Статьи

DoS-атаки: методика впливу і способи захисту

БЕЗПЕКА

Останнім часом DoS-атакам приділяється багато уваги, що пояснюється їх високою ефективністю і практично повною відсутністю засобів захисту від них.

Згідно з аналітичними матеріалами, опублікованими компанією Astanetworks (www.astanetworks.com/tools/dos/index.html), в 2000 р цього роду атакам було піддано 125 тис. Корпоративних мереж, або 37% компаній, що використовують у своїй діяльності Інтернет. Збиток, нанесений DoS-атаками, може обчислюватися мільйонами доларів. Так, за оцінкою компанії Yankee Group (www.YankeeGroup.com), збиток від однієї з атак на мережі популярних компаній склав 1,2 млрд. Дол. (Див., Наприклад, Detect, Deflect, Destroy. Internetweek. November 13, 2000. . http://www.internetweek.com/indepth/indepth111300.htm).

DoS-атаки в корпоративних мережах

При DoS-атаці в ІС направляється безліч запитів з вимогою послуги, що надається системою. Їх ресурсномістка обробка не дозволяє обслуговувати справжні запити від клієнтів. Складність захисту від подібного впливу полягає в тому, що неможливо блокувати кошти вторгнення. Так як вторгнення здійснюється через публічний сервіс, надання якого широкому колу користувачів є основним завданням системи, то традиційний спосіб захисту, що складається в блокуванні доступу, неприпустимий.

Найбільш уразливі компоненти корпоративної ІС, розраховані на публічне надання сервісів широкому колу абонентів. Результатом атаки на систему забезпечення бізнес-процесів може стати порушення бізнесу компанії і, як наслідок, фінансові збитки.

Основу корпоративних ІС складають системи зберігання та надання інформації абонентам. Як об'єднує виступає транспортне середовище, що базується на стандартних протоколах передачі даних.

Вплив DoS-атак на стек IP

Для порушення бізнес-процесу досить втрутитися в нормальну роботу IP-стека пристроїв. Впливати на нього за допомогою DoS-атак можна двома способами: встановити велике число з'єднань або згенерувати велику кількість запитів на встановлення з'єднань.

Установка кожного з'єднання вимагає витрат від сервера, який надає ресурси клієнту. Спочатку ресурси витрачаються на активізацію сокета і підтримання його у відкритому стані (сокет - точка з'єднання двох процесів, взаємодіючих через IP-мережу), потім, в разі успішного з'єднання, - на його обслуговування. Велика кількість запитів на встановлення з'єднання також може привести до вичерпання ресурсів сервера, наприклад, до переповнення стека або arp-таблиць, що встановлюють відповідність між IP- і MAC-адресами.

Внаслідок кожного з перерахованих впливів система може значно сповільнити роботу або повністю стати недоступною (наприклад, через порушення маршрутизації або перезавантаження ОС).

Методика захисту від DoS-атак

В якості захисту від DoS-атак можна запропонувати два рішення. Перше полягає в оптимізації налаштування параметрів обладнання з метою зведення до мінімуму негативного ефекту від атаки. Другий метод полягає в реалізації системи детектування зовнішнього впливу.

Оптимізація налаштувань обладнання

Основним завданням оптимізації налаштувань (тюнінгу) обладнання є вибір параметрів мережевих налаштувань. У стеці IP є цілий ряд характеристик, прямо або побічно впливають на роботу обладнання при DoS-атаці.

Доступність сервера при DoS-атаці явно залежить від наступних параметрів IP-стека:

- максимально допустимої кількості одночасно відкритих сокетів;

- максимального часу очікування з'єднання з сокета;

- дозволу / заборони відповіді на ICMP-пакети.

Цими параметрами можна регламентувати взаємодію сервера із зовнішніми абонентами. Установка максимальної кількості відкритих з'єднань і максимального часу очікування встановлення з'єднання дозволить усунути можливість утилізації сервера великою кількістю з'єднань. Знизити такий ризик можна і шляхом відключення протоколу ICMP, в результаті чого сервер буде ігнорувати ICMP-запити.

Крім того, на роботу сервера при DoS-атаці побічно впливають параметри, що визначають загальну продуктивність системи і безпеку, а також такі параметри, як розмір вікна, наявність допоміжних сервісів (Finger, SNMP), час оновлення таблиць маршрутизації.

Значення кожного параметра має бути вибрано відповідно до завдань відповідної інформаційної системи. Наприклад, розмір вікна на сервері, що обслуговує локальну мережу, де ймовірність втрати IP-пакетів незначна, можна встановити максимально допустимим - 32 768 (RFC1323 і RFC2018), що абсолютно неприйнятно для сервера, який обслуговує інтернетівський трафік. Наявність допоміжних сервісів дозволяє збільшити навантаження на сервер, а в ряді випадків і отримати доступ до управління ресурсами. Великий періоду поновлення arp-таблиць і таблиць маршрутизації також сприяє підвищеній утилізації ресурсів.

Визначення зовнішнього впливу

Кількість звернень до ресурсів ІС змінюється протягом дня і залежить від часу доби. Ця характеристика показує активність бізнес-процесів, нормальний перебіг яких забезпечує інформаційна система, що надає доступ до своїх ресурсів. У локальної ІС типова залежність числа звернень від часу доби має вигляд кривою Гаусса (рис. 1).

Мал. 1. Вид трафіку при нормальному функціонуванні інформаційної системи

Вид графіка обумовлений інтенсивністю протікання бізнес-процесів в інформаційній системі в різний час доби: мінімум активності вночі, швидке зростання числа звернень з початком робочого дня і подальший спад активності в кінці роботи.

Якщо розглянути поведінку системи на більш тривалому відрізку часу, то можна побачити характерні для більшості систем закономірності в зміні інтенсивності звернень до системи в залежності від дня тижня (рис. 2).

Мал. 2. Зміна трафіку в залежності від дня тижня

Таким чином, спостереження за станом потоку звернень до ІС може дати інформацію про нормальному її стані. При DoS-атаці системи закон нормального функціонування ІС (див. Рис. 1) буде спотворений через зовнішнього впливу (рис. 3).

3)

Мал. 3. Форма потоку вхідних впливів на систему

Отже, захист від DoS-атак може бути побудована на основі аналізу джерел надлишкового трафіку і заборони його передачі.

Кожна із запропонованих технологій має свої переваги і свої недоліки. Перший метод сприяє зниженню завантаження системи під час атаки, але не дає можливості усунути вплив. Друга методика дозволяє встановити наявність атаки і в ряді випадків - виявити її джерела. Обидві методики доповнюють один одного і при одночасному їх використанні можна звести до мінімуму негативні впливи атакуючої сторони.

З автором можна зв'язатися за адресою: [email protected].

Версія для друку

Тільки зареєстровані користувачі можуть залишати коментарі.

Новости