Abo
  • Services:

IETF: Rätselaufgaben gegen DDoS-Angriffe auf TLS

Ein Akamai-Mitarbeiter beschreibt, wie mit einfachen Rechenaufgaben DDoS-Angriffe durch Clients auf TLS-Verbindungen minimiert werden könnten. Die Idee ist zwar noch ein Entwurf, könnte aber als Erweiterung für TLS 1.3 standardisiert werden.

Artikel veröffentlicht am ,
Puzzles sollen Server vor DDoS-Angriffen über TLS schützen.
Puzzles sollen Server vor DDoS-Angriffen über TLS schützen. (Bild: Flickr.com Brad Montgomery - CC-BY-2.0)

Das Design des TLS-Protokolls kann einfach für DDoS-Angriffe ausgenutzt werden, wie der Chief Systems Architect von Akamai, Erik Nygren, schreibt. Denn Clients, die auch aus Botnetzen heraus betrieben werden, könnten durch kryptographische Operationen sehr viel Rechenlast verursachen. Als Gegenmaßnahme schlägt Nygren in einem Entwurf für eine TLS-Erweiterung vor, beim Verbindungsaufbau für Rechenaufwand bei den Clients zu sorgen.

Stellenmarkt
  1. M-net Telekommunikations GmbH, München
  2. McService GmbH, München

In der Spezifikation nennt Nygren diesen Mehraufwand schlicht Puzzle, also Rätsel. Der Server kann einen Client auffordern, bestimmte Rechenaufgaben zu lösen. Sind diese zu aufwändig, so die Idee, würde sich ein DDoS über die Clients für Angreifer schlicht nicht mehr lohnen. Der Vorschlag zur Verwendung der Puzzle ist bereits in der Vergangenheit bei der Internet Engineering Task Force (IETF) diskutiert worden, Nygren hat ihn nun erweitert und bittet um Rückmeldung.

Die Aufgaben sollen unterschiedlich viel Last verursachen. Im trivialen Fall muss der Client schlicht einen vom Server erzeugten Cookie in identischer Form zurückschicken. Es sollen aber auch komplexe Hashsummen mit SHA-256 und SHA-512 aus teilweise zufällig gewählten Ausgangswerten berechnet werden müssen. Insbesondere für mobile Geräte ist eine Aufgabe in Vorbereitung, die weniger die CPU und mehr den Arbeitsspeicher belastet.

Noch ist der Entwurf der Spezifikation mit vielen TODO-Hinweisen versehen und die Erweiterung ist derzeit explizit nur für TLS 1.3 vorgesehen. Letzteres befindet sich ebenfalls noch im Entwurfsstadium, so dass noch nicht genau gesagt werden kann, wann der Standard final erscheint - wohl erst frühestens im kommenden Jahr.



Anzeige
Hardware-Angebote
  1. 1.299,00€

Aviscall 08. Jul 2015

Yeah, ein Seti@TLS Plugin, um die Rechenleistung gleich sinnvoll zu nutzen =D

Wuestenschiff 07. Jul 2015

Doch genau das soll hier erzielt werden. Natürlich kann der Server wie im Artikel...

RipClaw 06. Jul 2015

Das sich die Leute nicht gleich wieder infizieren nach einer Säuberung würde...


Folgen Sie uns
       


Apple Mac Mini (Late 2018) - Test

Apple Mac Mini (Late 2018) ist ein kompaktes System mit Quadcore- oder Hexacore-Chip. Uns gefällt die Anschlussvielfalt mit klassischem USB und Thunderbolt 3, zudem arbeitet der Rechner sparsam und sehr leise. Die Zielgruppe erscheint uns aber klein, da der Mac Mini mindestens 900 Euro, aber nur eine integrierter Grafikeinheit aufweist.

Apple Mac Mini (Late 2018) - Test Video aufrufen
Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


    IMHO: Valves Ka-Ching mit der Brechstange
    IMHO
    Valves "Ka-Ching" mit der Brechstange

    Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
    Ein IMHO von Michael Wieczorek

    1. Artifact im Test Zusammengewürfelt und potenziell teuer
    2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
    3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

    Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
    Apple Mac Mini (Late 2018) im Test
    Tolles teures Teil - aber für wen?

    Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
    Ein Test von Marc Sauter

    1. Apple Mac Mini wird grau und schnell
    2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

      •  /