Засіб захисту від DOS-атак

Размещено на http://www.allbest.ru/

Засіб захисту від DOS-атак

ВСТУП

В даний час, важко собі уявити успішну компанію, не використовує для організації діловодства досягнення науки і техніки в сфері інформаційних технологій. Також розвиток сучасних технологій сприяє розвитку в Україні відповідної нормативної бази. Одним з перспективних напрямків є розвиток електронного документообігу, інфраструктури відкритих ключів, використання засобів сучасної криптографії органами державної влади, органами місцевого самоврядування, підприємствами, установами, організаціями і т.д. Одним з основних переваг використання таких технологій є значне підвищення ефективності діловодства за рахунок прискорення пошуку необхідної інформації, збільшення швидкості обміну інформацією, зменшення відсотка втраченої інформації і т.д. Такі засоби криптографії як електронний цифровий підпис здатні забезпечити такі базові послуги інформаційних систем як конфіденційність, цілісність інформації і т. д. Однак використання цих коштів не дає гарантії забезпечення такої важливої ??послуги, як доступність ресурсів . Для того щоб інфраструктура відкритих ключів могла повноцінно функціонувати, необхідно, щоб користувачі системи завжди могли мати доступ до центрів сертифікації різних рівнів.

На жаль, останнім часом все більшого поширення отримав цілий клас атак (DoS), спрямованих на відмову в обслуговуванні. Успішна реалізація таких атак дозволяє блокувати доступ користувачів інформаційних систем до ресурсів різних серверів, що може вивести з робочого стану всю систему.

Одним із способів реалізації атаки типу відмови в обслуговуванні є завантаження всіх ресурсів сервера обробкою величезної кількості помилкових запитів. У більшості випадків, для організації таких атак використовуються комп'ютери звичайних користувачів без їх відома і згоди. Це здійснюється шляхом встановлення на недостатньо захищені машини шкідливого програмного забезпечення. Після того, як зловмисник зміг інфікувати досить велика кількість вузлів мережі, реалізація розподіленої атаки зводиться до того, щоб відправити одночасно всім зараженим машинам команду, що активує шкідливе ПЗ, перетворюючи тим самим "мирні" комп'ютери в джерело розподіленої атаки (бот-мережу).

Для ефективної протидії DoS-атакам існують кілька серйозних перешкод. Зокрема, багато типів атак не вимагають встановлення сеансу зв'язку з джерелом атаки, що значно ускладнює пошук зловмисника. Але навіть у разі затримання зловмисника, він може не отримати заслуженого покарання у вигляді недосконалості законодавства в різних країнах .

На даний момент в світі існують рішення, що знижують негативний вплив DoS-атак (можуть фільтрувати до 99% шкідливого трафіку), але такі дорогі засоби мають декілька недоліків, які обмежують можливості їх використання. По-перше, подібні алгоритми є комерційною таємницею розробників, що не дає можливості відповідним організаціям сертифікувати ці продукти. Другим недоліком є ??висока ціна, що робить продукт недоступним для багатьох компаній і організацій.

З усього вищезазначеного видно, що проблема виявлення і протидії DoS-атакам є актуальною і вимагає недорогих і ефективних рішень. У бакалаврській роботі пропонується методика раннього виявлення однієї з найпоширеніших розподілених DoS-атак - TCP SYN атаки. В основі цієї методики лежить модель теорії систем масового обслуговування, що описує взаємодію сервера із клієнтами. Розроблена модель враховує індивідуальні значення різних параметрів, що характеризують роботу мережі і сервера, що підвищує ефективність виявлення атаки. У роботі так само пропонується програмна реалізація розробленої методики. Таке рішення орієнтоване на захист критичних ресурсів корпоративної мережі від зазначеної вище атаки.

Метою даної роботи є покращення захисту інформаційно-комунікаційних безпек з точки зору вимоги доступності. Відмовідно до мети, завданням бакалаврської поботи є класифікація DoS-атак, розробка моделі методики виявлення DoS-атаки та реалізація відповідного програмного засобу..

Для можливості використання запропонованої методики на практиці для захисту критичних ресурсів корпоративної мережі необхідні так само засоби, що дозволяють визначити фактичні значення вхідних параметрів моделі для конкретного сервера і мережі, до якої він підключений.

