Главная страница
Навигация по странице:

  • Классификация DDoS-атак: Насыщение полосы пропускания

  • Атака на исчерпание системных ресурсов

  • Недостаточная проверка данных пользователя

  • Атаки второго рода

  • UDP флуд (атака Fraggle)

  • Отправка «тяжелых пакетов»

  • Переполнение сервера лог-файлами

  • Ошибки программного кода

  • Недостатки в программном коде

  • Список используемой литературы

  • DDoS-атаки и методы борьбы с ними. Фгбоу во ростовский государственный экономический университет (ринх)


    Скачать 46.38 Kb.
    НазваниеФгбоу во ростовский государственный экономический университет (ринх)
    АнкорDDoS-атаки и методы борьбы с ними
    Дата28.04.2021
    Размер46.38 Kb.
    Формат файлаdocx
    Имя файлаDDoS-атаки и методы борьбы с ними.docx
    ТипДокументы
    #199634

    ФГБОУ ВО «РОСТОВСКИЙ ГОСУДАРСТВЕННЫЙ

    ЭКОНОМИЧЕСКИЙ УНИВЕРСИТЕТ (РИНХ)»

    Кафедра информационных технологий

    и защиты информации

    DDoS-атаки и методы борьбы с ними

    По дисциплине: Методы атакующего воздействия на информационные ресурсы
    Факультет: КТиИБ
    Курс: 2

    Группа: ИБ-321

    Специальность

    (направление подготовки): Информационная безопасность

    Вариант: 10

    Выполнил

    студент:

    Проверил:

    Ростов - на - Дону

    2021

    Введение

    Одной из самых актуальных задач в сфере услуг предоставления информации является DDoS-атака (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). Суть таких атак сводится к тому, чтобы всеми доступными способами уменьшить количество полезной нагрузки на ресурс, или вовсе сделать его недоступным.

    Отказ в обслуживании может быть достигнут при разных условиях, причинами могут служить: ошибки в программном обеспечении, которое работает на атакуемом сервисе, недостатки сетевых протоколов и ограничения в пропускной способности канала связи, а также непродуманная сетевая инфраструктура. Обычно DDoS-атака ведется с так называемого ботнета, это достаточно большое количество компьютеров, а также смартфонов, зараженных вредоносным программным обеспечением.

    Актуальность темы

    Данная проблема возникла вместе с появлением всемирной сети Интернет и становиться все более актуальной в связи с развитием и расширением всемирной сети. На рынке существуют открытые программные решения, которые могут справиться только с простыми случаями DDoS-атак. Аппаратные решения имеют закрытые алгоритмы.

    Работа посвящена изучению источников нежелательного трафика и их параметров, созданию модели корпоративной сети в которой присутствует веб-сервер (обрабатывает запросы извне), созданию алгоритма для отличия нежелательного трафика генерированного ботнетом.

    Классификация DDoS-атак:

    • Насыщение полосы пропускания. В связи с тем, что практически каждый компьютер подключен к сети интернет или к локальной сети, возможен такой тип атаки, как сетевой флуд – атака, которая заключается в отправке большого количества бессмысленных или неправильно сформированных запросов к компьютерной системе или сетевому оборудованию с целью отказа оборудования из-за исчерпания системных ресурсов (процессора, памяти или каналов связи).

    • Атака на исчерпание системных ресурсов. Атакующие прибегают к данному виду атаки для захвата таких ресурсов как оперативная и физическая память, процессорное время и т.д.

    • Недостаточная проверка данных пользователя. Недостаточная проверка данных пользователя может приводить к бесконечному или длительному циклу, что приводит к повышенному и продолжительному потреблению процессорных ресурсов либо выделению больших объемов памяти, вплоть до ее исчерпания.

    • Атаки второго рода. Это атаки, которые приводят к ложным срабатываниям систем защиты, тем самым приводят к недоступности определенных ресурсов.

    • HTTP-флуд. Атакующий отсылает небольшие http-пакеты, которые заставляют в свою очередь отвечать сервер пакетами, размеры которых значительно больше. Тем самым злоумышленник имеет большой шанс насытить полосу пропускания жертвы и вызвать отказ в работе сервисов. Для того, чтобы ответные пакеты не вызывали отказ в обслуживании у атакующего, он подменяет свой сетевой адрес на адреса узлов в сети.

