Il reCAPTCHA di google mitiga gli attacchi DDoS?

Naviga le tue risposte
0

Stavo leggendo questo post di mezzo decennio fa sui pro e contro dell'uso di captcha durante un attacco DDoS ( In che modo CAPTCHA mitiga gli attacchi DDoS? )

In quel momento sembra che ci siano fondamentalmente 2 opinioni:

1) Captcha is good when DDoS is happening because it only requires a check for the captcha itself, no password hash and database hit if captcha fails.

2) Captcha is bad during DDoS because it requires processing to check the captcha making the request take up even more processing.

Oggi reCaptcha è ovunque. La maggior parte di noi non genera e controlla i captcha sul lato server, ma fa semplicemente una chiamata POST a google per verificare se il captcha inviato è valido, come si confronta con il passaggio hashing e il raggiungimento del database in termini di tempo di elaborazione?

La richiesta POST sembra richiedere più tempo, ma la verifica dell'autorizzazione richiede più tempo di elaborazione. In che modo questo ha un impatto sul server durante un periodo di attacco DDoS?

    
posta raphadko 09.04.2018 - 02:56
fonte

4 risposte

4

Non sono sicuro di questo.

Captcha aiuta contro gli attacchi di forza bruta, ad es. qualcuno che si collega al tuo forum per sviare il proprio personaggio anime preferito in un sondaggio, ma i Captcha non aiutano contro un attacco a livello di rete, dove un attaccante con una botnet sta semplicemente invadendo il tuo server con richieste http / tcp, facendolo cadere.

In breve, un DDOS a livello di rete non è mitigato dai captcha. Ma possono essere utilizzati quando si desidera limitare l'interazione bot alle API o al sito Web, per garantire che solo gli utenti vi accedano. Ciò limita il traffico pompato attraverso i tuoi server e in generale aiuta con il volume.

    
risposta data 09.04.2018 - 08:19
fonte
1

Non in sé stesso ma può essere uno strumento per bloccare gli attacchi DDoS / DoS. È principalmente utile solo per fermare gli attacchi di livello 7 (attacchi contro applicazioni come server web). È utile perché può rendere un attacco più difficile per un attaccante o impossibile. Se un utente malintenzionato deve fare centinaia di migliaia di richieste al secondo e richiede una parte di un sito ad alta intensità di risorse come una funzione di ricerca, allora ha senso verificare che chiunque effettui una ricerca sia effettivamente umano. In tal caso, Recaptcha è meglio che eseguire il proprio captcha perché la generazione di un captcha richiede un certo sforzo sui tuoi server e quindi potrebbe diventare solo un altro bersaglio (anche se meno efficace) da attaccare, Recaptcha lascia fare a google tutto il lavoro. Inoltre, Recaptcha è un captcha veramente buono perché ha delle sfide che sono difficili da risolvere per i computer. La maggior parte dei captcha utilizza un testo che, dall'introduzione delle reti neurali rivoluzionarie (CNN), è banale da rompere. In termini di quale è meglio, un post su google o il controllo di una password. Direi che nella maggior parte dei casi starai meglio con il POST perché google può gestire molte più connessioni aperte di quelle che il tuo database probabilmente è in grado di ridurre il collo di bottiglia. Inoltre, se hai troppe connessioni al tuo DB nessuno può accedere o utilizzare qualsiasi cosa che usi quel database, se hai troppe connessioni per google le nuove persone non possono accedere e potresti avere alcuni problemi di rete ma gli utenti già registrati dovrebbero ancora essere in grado di utilizzare il sito (a seconda di come valuti le cose limite).

    
risposta data 11.04.2018 - 17:56
fonte
1

La risposta più votata alla domanda a cui hai fatto riferimento non si attacca a nessuna delle opinioni hai delineato ed è ancora valido:

  • Oggi non tutte le attività automatizzate sono dannose e non tutti gli umani sono completamente innocenti.

  • Gli utenti di solito odiano i CAPTCHA.

  • La ricerca OCR è sempre in vantaggio rispetto alla ricerca CAPTCHA. Attualmente, un motore CAPTCHA è sicuro solo a condizione che il suo codice sorgente rimanga privato , che, per le informazioni campo di sicurezza, è probabilmente qualcosa di abbastanza insolito.

Inoltre:

  • La ricerca OCR è una cosa, ma il riconoscimento vocale si sta sviluppando ancora più velocemente. O rendi il tuo CAPTCHA disponibile come messaggio vocale e quindi lo indebolisca ancora di più, o lasci alle spalle persone con disabilità che non sembrano appropriate nella maggior parte dei casi d'uso.

  • Come già sottolineato da @keithRozario, il DDoS non è in alcun modo limitato agli attacchi del livello dell'applicazione. Qualsiasi CAPTCHA non ti aiuterà contro gli attacchi a livello di rete, il livello di trasporto o gli attacchi indirizzati alla crittografia TLS (che il tuo sito Web che offre CAPTCHA probabilmente funziona in cima).

Personalmente, dubito anche di usare un servizio Web gratuito per qualsiasi cosa commerciale, perché con reCAPTCHA, essenzialmente stai facendo pagare Google per le tue richieste, e non esiste un pranzo gratis . Ma forse sono solo io.

    
risposta data 09.04.2018 - 16:02
fonte
1

La soluzione preferita dipende dalle risorse (CPU, larghezza di banda, latenza) e dal numero di iterazioni di hashing utilizzate. Considera anche che i servizi CAPTCHA esterni possono intenzionalmente bloccare o limitare i server che generano troppo traffico.

Ho la seconda risposta di ximaera sui pericoli dei servizi gratuiti e altre risposte sulla necessità di implementare le difese DDoS di rete.

    
risposta data 11.04.2018 - 18:01
fonte

Leggi altre domande sui tag

Come proteggere una nuova installazione di Ubuntu 16.04 [chiusa] Quali sono le implicazioni per la sicurezza di memorizzare più hash per password simili? [duplicare]