1. АНАЛІЗ ЛІТЕРАТУРНИХ ДЖЕРЕЛ

1.1 Класифікація загроз відповідно до IT-Baseline Protection Manual

Одним з кращих документів у цій галузі класифікації загроз є IT-Baseline Protection Manual [1]. У цьому стандарті наводиться перелік можливих загроз, а так само рекомендуються організаційні і технічні заходи для захисту від них. У наведеній в класифікації всі загрози розділені на 5 основних груп:

1) Загрози, пов'язані з форс-мажорними обставинами

2) Загрози, пов'язані з недоліками організації та управління

3) Загрози, пов'язані з людським фактором

4) Загрози, пов'язані з технічними несправностями.

5) Загрози, пов'язані зі спланованими діями зловмисників.

Кожна з цих груп містить великий перелік загроз, докладний розгляд яких виходить за межі цієї роботи, тому нижче наведені лише деякі приклади, що дають уявлення про розмаїтості загроз.

Розглянуті в першій групі загрози характеризуються тим, що їх джерела важко заздалегідь передбачити і їх прояв носить випадкових характер. Однією з таких загроз є проблеми з персоналом. Збиток в цьому випадку проявляється в тому, що хвороба, смерть або страйку персоналу можуть призвести до переривання виконання критичних завдань, або виходу з ладу критичних ресурсів. Джерелами цілого ряду загроз є ПП як природного (блискавки, пожежі, повені, дощі, магнітні бурі) так і техногенного (загоряння кабелів, аварії, порушення систем тепло-, водо-, та електропостачання) характеру. Варто відзначити, що такого роду загрози можуть наносити як безпосередній, так і непрямий збиток. Наприклад, під час пожежі обладнання може піддаватися деструктивному впливу не тільки від контакту з відкритим вогнем, а й під дією газових сумішей, що утворюються при горінні.

Так само до погроз цієї групи відносяться неприпустимі температури і вологість, пил і бруд, який можуть привести до виходу з ладу деяких ресурсів інформаційної системи.

Для систем, підсистеми яких тісно пов'язані між собою, серйозними загрозами є відмови і збої в системі. Відмова в роботі одного з компонентів може спричинити за собою збій роботи всього механізму. Прикладом такої загрози може бути різкий стрибок напруги в електромережі, результатом якого може бути вихід з ладу блоку живлення одного з критичних ресурсів системи. В результаті цей ресурс може стати недоступним для всієї системи на тривалий час. Ще одним прикладом є розподілених ІТ систем, в яких час є критичним ресурсом. В цьому випадку збої в роботі WAN можуть привести до збоїв роботи всієї системи або її компонентів.

Загрози другої групи характеризуються тим, що їх джерелом є недоробки організаційного характеру. До таких загроз належать відсутність або недосконалість регламентують правил і документів, недостатнє ознайомлення з ними персоналу, низькоякісний моніторинг і аудит заходів безпеки. Наприклад, якщо в політиці безпеки не заборонено використання неврахованих носіїв даних, або службовець не ознайомлений з цим положенням, то значно підвищується ймовірність попадання в корпоративну мережу шкідливого ПЗ, принесеного співробітником ззовні на flash-носії. Ще одним прикладом цього виду загроз є недостатнє фінансування, або неефективне використання ресурсів. Наприклад, необхідність використання старих версій ОС (таких як Windows 98) призводить до неможливості аудиту дій користувачів.

Так само до погроз цієї групи відносяться помилки в проектуванні системи. Наприклад, неправильний розрахунок пропускної здатності каналу зв'язку призведе або до необгрунтованих витрат на послуги зв'язку, або до уповільнення роботи інших компонентів. Варто згадати загрози пов'язані з тестуванням. До них відносяться неякісне тестування і тестування з використанням реальних даних. У першому випадку в експлуатацію може надійти нестабільна або неправильно працює система, а в другому може мати місце порушення конфіденційності даних.

Іншими прикладами таких загроз є неавторизований доступ в приміщення, використання ресурсів, перевищення повноважень і т.д.

Джерелами загроз третьої групи є некоректні дії користувачів системи. Внаслідок таких дій можлива втрата конфіденційності або цілісності даних. Наприклад, якщо користувач роздрукував інформацію на принтері і забув забрати роздруківку, то її зміст може стати доступним для користувачів, що не мають на це прав. Втрата цілісності можлива в разі неправильного налаштування прав доступу до файлів. Ще одним прикладом загрози цієї групи є неповна відповідність заходам безпеки. Наприклад, зберігання носіїв інформації в закритому ящику стола ще не гарантує достатнього захисту від несанкціонованого доступу, якщо ключ від ящика знаходиться в офісі в загальнодоступному місці - наприклад на столі. Необережні дії користувачів і нецільове використання системи можуть призвести до втрати даних, пошкодження обладнання тощо

Велика частина загроз цієї групи пов'язана з некоректним адмініструванням і налаштуванням системи. Наприклад, неправильне з'єднання кабелів, налаштування мережевих пристроїв може призвести до того, що дані будуть додатково передаватися іншим адресатам. У разі неправильної настройки прикладних сервісів, таких як Web, SMTP, POP3, IMAP і т.д. так само можливе порушення конфіденційності і цілісності інформації.