    • ICMP-флуд (Smurf-атака). Данный тип атаки является одним из самых опасных. В ней по широковещательному адресу злоумышленник отправляет поддельный ICMP-пакет, в котором адрес атакующего меняется на адрес жертвы. Все узлы присылают ответ на данный ping-запрос. Для такого вида атаки обычно используют большую сеть, чтобы у компьютера-жертвы не было никаких шансов. Таким образом, запрос, отправленный через сеть в 1000 компьютеров будет усилен в 1000 раз.

    • UDP флуд (атака Fraggle). Данный тип атаки является аналогом ICMP флуда, но вместо ICMP пакетов используются UDP пакеты. На седьмой порт жертвы отправляются ECHO-команды по широковещательному запросу. После чего подменяется ip-адрес злоумышленника на ip-адрес жертвы, которая получает множество ответных сообщений, что приводит к насыщению полосы пропускания и отказу в обслуживании жертвы.

    • SYN-флуд. Данный вид атаки основан на попытке запуска большого числа одновременных TCP-соединений через посылку SYN-пакета с несуществующим обратным адресом. После нескольких попыток отослать в ответ ACK-пакет на недоступный адрес большинство операционных систем ставят неустановленное соединение в очередь. И только после n-ой попытки закрывают соединение. Поскольку поток ACK-пакетов очень большой, вскоре очередь оказывается заполненной, и ядро дает отказ на попытки открыть новое соединение.

    • Отправка «тяжелых пакетов». Атакующий отсылает пакеты серверу, которые не насыщают полосу пропускания, а тратят все его процессорное время. Соответственно, в системе может пройти сбой, и легальные пользователи не смогут получить доступ к необходимым ресурсам.

    • Переполнение сервера лог-файлами. При неправильной системе ротации лог-файлов и неправильно установленной системе квотирования злоумышленник может отправлять большие по объему пакеты, которые вскоре займут все свободное место на жестком диске сервера.

    • Ошибки программного кода. Опытные реализаторы DDoS-атак, полностью разобравшись в структуре жертвы, пишут программы-эксплоиты, которые позволяют атаковать сложные системы коммерческих предприятий и организаций. В основном это ошибки в программном коде, которые позволяют выполниться недопустимой инструкции или исключительной ситуации, которая может привести к аварийному завершению службы.

    • Недостатки в программном коде. Злоумышленники ищут ошибки в программном коде каких-либо программ либо операционных систем и заставляют их обрабатывать исключительные ситуации, которые они обрабатывать не умеют, что приводит к падению ядра или краху всей системы в целом.

    Защита от DDoS-атак

    Методы защиты от DDoS-атак можно разделить на две группы: это методы, предшествующие началу атаки, которые направлены на предотвращение самого факта атаки и методы, которые применяются уже после начала атаки, это методы активного противодействия и смягчения результатов атаки. К методам по предотвращению атаки можно отнести организационно-правовые мероприятия. Например, недопустимость вовлечения в конфликтные ситуации, или меры, направленные на ликвидацию результатов, которых хочет добиться злоумышленник, например, разграничение и маскировка критичных ресурсов. Также на этом этапе реализуется устранение уязвимостей и поддержка задействованного аппаратно-программного комплекса в актуальном состоянии. Некоторые виды сетевых атак направлены именно на эксплуатирование различного рода уязвимостей. Это могут быть уязвимости в программном обеспечении сервера. Или уязвимости, связанные с использованием неоптимизированных программных скриптов, которые могут чрезмерно расходовать ресурсы сервера. В данном случае для достижения преследуемого эффекта злоумышленнику потребуется организовать менее мощную атаку. После начала атаки используются активные меры, направленные на противодействия атаки. Основными из этих мер являются наращивание ресурсов и фильтрация трафика. Наращиванию ресурсов предшествует подробный анализ загруженности сервера и сетевого сегмента с целью обеспечения узких мест. Так, например, если в нормальном рабочем режиме сервер расходует значительную часть канала связи, можно предположить, что в случае начала атаки, злоумышленник может добиться полного заполнения канала вредоносными запросами. В этом случае целесообразно заблаговременно увеличить пропускную способность канала связи. Выделенные в результате анализа «узкие места» наделяются дополнительными ресурсами. Если основным потребителем ресурсов на физическом сервере является сервер баз данных, возможно, целесообразно разместить его на отдельно выделенном сервере или же даже создать распределенный кластер серверов баз данных. Аналогично можно поступить и с другими сервисами. Если продолжить рассмотрение в качестве атакуемого субъекта web-сервер, то, помим обаз данных, повышенную нагрузку может генерировать сам web-сервер или же размещенные на нем скрипты. В этом случае необходимо увеличить ресурсы самого сервера: дополнительная память, более мощный процессор и т.д. Или же посредством специальных инструментов выделить веб-сервера в отдельный кластер. Например, это можно сделать посредством использования связки web-серверов Apacheи Nginx. Такой подход к увеличению ресурсов не является панацеей от сетевых атак, кроме того, имеет ряд минусов:

    • наращивание ресурсов связано с изменением аппаратного комплекса и не может быть оперативно проведено в момент начала атаки;

    • поддержание избыточных ресурсов экономически нецелесообразно в период ожидания атаки.

