Muss auf Server und Client implementiert sein:
IPCAF schützt Authentifizierungs-Server gegen DoS-Attacken
Forscher der amerikanischen Auburn-University haben das Protokoll »Identity-Based Privacy-Protected Access Control Filter« (IPCAF) entworfen, um Authentifizierungs-Server gegen Denial-of-Service-Attacken zu schützen. Eine praktische Simulation hat nun die Funktionstauglichkeit bestätigt.
Mit Denial-of-Service-Attacken (DoS) beziehungsweise Distributetd-DoS-Angriffen (DDoS) gegen den Authentication-Server (AS) lässt sich sehr leicht ein Netzwerk lahm legen. Nutzer können sich am AS nicht mehr anmelden und bekommen so keinen Netzwerkzugriff. Dieses Problem nimmt mit den Botnetzen zu. Forscher an der Auburn-University in den USA haben dazu »Identity-Based Privacy-Protected Access Control Filter [1]« (IPCAF) entworfen. Chwan-Hwa »John« Wu, Tong Liu, Chun-Ching Andy Huang and J. David Irwin haben die Praxistauglichkeit in einer praktischen Netzwerksimulation überprüft. Die Ergebnisse haben sie unter dem Titel »Modelling and Simulations for Identity-Based Privacy-Protected Access Control Filter (IPACF) Capability to Resist Massive Denial of Service Attacks« veröffentlicht [2]. Dabei zeigte sich, dass der CPU-Belastung des AS’ und die Paketverzögerung trotz der Attacke nur sehr wenig geringer war.
Aus der Master-Arbeit zu IPCAF: Ablauf der gegenseitigen Authentifizierung auf der Client-Seite
Die Idee hinter IPCAF ist, dass sich AS und Client jeweils einen Frame schicken, der einen bestimmten Wert enthält. Beide Seiten überprüfen über einen Filter, ob der Wert korrekt ist, was nicht viel Zeit in Anspruch nimmt. Um den Wert zu erzeugen, verwenden Server und Client ein Preshared-Secret. Dabei arbeitet IPCAF zustandlos. Außerdem muss das Verfahren auf dem Server und dem Client implementiert sein.
Sind die berechneten Werte korrekt, wird ein neuer Wert für den nächsten Frame berechnet. Andernfalls verwirft der Empfänger den Frame. Um mehr DoS/DDOS-Angriffen zu begegnen, die Authentifizierungsanfragen vortäuschen, haben die Forscher zwei Server verwendet. Server 1 überprüft nur, ob der Filterwert gültig ist. Ist dies der Fall, leitet er die Anfrage an den Server 2 weiter. Dieser erzeugt dann einen neuen Filterwert. Es ist aber auch möglich, beides auf einem Server laufen zu lassen.
[1] http://etd.auburn.edu/etd/bitstream/handle/10415/283/HUANG_CHUN-CHING_20.pdf?sequence=1
[2] http://www.inderscience.com/www/news/forthcoming_ijics.php
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Apple: Online-Verkaufsverbot für iPhone und iPad
Im Patentstreit zwischen Motorola und Apple hat das Landgericht Mannheim heute ein überraschend klares Urteil gegen Apple gefällt: Das Unternehmen muss einige Produkte wie iPads mit 3G-Funkmodul sowie die meisten iPhone-Modelle aus seinem Onlineshop entfernen.
Notebooksbilliger.de eröffnet neuen Shop
Der Etailer startet mit einem neuen Online-Shop: www.nullprozentshop.de bietet ITK-Produkte mit einer Null-Prozent-Finanzierung an. Zum Start gibt es einige Knaller-Angebote.
» Bundesliga-Tippspiel 2011
