...

Domnivam se tedy, ze stav, kdy je sluzba takrka absolutne odolna proti ztrate funkcnosti je spise vyjimecny a takovych aplikaci je v soucasne dobe minimum nikoli jen proto, ze teprve vznikaji, ale proto, ze v pripade mnoha sluzeb nelze "gnutella princip" vubec pouzit. A konecne, ani gnutella neni celosvetova nenapadnutelna sit - zejmena neni prilis dobre odolna proti utoku statni moci, pokud se takova moc k utoku odhodla. To je ale na trochu delsi samostatne povidani - a tento clanek nam i s diskusi uz pomerne rychle ujizdi do archivu starsich clanku ...