د هیکینګ نوی تخنیک د "شبکې جټټر" ستونزه حل کوي، کوم چې کولی شي د اړخ چینل بریدونو بریالیتوب اغیزمن کړي
یو نوی تخنیک چې د لیوین پوهنتون (بلجیم) او په ابوظبي کې د نیویارک پوهنتون څیړونکو لخوا رامینځته شوی وښودله چې برید کونکي کولی شي د محرم معلوماتو لیکولو لپاره د شبکې پروتوکولونو ځانګړتیاوې وکاروي.
دا تخنیک نومیږي د دې کال د Usenix کنفرانس کې ښودل شوي، د شبکې پروتوکولونه د لیرې وخت پر بنسټ د اړخ چینل بریدونو یوه ستونزه حل کولو لپاره د ورته غوښتنو اداره کولو طریقه کاروي.
د لرې پرتو وخت بریدونو سره ستونزې
د وخت پر بنسټ بریدونو کې، برید کونکي د مختلف حکمونو د اجرا کولو وخت کې توپیرونه اندازه کوي ترڅو د کوډ کولو محافظت څخه ډډه وکړي او د حساس معلوماتو ډاټا ترلاسه کړي، لکه د کوډ کولو کیلي، شخصي مخابرات، او د کاروونکي سرفینګ چلند.
مګر د وخت پراساس بریدونو په بریالیتوب سره پلي کولو لپاره ، برید کونکی د هغه وخت دقیق پوهه ته اړتیا لري چې غوښتنلیک پروسس کولو لپاره د برید لاندې نیسي.
دا یوه ستونزه رامینځته کیږي کله چې په لرې پرتو سیسټمونو لکه ویب سرورونو برید وکړي ، ځکه چې د شبکې ځنډ (جیټ) د متغیر غبرګون وختونه رامینځته کوي ، د پروسس وختونه محاسبه کول ستونزمن کوي.
د لرې پرتو وخت بریدونو کې، برید کونکي معمولا هر کمانډ څو ځله لیږي او د غبرګون وخت احصایوي تحلیل ترسره کوي ترڅو د شبکې جټټر اغیز کم کړي. مګر دا طریقه یوازې تر یوې اندازې پورې ګټوره ده.
"څومره چې د وخت توپیر لږ وي ، نو ډیرې پوښتنې ته اړتیا وي ، او په یو ټاکلي وخت کې محاسبه ناممکن کیږي ،" ټام وان ګویتیم ، د معلوماتو امنیت څیړونکی او د برید نوي ډول په اړه د یوې مقالې مخکښ لیکوال ، موږ ته وایی.
"بې وخته" وخت برید
هغه تخنیک چې د ګویتیم او د هغه د همکارانو لخوا رامینځته شوی د لیرې پرتو بریدونه په وخت سره ترسره کوي چې د شبکې جټټر اغیزه ردوي.
د بې وخته وخت برید ترشا اصل ساده دی: تاسو اړتیا لرئ ډاډ ترلاسه کړئ چې غوښتنې په ورته وخت کې سرور ته رسي ، د دې پرځای چې په ترتیب سره لیږدول کیږي.
موافقت ډاډ ورکوي چې ټولې غوښتنې د ورته شبکې شرایطو لاندې دي او دا چې د دوی پروسس د برید کونکي او سرور ترمینځ د لارې لخوا نه اغیزه کیږي. په هغه ترتیب کې چې ځوابونه ترلاسه کیږي برید کونکي ته ټول هغه معلومات ورکوي چې د اعدام وخت پرتله کولو لپاره اړین دي.
"د بې وخته بریدونو اصلي ګټه دا ده چې دوی خورا دقیق دي، نو لږو پوښتنو ته اړتیا ده. دا برید کونکي ته اجازه ورکوي چې د اعدام په وخت کې توپیرونه 100 ns ته وپیژني، "وان ګویتیم وايي.