    Для преодоления этих минусов оптимальным является использование облачных технологий, которые позволяют наращивать ресурсы по мере надобности. Так, например, на сегодняшний момент на рынке представлены предложения от хостинг–провайдеров по предоставлению услуг облачного хостинга. В результате предоставления услуги клиентам предоставляется необходимое в данный момент количество ресурсов. В случае увеличения нагрузки, это может быть, как увеличение числа легитимных пользователей, так и увеличение вредоносных запросов, происходит предоставление дополнительных мощностей, позволяющих обработать каждый запрос. В результате не происходит отказа сервера. Единственным минусом данного подхода является его экономическая составляющая. Так как клиенту облачного хостинга потребуется оплачивать дополнительные мощности, т.е. по сути, платить за обработку вредоносных запросов. Другой подход увеличения ресурсов позволяет наращивать ресурсы в рамках сети доставки контента (CDN–аббревиатура от английского, Content Delivery Network). В результате реализации такого подхода происходит кэширование содержимого web-сервера и его доставка через распределенную сеть узлов. При выборе оптимального маршрута учитывается, как правило, географическое расположение клиента сети по отношению к ближайшему узлу. В результате сетевых атак вредоносный трафик делится между различными узлами сети и теряет свою мощность, также возможен вариант, когда вредоносный трафик просто не попадет на узел, в большинстве своем используемый легитимными пользователями. Например, в случае атаки из зомби-сети, находящейся за рубежом, вредоносные запросы будут концентрироваться на ближайшем к ним узле CDN-сети. В любом случае использование этих подходов напрямую не целесообразно, так как подразумевает обработку всех запросов без исключения, в том числе и злонамеренных. Поэтому следующей группой методов, направленных на предотвращение атаки, являются методы, связанные с фильтрацией трафика. Блокировка заведомо вредоносных запросов и обработка благонадежных и подозрительных позволяют существенно сэкономить средства, выделяемые на увеличение ресурсов. Для фильтрации вредоносного трафика применяются различные программные и аппаратные средства, которые базируются на количественном и качественном анализе трафика. В основе методов анализа, данных средств, лежат методы кластерного анализа и математической статистики, теории вероятности, поведенческие методы и т.д. Для эффективных мер противодействия и фильтрации трафика необходимо решение двух тесно связанных задач. Первая задача связана с обнаружением факта начала атаки, вторая –с определением источника атаки, т.е. источника вредоносного трафика. Чем точнее будут решены эти задачи, тем эффективнее будут меры противодействия. На сегодняшний день существуют два подхода, связанные с определением начала атаки. Это подход, основанный на анализе злоупотреблений, и подход, основанный на анализе аномалий. В первом подходе обнаружение атаки происходит путем сравнения данных, характеризующих текущие состояние системы, с данными, характерными для типичных атак. Второй подход оценивает текущее состояние системы с ее нормальным состоянием. Оба эти подхода имеют свои минусы, так, например, первый подход может быть не эффективным при обнаружении принципиально новых типов атак. Это особенно актуально в контексте именно DDoS–атак, так как злоумышленники стараются перейти от аномального поведения и симулировать действия реальных пользователей. Для успешной эксплуатации второго подхода необходимо накопление статистических данных, свидетельствующих о нормальном функционировании системы. Таким образом, для построения эффективной системы обнаружения целесообразно использовать оба эти подхода. В результате работы такой системы происходит постоянный сбор данных, характеризующих состояние системы, затем их обработка и анализ на предмет отличия от модельных данных. В случае начала атаки задействуются механизмы обнаружения источника трафика. Проводить сравнение с модельными данными можно различными методами. К наиболее простым методам, относятся методы, реализованные на основе правил. Суть этих методов заключается в установке определенных правил, характеризующих нормальное и аномальное поведение системы. Правила могут описывать как поведение системы в целом, так и поведение её отдельных частей, например, частоту запросов, определенный набор полей запроса и т.д. При достаточной простоте и легкости использования, данные методы, тем не менее, весьма эффективны.