Джерелами загроз четвертої групи є різного роду технічні несправності. Це можуть бути збої в мережах електро-, тепло-, водопостачання, в протипожежних системах і системах кондиціонування і вентиляції, в мережах зв'язку і т.д. В результаті реалізації таких загроз може вийти з ладу обладнання, що в свою чергу може привести до зупинки функціонування всієї системи, або її окремих компонентів. Так само прикладами такого роду погроз можуть бути несправність обладнання, носіїв інформації, помилки при передачі даних.

Так само до цієї групи належать помилки і вразливості ПЗ. Наприклад, в деяких широко поширених додатках функціональність дозволяє застосовувати криптоперетворень до документів і т. д. Однак ця функціональність реалізує нестійкі алгоритми, захист яких можна легко обійти за допомогою загалоньодоступних в Інтернеті інструментів. Так само широко відомим різновидом вразливостей ПЗ є переповнення буфера. Ці вразливості використовують той факт, що розробники досить часто не обмежують розмір даних, які вводяться користувачами. Це може привести до того, що введені користувачем дані можуть бути інтерпретовані як виконуваний код.

Ще одна цікава загроза пов'язана з налаштуваннями автозапуску з CD приводу. У разі, коли включена опція автоматичного запуску диска у ОС сімейства Windows, автоматично виконується файл AUTORUN.INF, зміст якого заздалегідь невідомо.

П'яьа група містить найбільшу кількість погроз. У ній представлені загрози, які можуть бути реалізовані як при безпосередньому фізичному впливі (крадіжки, акти вандалізму і т.д.) так і віддалено.

Одним із прикладів таких загроз є дія так званого шкідливого ПЗ. Так само існують загрози, пов'язані з аналізом мережевого трафіку за допомогою спеціальних програм (sniffers). При реалізації цих загроз зловмисник може отримати несанкціонований доступ до конфіденційної інформації: e-mail, паролів (які в багатьох протоколах передаються по мережі у відкритому вигляді). Так само за допомогою мережевого трафіку зловмисник може отримати уявлення про внутрішню структуру мережі (використовувані IP адреси, топологію і т.д.), яке ПЗ використовується на машинах в мережі і т.д. Якщо зловмисник контролює мережевий пристрій (маршрутизатор, міст і т.д.) через який проходить трафік, то крім порушення конфіденційності інформації може бути присутнім порушення її цілісності.

Варто згадати загрози, пов'язані зі спуфінгом (spoofing). Прикладами таких загроз є ARP- і DNS-spoofing. Реалізація цих загроз дозволяє змінити маршрутизацію пакетів у локальних (ARP, DNS) і глобальних (DNS) мережах, в результаті чого зловмисник отримує можливість контролювати трафік атакованих систем. Так само існує загроза Web-spoofing. Вона полягає в тому, що зловмисник може імітувати будь-якої Web сайт шляхом реєстрації доменного імені зі схожою назвою, при цьому багато користувачів про це навіть не будуть здогадуватися. Наприклад, у компанії "Роги і копита Ukraine" є web сайт www.rogakopita.ua. Якщо користувачі не знають точного доменного імені? то багато хто з них почнуть пошук з www.rogakopita.com, за яким зловмисники можуть розмістити схожий сайт.

Загроза конфіденційності інформації полягає в тому, що інформація стає відомою тим сторонам інформаційної взаємодії, у яких немає прав на ознайомлення з цією інформацією. Прикладами реалізації такої загрози можуть бути:

- перехоплення і аналіз мережевого трафіку за допомогою спеціалізованого програмного забезпечення. Таке ПЗ називається сніффером;

- криптоаналіз зашифрованих даних;

- несанкціонований доступ до даних, що знаходяться в різних пристроях зберігання даних (на жорсткому диску, в ОЗУ, flash і т.д). Загрози порушення цілісності інформації включають в себе несанкціоновані зміни або видалення даних, які обробляються в інформаційній системі. Прикладами реалізації такої загрози можуть бути:

- модифікація трафіку, що проходить через хост атакуючого, або за допомогою спеціалізованого ПЗ;

- модифікація файлів інших користувачів, що зберігаються на спільному дисковому просторі.