لږترلږه د وخت توپیر څیړونکو په دودیز انټرنیټ وخت برید کې 10 مایکرو ثانوي لیدلی، کوم چې د یوځل غوښتنې برید په پرتله 100 ځله ډیر دی.
یووالی څنګه ترلاسه کیږي؟
"موږ د یوې شبکې په پاکټ کې د دواړو غوښتنو په ځای کولو سره یووالي تضمین کوو ،" وان ګوتیم تشریح کوي. "په عمل کې، تطبیق اکثرا د شبکې پروتوکول پورې اړه لري."
په ورته وخت کې د غوښتنو لیږلو لپاره، څیړونکي د مختلف شبکې پروتوکولونو وړتیاوې کاروي.
د مثال په توګه، HTTP/2، کوم چې په چټکۍ سره د ویب سرورونو لپاره د حقیقت معیار کیږي، د "ملټي پلیکس کولو غوښتنه" ملاتړ کوي، یو ځانګړتیا چې پیرودونکي ته اجازه ورکوي چې په یو واحد TCP اتصال کې په موازي توګه ډیری غوښتنې واستوي.
"د HTTP/2 په حالت کې، موږ باید ډاډ ترلاسه کړو چې دواړه غوښتنې په ورته پاکټ کې ځای پر ځای شوي دي (د مثال په توګه، په ورته وخت کې ساکټ ته د دواړو لیکلو سره)." په هرصورت، دا تخنیک خپل فرعي ځانګړتیاوې لري. د مثال په توګه ، د مینځپانګې تحویلي ډیری شبکې کې لکه Cloudflare ، کوم چې د ډیری ویب لپاره مینځپانګه چمتو کوي ، د څنډې سرورونو او سایټ ترمینځ اړیکه د HTTP/1.1 پروتوکول په کارولو سره ترسره کیږي ، کوم چې د غوښتنې ملټي پلیکس کولو ملاتړ نه کوي.
پداسې حال کې چې دا د بې وخته بریدونو اغیزمنتوب کموي، دوی لاهم د کلاسیک ریموټ وخت بریدونو په پرتله خورا دقیق دي ځکه چې دوی د برید کونکي او د CDN سرور څنډه تر مینځ خنډ له منځه وړي.
د پروتوکولونو لپاره چې د غوښتنې ملټي پلیکسینګ ملاتړ نه کوي ، برید کونکي کولی شي د مینځنۍ شبکې پروتوکول وکاروي چې غوښتنې پوښي.
څیړونکو ښودلې چې په تور شبکه کې د بې وخته وخت برید څنګه کار کوي. پدې حالت کې ، برید کونکی په تور سیل کې ډیری غوښتنې پوښي ، یو کوډ شوی پاکټ د تور شبکې نوډونو ترمینځ په واحد TCP پاکټونو کې لیږدول شوی.
"ځکه چې د پیاز خدماتو لپاره د تور سلسله سرور ته ځي، موږ تضمین کولی شو چې غوښتنې په ورته وخت کې راځي،" وان ګوتیم وايي.
په عمل کې بې وخته بریدونه
د دوی په مقاله کې، څیړونکو په دریو مختلفو حالتونو کې بې وخته بریدونه مطالعه کړل.
په مستقیم وخت بریدونه برید کوونکی مستقیم له سرور سره وصل دی او هڅه کوي چې د غوښتنلیک اړوند پټ معلومات افشا کړي.
"ځکه چې ډیری ویب غوښتنلیکونه په پام کې نه نیسي چې د وخت بریدونه خورا عملي او دقیق وي، موږ باور لرو چې ډیری ویب پاڼې د ورته بریدونو لپاره زیان منونکي دي،" وان ګوټین وايي.
په د کراس سایټ وخت بریدونه برید کوونکی د قربانیانو له براوزر څخه نورو ویب پاڼو ته غوښتنه کوي او د ځوابونو د لړۍ په کتلو سره د حساسو معلوماتو د منځپانګې په اړه اټکلونه کوي.