    К наиболее популярным методам, можно отнести группу методов, основанных на количественном анализе. Методы данной группы пытаются обнаружить атаку по возрастающей нагрузке. Среди этой группы методов можно выделит, следующие:

    • Метод MULTOPS анализирует соотношение принятых и отправленных пакетов.

    • Метод МІВ variables учитывает количество пакетов, их тип и количество запросов.

    • Методы АСС учитывают количество пакетов из различных подсетей.

    • В Network-AwareClustering происходит группировка входящих запросов по подсетям и их сравнение.

    • В Hop-CountFiltering ведется учет расстояний в хопах (скачках) до подсетей для фильтрации пакетов с ложным адресом отправителя.

    Также к перспективным методам можно отнести методы, основанные на выявлении отклонений по изменениям вероятностных параметров данных. Их суть заключается в следующем. Берется временной ряд определенного параметра состояний защищаемой системы (набор величин, посчитанных за определенное количество интервалов времени подряд). Значения этого параметра рассматриваются как случайные величины, полученные по некоему закону распределения. Делается предположение, что в момент атаки вид этого распределения меняется, т.е. меняются вероятностные параметры набора данных. Существует ряд методов для выявления таких «точек перехода» (change-pointdetection) потоки на основе величины «поражающего воздействия».

    Меньшее распространение получили методы обнаружения атак с помощью извлечения данных (Data Mining). К таким методам можно отнести, например, методы, использующие иерархической системы различных обучающихся классификаторов

    На сегодняшний день существуют различные варианты практической реализации и использования указанных методов и систем. Так, например, учет и анализданных может происходить с помощью программного модуля, установленного непосредственно на защищаемом сервере, или же это могут быть физические средства для анализа и сбора данных, вынесенные за пределы защищаемого сервера. Например, Cisco Guard представляет собой программно-аппаратный комплекс, взаимодействующий с анализаторами трафика установленными в различных сегментах сети. По месту размещения средств противодействия их можно выделить в три группы:

    1. Размещенные в сети источника вредоносного трафика.

    2. Между сетями источника и сетью назначения.

    3. Размещенные в сети назначения.

    Эффективность средств противодействия и защиты увеличивается при их приближении, т.е. в более близком расположении к сети источника трафика. В этом отношении наиболее перспективными методами противодействия сетевым атакам становятся методы, предусматривающие блокировку трафика непосредственно в сети источника вредоносного трафика. Однако, эти методы недостаточно развиты в связи с организационными сложностями их внедрения.

    Размещение средств защиты в сети назначения является менее популярным. Так как для организации полноценной защиты требуются сложные и экономически затратные меры:

    • подключение к нескольким провайдерам первого уровня;

    • наличие в штате компании специалистов, готовых к применению мер по отражению атаки в режиме 24 на 7;

    • наличие в сети специализированного оборудования для защиты от сетевых атак.

    Говоря о специализированном оборудовании для предотвращения атак и фильтрации трафика, можно выделить систему предотвращения атак Proventia Network IPS от компании IBM. Данный аппаратно–программный комплекс имеет следующие возможности:

    • Обработка более 200 протоколов различных типов и уровней.

    • Контроль утечек информации

    • Различные способы реагирования

    • Около 3000 различных алгоритмов для анализа

    • Обеспечивает защиту взаимодействующих в корпоративной сети компьютерных систем с помощью агента IBM Proventia Desktop

    • Поддержка пользовательских сигнатур

    • Всевозможные варианты реагирования на вторжения

    • Помещение подозрительного трафика в карантин

    • Производительность IPS для скоростей до 40Гбит/сек и поддержка IPS для Crossbeam

    • Поддержка 10Гбит интерфейсов при помощи Network Security Controller и Crossbeam