Загрози порушення автентичності полягають в тому, що в результаті проведення деяких дій користувач або процес видає себе за іншого користувача і має можливість скористатися чужими правами і привілеями. Прикладами реалізації такої загрози є:

- нав'язування хибних мережевих адрес (ARP-spoofing) і доменних імен (DNS-spoofing), відповідно, може здійснюватися на мережевому і транспортному рівнях моделі OSI;

- класична атака типу людина посередині (Man in the middle). Полягає в тому, що зловмисник непомітно впроваджується в канал зв'язку між двома абонентами і отримує повний контроль над інформацією (модифікація, видалення, створення дезінформації), якою обмінюються сторони. При цьому він залишається абсолютно невидимим для абонентів.

Загрози порушення спостережливості полягають в тому, що в результаті деяких дій зловмисника стає неможливим фіксування діяльності користувачів і процесів, використання пасивних об'єктів, а так само однозначно встановлювлення ідентифікаторів причетних до конкретних подій користувачів і процесів. Прикладами реалізації таких атак може бути:

- очищення журналів аудиту;

- відключення системи аудиту;

- переповнення журналу аудиту, в результаті чого, записи про деякі події видаляються;

- зараження системи rootkit'ом.

Загрози порушення доступності ресурсів полягають в проведенні деяких дій, в результаті яких блокується доступ до деякого ресурсу інформаційної системи з боку легальних користувачів. Прикладами реалізації таких загроз можуть бути:

- завантаження ресурсів сервера фіктивними запитами зловмисника, в результаті чого запити від легальних користувачів не можуть бути оброблені.

- обрив каналу зв'язку, між взаємодіючими сторонами

Атаки, що реалізують такі загрози, називаються DoS (Denial of Service) атаками.

1.2 Класифікація атак на відмову в обслуговуванні

В сучасному світі з кожним днем збільшується використання комп'ютерів та комп'ютерних мереж. Все більш розповсюдженими є як мобільні пристрої - телефони та планшети, так і розумна побутова електроніка - телевізори, холодильники, сучасні ігрові приставки. Однією з найбільш розповсюджених загроз є атака на відмову в обслуговуванні. Ця атака унеможливлює роботу системи, частково або повністю блокує необхідні користувачу ресурси та послуги.

Атаки на відмову в обслуговуванні можна поділити на 2 великі групи - власне Denial-of-Service-атаки та Distributed-Denial-of-Service-атаки. Остання характеризується використанням декількох мережевих вузлів для реалізації атаки, зазвичай достатньо велика кількість, що значно утруднює виявлення такої атаки та захист від неї.

Для полегшення виявлення та захисту від подібних атак необхідно мати чітку класифікацію за різними критеріями. На даний момент існує велика кількість класифікацій DoS-атак, базовою з яких вважається класифікація «Taxomony of DoS attacks» [2], проте такої, яка б дозволила максимально охопити всі сучасні особливості проведення DoS-атак, з можливістю застосовувати в реальних системах не має.

Основні запропоновані критерії класифікації наведено нижче (рис. 1.1).

За кількістю задіяних пристроїв - за цією ознакою атаки можна поділити власне на: прості DoS-атаки; групові DDoS-атаки - з використанням невеликої кількості добровільно задіяних комп'ютерів (до 100 пристроїв) та масовані DDoS-атаки - більше 100 пристроїв.

Відповідно слід розрізняти методи боротьби з такими атаками. У разі простих, або групових атак достатнім може бути блокування пакетів з відповідних машин в ручному режимі за принципом чорного списку. У разі масованих атак проблематично заблокувати усі можливі джерела атаки у ручному режимі, а особливо відрізнити легальних користувачів від атакуючих.

За приналежністю джерел атаки до зловмисника атаки можна поділити на: добровільні атаки з машин зловмисників, атаки з використанням бот-мереж, атаки з використанням фізичних та віртуальних виділених серверів, атаки з використанням проміжних машин та засобів тунелювання та атаки з використанням випадкових користувачів [3].

Необхідно звернути увагу на те, що якщо атака виконується з виділених серверів, трафік може бути значним навіть при невеликій кількості пристроїв, оскільки подібні сервери зазвичай мають багатогігабітні канали. При забезпеченні захисту від атак з проміжних засобів тунелювання необхідно враховувати, що один засіб тунелювання може одночасно використовуватись як для атаки так і для легального доступу для сервісу, розпізнавання цієї різниці може викликати труднощі [4].

