Лекция Защита вычислительных сетей от ddosатак
 Скачать 0.54 Mb.
|
Лекция Защита вычислительных сетей от DDOS-атакЛекция Защита вычислительных сетей от DDOS-атак DDOS (Distributed Denial of Service) – распределенный отказ в обслуживании - это скоординированная атака на нарушение доступности услуг (сервисов) системы или сетевого ресурсаDDOS (Distributed Denial of Service) – распределенный отказ в обслуживании - это скоординированная атака на нарушение доступности услуг (сервисов) системы или сетевого ресурса Базируется на реализации множества атак «отказ в обслуживании» (DOS) , проводимых множеством скомпрометированных узлов. Spoofing – подмена IP адресов Модель бот-сетиКлассификация DDOS атак1. Атаки на истощение ресурса сети: Flood –атаки (UDP-flood, ICMP-flood, HTTP-flood, DNS-flood) Атаки , использующие отражатели: (Smurf, Fraggle) 2. Атаки на истощение ресурса узла: TCP SYN, Land, Ping Death, некорректные пакеты Атака на истощение ресурсов сети заключается в посылке большого количества пакетов в атакуемую сеть. Они уменьшают ее пропускную способность сети для законных пользователей Атака на истощение ресурсов узла заключаются в посылке большого количества запросов этому узлу. Для каждого запроса выделяется определенный ресурс. Когда ресурс заканчивается, обслуживание поступающих запросов становится невозможным Flood (наводнение) атака – на жертву направляется огромное количество пакетов, ставится задача исчерпания ресурсов каналов связиFlood (наводнение) атака – на жертву направляется огромное количество пакетов, ставится задача исчерпания ресурсов каналов связи Атаки с использованием отражателейЗащита от DDOS атакЭтапы защиты: -предупреждение атаки; -обнаружение факта атаки; -определение источника атаки; -противодействие атаке Механизмы обнаружения DDOS-атакСпособы обнаружения: -обнаружения злоупотреблений (обнаружение по сигнатурам); - обнаружение по аномалиям Принятый пакет Образцы (сигнатуры) злоупотреблений Эталонное состояние Обнаружение по аномалиям Обнаружение по сигнатурам Обнаружение злоупотреблений –сравнение текущего состояния защищаемого объекта с заранее определенными образцами (сигнатурами), которые описывают ту или иную атаку.Обнаружение злоупотреблений –сравнение текущего состояния защищаемого объекта с заранее определенными образцами (сигнатурами), которые описывают ту или иную атаку. Обнаружение атак по аномалиям заключается в сравнении текущего состояния системы с тем состоянием, когда нарушения состояния не было (с эталонным состоянием). Преимущества сигнатурного метода: -эффективное обнаружение атаки при малом количестве ложных срабатываний; - простота использования не требующая высокой квалификации администратора ИБ.Преимущества сигнатурного метода: -эффективное обнаружение атаки при малом количестве ложных срабатываний; - простота использования не требующая высокой квалификации администратора ИБ. Недостатки: -необходимо постоянно обновлять базу данных сигнатур; -неспособен выявлять неизвестные атаки Системы обнаружения атак по аномалиямМетрики отклонения от модельного состояния: -сравнение с порогом (нагрузка на сервис); -спецификация пакетов; -по вероятностным характеристикам Примеры: MIB variables; MULTOPS; Фильтрация по числу хопов; D-ward Системы обнаружения вторженийIDS (Intrusion detect system)- программное или аппаратное средство для выявления фактов неавтори- зованного вторжения в компьютерную систему Коммерческие: Tripwire, CISCO NetRanger; Свободно распространяемые Snort, OSSEC, Untagle IDS SnortОбеспечивающие компоненты Snortоперационная система FreeBSD или MS Windows; Snort – сам сенсор с детекторами для обнаружения атак; libpcap – сниффер для захвата пакетов; СУБД MySQL – для хранения базы данных событий; PHP – язык разработки для Web; Apache – web-сервер; Basic Analysis and Security Engine (BASE) – консоль управления и просмотра событий (alerts); Oinkmaster – утилита для обновления сигнатур и некоторые другие. Примеры настроек Snortalert icmp any any -> 192.168.1.1 any (msg: "Ping detected!";) Правило ждёт ICMP-пакеты с любого узла, направленные на маршрутизатор (192.168.1.1), и при появлении таковых выводит сообщение "Ping detected!". pass icmp any any -> any any (dsize:>65535; msg: "Ping of Death detected!";) Агент посылет на жертву ICMP пакеты размером большие 65,535 байт, которые не могут быть корректным образом обработаны. Snort проверяет размер входящих ICMP пакетов с помощью параметра dsize и, в случае превышения пакетом установленного размера, отбрасывает их (pass): pass ip any any -> any any (sameip; msg: "Land attack detected!";) Правило проверяет факт совпадения IP адресов, и отбрасывает пакет, если подобная атака имеет место быть: Методы отслеживания DDOS-атакМетоды автоматического отслеживания DDoS-атак Основанные на внесении меток в сетевые пакеты Основанные на ведении записей на маршрутизато рах о проходящих сетевых пакетах Не увеличивающие трафик Увеличивающие трафик iTrace Вероятностное маркирование пакетов Обязательное маркирование пакетов Метод изоляции источника пакета SPIE Пример топологии сетиR17 R12 R19 R4 R5 R23 R20 R14 R6 R2 R3 A A V Маркирование пакетаIP-заголовок Начал. адрес Конечн. Адрес Путь Метки, устанавливаемые в дополнительные поля пакета Хэш-код адр. маршр. Путь IP-заголовок Метки, устанавливаемые в «свободные» поля заголовка пакета |