    Компания Cisco предлагает свое решение для предотвращения сетевых атак на базе Cisco Guard. Этот аппаратно-программный комплекс, взаимодействуя с детекторами аномалий трафика в режиме реального времени, перенаправляет трафик, предназначенный для целевого устройства, осуществляет его анализ и фильтрацию. Как правило, такие средства предполагают защиту всей сети в целом и обычно нецелесообразны для построения защиты единичного конечного ресурса. В связи с этим в настоящий момент большое распространение получили средства защиты и противодействия, устанавливаемые в промежуточных сетях. Эффективность данных средств напрямую связана с количеством узлов, из которых они состоят. Таким образом, эффективные распределенные системы имеют высокую экономическую стоимость. Владение такими системами доступно или крупным компаниям, или специализированным сервисам по противодействию сетевым атакам. Например, подобную услугу по фильтрации трафика от вредоносных запросов предлагает компания «Лаборатория Касперского» в рамках предоставление услуги Kaspersky DDoS Prevention. В рамках распределенной сети доставки контента Cloud Flare также реализована подобная возможность. Использование таких сервисов по противодействию атакам достаточно эффективно. Экономически более выгодно, по сравнению с личным внедрением средств противодействия. Однако, предполагает включение промежуточного звена, собственно, самого сервиса противодействия между клиентом и сервисом. Возвращаясь к группе методов и средств, организующих защиту непосредственно внутри атакуемой сети, необходимо выделить подгруппу средств, которые, в отличие от указанных выше дорогостоящих средств, располагаются не на границе сети, а непосредственно на атакуемой системе. Из-за особенности расположения данные средства не являются эффективными для отражения крупных атак. Так, например, они не могут противостоять крупным атакам и атакам, направленным на переполнения полосы пропускания канала связи. Именно поэтому в свое время данные средства защиты не получили должного развития. Однако, в связи с наметившейся тенденцией к развитию атак низкой и средней мощности, они могут быть эффективны и экономически выгодны. Среди этих систем можно выделить две группы программных средств:

    • средства, действующие на уровне операционной системы атакуемого сервера;

    • средства, действующие на уровне приложения.

    К первой группе средств можно отнести программные файерволы и специализированные средства.

    По сути, данные средства осуществляют только блокировку в соответствии с набором правил, не проводя при этом полноценный анализ трафика. То есть являются примитивными и явно недостаточными для противодействия распределенным сетевым атакам. Как правило, основным критерием для блокировки трафика служит превышение заданного количества запросов с определенного адреса. Но данное решение является грубым определением вредоносного трафика, так как под него попадают различные частные случаи превышения лимитов и запросы из различных сетей, находящихся за прокси сервером или NAT маршрутизатором. При этом потребность в средствах противодействия, реализованных на стороне сервера, существует. Об этом свидетельствуют различные самостоятельные решения и рецепты системных администраторов, которые периодически появляются в сети. Эти решения представляют попытки провести некоторый анализ входящего трафика, обычно поверхностный, и на основании этого анализа уже точечно блокировать трафик или же назначать ограничения на подозрительные подключения, например, посредством conlimit для iptables. При этом сам по себе анализ вредоносного трафика на уровне атакуемого сервера или приложения имеет большие возможности, так как появляются дополнительные данные для выявления злоумышленника. Это могут быть, например, поведенческие данные, анализ маршрута навигации пользователя по сайту или анализ загружаемых данных. Например, в прошлом был актуален метод обнаружения вредоносного трафика по типу загружаемых файлов. Его суть заключается в следующем. Легитимные пользователи проводят загрузку не только целевой страницы, но и сопутствующих данных: картинки, внешние скрипты, иконки и т.д. Зомби-компьютеры обращались только к целевой странице. В настоящее время данный метод потерял актуальность, так как современные зомби-компьютеры пытаются эмулировать действия легитимных пользователей.

    Анализ средств противодействия показал, что в настоящее время большее развитие получила группа средств противодействия, предназначенная для отражения мощных атак. В эту группу входят, как правило, дорогостоящие средства, предназначенные для крупных провайдеров или компаний. Средства противодействия небольшим и средним атакам, базирующиеся на атакуемом сервере, представлены крайне скудно. Это связано с незначительным количеством таких атак в прошлом. При этом анализ входящего трафика на уровне приложений может быть более эффективным. С одной стороны, проведение такого анализа экономически не затратно, с другой –может быть вполне достаточным для отражения малых и средних атак, тенденция преобладания которых уже наметилась.

    Список используемой литературы

    1. DDoS-атаки [Электронный ресурс] / URL: http://localname.ru/soft/ataki-tipa-otkaz-v-obsluzhivanii-dos-i-raspredelennyiy-otkaz-v-obsluzhivanii-ddos.html

    2. Предотвращение атак с распределенным отказом в обслуживании (DDoS): [Электронный ресурс] / Официальный сайт компании Cisco/ URL: http://www.cisco.com/web/RU/products/ps5887/products_white_paper0900aecd8011e927_.html

    3. DDoS-атаки второго полугодия 2011 г. [Электронный ресурс] / URL: http://www.securelist.com/ru/analysis/208050745/DDoS_ataki_vtorogo_polugodiya_2011_goda

    4. DDoS-весна в Рунете [Электронный ресурс] / URL: http://www.securelist.com/ru/blog/207768876/DDoS_vesna_v_Runete

    5. https://storage.tusur.ru/files/54551/dissertation.pdf

    6. https://efsol.ru/articles/ddos-attacks.html


    написать администратору сайта