Атаки з використанням бот-мереж можна поділити на атаки з використанням заражених серверів, атаки з використанням заражених домашніх комп'ютерів та атаки з використанням заражених мобільних пристроїв.

За складом машин-джерел атаки DoS-атаки можна поділити на статичні (використовується фіксована кількість конкретних машин), динамічні з керуванням (кількість та розташування машин-джерел атаки може змінюватись з часом, при цьому існує конкретний перелік можливих джерел атаки - список IP-адрес, нод Tor або IP-адреси користувачів IRC-каналу) та динамічні без керування - відрізняються відсутністю технічної можливості встановити список машин-джерел атаки.

За засобом керування атаки можна поділити на: ручні (зловмисник вручну створює кожний необхідний пакет), керовані (розподілена атака керується віддалено) та автоматичні (атака виконується без втручання людини).

Рисунок 1.1 - Класифікація DOS-атак

Відповідно засоби керування атакую можна розділити за засобом комунікації на пряме керування - централізоване керування з одного центра, машини мають відкритий порт, за яким можна ідентифікувати машини-джерела та непряме керування - машини не мають відкритого порта, керуються за допомогою реверс-з'єднань або додаткових протоколів (IRC, BitTorrent).

Керовані атаки з прямим керуванням можуть можна поділити за засобом включення у мережу: на випадкове сканування - зловмисник випадково сканує IP-адреси на наявність заражених машин, сканування за списком - зловмисник має список заражених машин та зворотній зв'язок - заражені машини приховано повідомляють про своє зараження.

За типом вразливості атаки можна поділити на семантичні - використання особливостей конкретного протоколу або сервісу та flood - спроби «тупого» перевантаження за допомогою величезної кількості або розміру пакетів.

За коректністю адреси джерела атаки можна поділити на: атаки з вказуванням коректного джерела - можливо чітко визначити адресу джерела атаки в пакеті даних, атаки з вказуванням підробленого джерела - адреса джерела в пакеті відсутня або вказана некоректно та реверс-атаки (amplification attack) - використання відповіді сервера для атаки (DNS, Google), відповідно складається враження, що атаку виконує легальний сервіс, який насправді просто відповідає на некоректно сформовані запити.

За динамікою потужності атаки можуть бути поділені на: атаки з постійною потужністю - атака виконується з фіксованою потужністю, атаки з випадковою змінною потужністю - потужність атаки змінюється випадковим чином, атаки з визначеною змінною потужністю - потужність змінюється за відомим алгоритмом, атаки з потужністю, що коливається - потужність атаки коливається або пульсує, атаки з потужністю, що збільшується - потужність атаки постійно збільшується.

За рівнем реалізації атаки можна поділити на атаки на фізичному рівні - фізичне втручання в комп'ютерну систему, таке як обрив кабелю, збільшення напруги, випромінювання, атаки на канальному рівні [5] - атака на рівні фізичної адресації та кадрів, атаки на мережному рівні - атака на рівні ІР-пакетів, атаки на транспортному рівні - атака на рівні сегментів та дейтаграм, атаки на сеансовому рівні - атака у межах логічних з'єднань, атаки на прикладному рівні - атака з використанням протоколів прикладного рівня та атаки на рівні сервісів - атака з використанням особливостей конкретного додатку або сервісу [6].

Необхідно враховувати, що чим вищий рівень атаки, тим менше сервісів вона вражає. Відповідно атака на фізичному рівні або мережному рівні може вивести з ладу всю мережу підприємства, атака на прикладному рівні - веб-сервер з усіма розміщеними сайтами, а атака на рівні сервісу лише заблокує використання конкретного сервісу, наприклад певного веб-сайту.

За впливом на жертву атаки можна поділити на атаки, що блокує доступ - результатом є блокування з'єднань сервісу з клієнтами, атаки, що збільшує споживання ресурсів - не блокує доступ повністю, а лише значно збільшує споживання ресурсів, атаки, що призводить до руйнування - наслідком атаки є руйнування компонентів системи - втрачання даних внаслідок переповнення жорсткого диску, перегрівання та вихід з ладу обладнання [7].

Блокуючи атаки можна поділити на атаки з можливістю відновлення - з'єднання клієнтів стане можливим, як тільки атака припиниться та атаки без можливості відновлення - з'єднання клієнтів не стане, як тільки атака припиниться - необхідне ручне втручання, можливо відновлення даних. За типом вразливості атаки можна поділити на атаки на протокол та атаки на реалізацію.