برید کونکو دا سکیم د HackerOne بګ فضل برنامه کې د زیانونو څخه ګټه پورته کولو لپاره کارولې او معلومات یې استخراج کړي لکه کلیدي ټکي چې د نه پیوند شوي زیانونو په محرم راپورونو کې کارول شوي.
"زه د هغو قضیو په لټه کې وم چې د وخت برید دمخه مستند شوی و مګر اغیزمن نه و ګڼل شوی. د HackerOne بګ لا دمخه لږترلږه درې ځله راپور شوی (بګ IDs: , и )، مګر له منځه نه وړل شوی ځکه چې برید د کار وړ نه و. نو ما د بې وخته وخت بریدونو سره د داخلي څیړنې یوه ساده پروژه جوړه کړه.
دا لاهم په هغه وخت کې خورا غیر مطلوب و ځکه چې موږ د برید توضیحاتو ته دوام ورکړ ، مګر دا لاهم دقیق و (زه وکولی شوم چې زما د کور وای فای اتصال کې خورا دقیقې پایلې ترلاسه کړم).
څیړونکو هم هڅه وکړه په WPA3 وائی فای پروتوکول کې بې وخته بریدونه.
د مقالې یو همکار، ماتی وان هوف، مخکې کشف کړی و . مګر وخت یا ډیر لنډ و چې په لوړ پای وسیلو کې وکارول شي یا د سرورونو پروړاندې ونه کارول شي.
"د نوي ډول بې وخته برید په کارولو سره ، موږ وښودله چې دا په حقیقت کې ممکنه ده چې د سرورونو په وړاندې د تصدیق لاسوند (EAP-pwd) وکاروئ ، حتی هغه څوک چې قوي هارډویر چلوي ،" وان ګویتیم تشریح کوي.
کامل شیبه
د دوی په مقاله کې، څیړونکو د بې وخته بریدونو څخه د سرورونو د ساتنې لپاره سپارښتنې وړاندې کړې، لکه په ثابت وخت کې د اعدام محدودول او د تصادفي ځنډ اضافه کول. د مستقیم وخت بریدونو په وړاندې د عملي دفاع پلي کولو لپاره نورې څیړنې ته اړتیا ده چې د شبکې په عملیاتو لږ اغیزه لري.
"موږ باور لرو چې د څیړنې دا ساحه د پرمختګ په لومړیو مرحلو کې ده او ډیرې ژورې مطالعې ته اړتیا لري،" وان ګوتیم وايي.
راتلونکې څیړنه کولی شي نور تخنیکونه وڅیړي چې برید کونکي کولی شي په ورته وخت کې بریدونه ترسره کړي، نور پروتوکولونه او د منځګړیتوب شبکې پرتونه چې برید کیدی شي، او د مشهور ویب پاڼو زیانمنونکي ارزونه وکړي چې د پروګرام شرایطو لاندې ورته څیړنې ته اجازه ورکوي د بګونو لټون کوي. .
د "بې وخته" نوم غوره شوی "ځکه چې موږ په دې بریدونو کې هیڅ (مطلق) وخت معلومات نه دي کارولي،" وان ګویتیم تشریح کوي.
"سربیره پردې، دوی "بې وخته" ګڼل کیدی شي ځکه چې (د لیرې پرتو) وخت بریدونه د اوږدې مودې لپاره کارول شوي، او زموږ د څیړنې په اساس، وضعیت به نور هم خراب شي.
د Usenix څخه د راپور بشپړ متن موقعیت لري .
د اعلاناتو حقونه
د DDoS بریدونو او وروستي هارډویر پروړاندې محافظت سره. دا ټول زموږ په اړه دي عصري سرورونه. اعظمي ترتیب - 128 CPU کورونه، 512 GB رام، 4000 GB NVMe.
سرچینه: www.habr.com