1.3 Особливості реалізації DoS-атак. Атака TCP SYN

DoS-атаки спрямовані на порушення базової послуги доступності. Основна мета DoS-атак - вивести об'єкт з робочого стану і зробити його ресурси недоступними для легальних користувачів. Атаку, спрямовану на відмову в обслуговуванні, можна провести двома способами: використовуючи вразливості в програмному забезпеченні системи, що атакується і за допомогою відсилання великої кількості спеціально сформованих мережевих пакетів.

Перший спосіб складніший і вимагає більш високої кваліфікації атакуючого. Другий спосіб заснований на застосуванні "грубої сили". Ідея полягає в тому, щоб завантажити обчислювальні ресурси сервера обробкою величезної кількості надісланих зловмисником пакетів. Таке завантаження сервера в кращому випадку може призвести до того, що сервер буде нездатний прийняти на обробку запити від легальних користувачів, а в гіршому випадку може привести до зависання і відключення сервера.

Тут варто відзначити, що можна виділити два типи атак, спрямованих на завантаження ресурсів системи: в першому випадку завантажуються обчислювальні ресурси сервера, а в іншому - пропускна здатність каналу зв'язку. Запропонована методика орієнтована на захист від атак першого типу, тому далі будемо вважати, що пропускної здатності досить, щоб сервер отримав весь адресований йому трафік.

Для багатьох DoS-атак результати обробки сервером пакетів, відправлених зловмисником, останнього не цікавлять. Це означає, що атакуючий може відправляти потік хибних заявок з хибних IP-адрес, що перешкоджає його виявленню і ефективній протидії такого роду атак.

Для проведення успішної DoS-атаки необхідна досить висока пропускна здатність каналу. Тому атака на відмову в обслуговуванні в більшості випадків проводиться відразу з декількох машин. Атака, в проведенні якій бере участь вклика кількість машин, отримала назву DDoS (розподілена атака на відмову в обслуговуванні). Варто зазначити, що для розподіленої атаки можуть використовуватися інфіковані спеціальним ПЗ машини, які не належать атакуючому. Такі заражені машини називаються "зомбі". Одним із способів отримання "зомбі" є масове впровадження троянської програми на комп'ютери звичайних користувачів. Отримавши певну команду така бот-мережа перетворює "мирний" комп'ютер з доступом в Інтернет в джерело помилкових запитів, спрямованих на перевантаження ресурсів сервера.

Найбільш поширеними DoS атаками є:

- TCP SYN Flood або просто TCP SYN [13]

- TCP flood

- Ping смерті

- ICMP Flood

- UDP Flood

Розглянемо докладніше TCP SYN (TCP SYN Flood) атаку, яка спрямована на прикладні сервіси, що використовують протокол транспортного рівня TCP. Цей протокол набув широкого поширення в інформаційних системах за рахунок того, що він гарантує 100% доставку всіх переданих даних. Взаємодіючі вузли мережі, що використовують в якості транспорту цей протокол, встановлюють між собою TCP з'єднання, в рамках яких ведеться контроль над тим, що одержувач отримає все послані відправником пакети. Це досягається за рахунок того, що одержувач сповіщає відправника про те, які пакети він отримав. Якщо до одержувача дійшли не всі призначені йому пакети, то відправник повторно їх відправить. Як видно, перевагою цього протоколу є можливість встановлення логічного з'єднання. Для зберігання інформації про поточний стан з'єднання зокрема використовується поле бітових прапорців в пакетах, які використовуються протоколом. Під це поле відведено 8 біт, проте 2 з них є зарезервованими і в даний час використовуються тільки 6 прапорців: URG (прапор терміновості), ACK (прапор підтвердження), PSH (прапор функції), RST (прапор скидання), SYN (прапор синхронізації) і FIN (прапор закінчення). На жаль, встановлений стандартом механізм встановлення з'єднання не є досконалим, і розглянута атака як раз експлуатує його недоліки.

Основна мета TCP SYN атаки - перевищити обмеження на кількість TCP з'єднань, які знаходяться в стані встановлення з'єднання. Розглянемо процедуру встановлення TCP з'єднання. Спочатку клієнт ще не започатковши з'єднання відправляє серверу TCP-SYN запит. Отримавши такий запит, сервер виділяє пам'ять для параметрів з'єднання в спеціально призначеному для цього буфер. Потім відправляє клієнту TCP пакет з прапорами SYN + ACK. Отримавши пакет SYN + ACK, клієнт повинен відправити серверу пакет з підтвердженням, тобто пакет з встановленим прапором ACK. Коли сервер отримає і обробить цей пакет, з'єднання є встановленим. описана вище процедура зображена на рис. 1.2.

Рис. 1.2 Встановлення TCP з'єднання

TCP SYN атака проводиться таким чином: зловмисник генерує велику кількість пакетів з встановленими SYN-прапорцями протоколу TCP. Отримуючи пакети, машина виділяє пам'ять для зберігання параметрів з'єднання і відправляє у відповідь пакет з прапорцями SYN + ACK і очікує пакета з прапорцем ACK. Очевидно, що очікувану відповідь вона не отримає, і пам'ять буде звільнена тільки після закінчення встановленого часу очікування. Через деякий час буфер, виділений для зберігання параметрів TCP-з'єднань буде повністю зайнятий, в результаті чого, система не зможе встановлювати нові з'єднання. Після цього кожен додатковий запит ще сильніше збільшує навантаження. Такі атаки не потребують зворотного зв'язку з атакуючим, і тому зловмисник може генерувати пакет з довільними IP-адресами відправника.

Відсутність зворотного зв'язку з атакуючим робить виявлення і блокування TCP SYN-атаки досить складним завданням.

1.4 Відомі методи протидії TCP SYN-атакам

У цьому розділі розглядаються існуючі методи виявлення і протидії TCP SYN атаці, описуються їхні переваги і недоліки.

1.4.1 Метод протидії TCP SYN Cookies

Цей метод захисту від даної атаки був запропонований в 1996 році [4], незабаром після перших TCP SYN атак, що викликали великий резонанс. В основі цього методу лежить зміна ідентифікатора послідовності TCP TCP. Значення цього параметра визначається наступним чином:

- 5 старших бітів: значення т по модулю 32, де т - 32-розрядний лічильник часових інтервалів, значення якого збільшується на 1 кожні 64 секунди;

- наступні 3 біта: кодоване значення MSS, вбрання сервером у відповідь на MSS клієнта;

- молодші 24 біта: обрані сервером на основі IP-адрес і номерів портів відправника і одержувача, а також величини т значення секретної функції.

Такий алгоритм вибору початкового порядкового номера відповідає основним вимогам протоколу TCP, відповідно до яких номери повинні збільшуватися досить повільно і початкові порядкові номери для серверів ростуть трохи швидше, ніж порядкові номери для клієнтів.

Сервери, що використовують функції SY-cookie не відкидають з'єднання при заповненні черзі SYN. Натомість вони передають ініціатору з'єднання пакет SYN + ACK, в точності відповідний пакету, який був би переданий при більшому розмірі черзі SYN (виключення: сервер повинен відкидати (відхилити) TCP такі опції, як велике вікно, і повинен використовувати 1/8 значення MSS, яке він може кодувати). При отриманні пакету ACK, сервер переконується в роботі секретної функції для останнього значення т і перебудовує запис черзі SYN відповідно до значення MSS.

Варто зазначити, що цей метод реалізований в ОС сімейства Linux і FreeBSD. До переваг цього методу можна віднести його достатню ефективність. Недоліком методу є необхідність модифікації реалізації стека TCP / IP, яка, на думку деяких фахівців в області мережевих технологій, суперечить специфікації протоколу TCP.

1.4.2 Метод протидії TCP RST Cookies

Цей метод полягає в тому, що клієнту, що надіслав запит на з'єднання, SYN + відправляється ACK пакет, з невірними параметрами. Відповідно до специфікації протоколу TCP клієнт повинен надіслати RST пакет. Якщо такий пакет приходить до сервера, то сервер додає клієнта в список довірених клієнтів. Перевагою цього методу є перевірка клієнта, при цьому до недоліків можна віднести недосконалість механізму такої перевірки. По-перше, ця перевірка вимагає додаткового часу на відправку некоректного SYN + ACK і отримання RST пакетів. У доступній літературі недостатньо інформації про цей метод, що ускладнює аналіз його переваг та недоліків. Зокрема, виникає питання, за яким критерієм сервер ідентифікує клієнтів. Якщо це тільки IP-адреса, то зловмисник може при організації атаки встановлювати в якості адреси відправника адресу вже перевіреного сервером клієнта.

1.4.3 Метод протидії Floodgate

Метод полягає в тому, що в умовах атаки сервер обробляє не всі SYN пакети, а тільки їх частину. Зазвичай ця частина вибирається випадковим чином. Перевагою цього методу є простота реалізації, однак це виливається в його ж основний недолік - низьку ефективність, тому що заявки легальних користувачів будуть фільтруватися системою нарівні з шкідливим трафіком.

1.4.4 Метод протидії на рівні маршрутизатора

Цей метод полягає в тому, що кожен маршрутизатор в мережі контролює IP-адреси відправників в трафіку, що їм обробляється, виявляє пакети з помилковими адресами і знищує їх. Головною перевагою цього методу є те, що він повністю виключає можливість атаки з підроблених адрес, що є головною перешкодою для її ефективного виявлення і блокування. Недоліком методу є його ціна, обумовлена ??необхідністю заміни величезного числа діючих в даний час в мережі Інтернет маршрутизаторів.

1.4.5 Метод протидії Random Drop

Метод заснований на тому, що деякі з напіввідкритих з'єднань закриваються сервером. Перевагою такого методу є простота реалізації, а головним недоліком - низька ефективність фільтрації трафіку, при якій з високою ймовірністю будуть закриті з'єднання з легальними клієнтами.

1.4.6. Метод протидії SYN-проксі

Цей метод вимагає додатковий проксі-сервер, призначенням якого є обробка SYN-пакетів. Він служить посередником між клієнтом і сервером. Якщо проксі-сервера вдалося встановити з'єднання з клієнтом, то клієнт допускається до ресурсів головного сервера. Перевагою даного методу є те, що ресурси основного сервера використовуються з більшою ефективністю, а недоліки полягають в незахищеності проксі-сервера від атаки і складність реалізації.

1.4.7 Метод протидії за допомогою налаштування мережевого стека

Полягає в змінах налаштування параметрів протоколу TCP на сервері. Як правило, цими параметрами є: таймаут перед закриттям напіввідкритого з'єднання, максимально можливу кількість напіввідкритих з'єднань і час очікування відповідного ACK-пакета. Перевагою методу є можливість підвищення ефективності роботи сервера за рахунок урахування параметрів сервера і мережі. Недоліки полягають в тому, що це метод не працює проти інтенсивної атаки і вимагає високої кваліфікації адміністратора.

1.4.8 Метод протидії Blacklisting

Полягає в тому, що сервер не обслуговує заявки, що надходять від клієнтів, внесених до "чорного списку". Цей метод малоефективний, враховуючи те, що зазвичай атаки проводяться з фальшивих адрес. Цей метод був би ефективний при використанні спільно з методом предмаршрутізаціонной фільтрації.

Таким чином, в даний час існують різні механізми виявлення та протидії TCP SYN атаці. Найбільш ефективним з них є метод SYN Cookies, проте він, як і всі інші, має недоліки, такі як необхідність внесення відповідних змін до реалізацію стека протоколів TCP / IP на сервері, недостатня ефективність виявлення атаки через відсутність методики вибору конкретних значень для параметрів захисту. У зв'язку з цим, проблема TCP SYN атак вимагає нових ефективних рішень, і тематика даної роботи є надзвичайно актуальною.

1.5 Постановка завдання

Оскільки в сучасному світі з кожним днем збільшується використання комп'ютерів та комп'ютерних мереж та все більш розповсюдженими є як мобільні пристрої - телефони та планшети, так і розумна побутова електроніка - телевізори, холодильники, сучасні ігрові приставки - однією з найбільш розповсюджених загроз є саме DoS-атака. Ця атака унеможливлює роботу системи, частково або повністю блокує необхідні користувачу ресурси та послуги. Метою даної роботи є розробка методики виявлення і протидії атакам на відмову в обслуговуванні, однієї з найпоширеніших атак на даний час. Завданням даної роботи є дослідження DoS-атак, дослідження структури атак та особливостей протидії їм, розробка та реалізація програмного засобу для захисту від атак на відмову в обслуговуванні.

В даний час у відкритій літературі не відомі ефективні методи виявлення TCP SYN атак. У сучасних ОС присутні механізми захисту сервера, наприклад SYN-кукі. Операційна система автоматично включає захист, коли виявляє перевищення значень деяких параметрів. Наприклад, ОС Windows стежить за значеннями трьох параметрів: TcpMaxHalfOpen, TcpMaxHalfOpenRetried, TcpMaxPortsExhausted. Граничні значення для цих параметрів мають значення за замовчуванням і можуть мінятися адміністратором. Якщо вихідні значення не підходять для конкретного сервера, то перед адміністратором стоїть непросте завдання ефективно налаштувати захист. Крім того, цей метод вимагає внесення відповідних змін до реалізацію стека TCP/IP, які деякі фахівці в області мережевих технологій вважають "серйозним порушенням" протоколу TCP.

Іншим недоліком методів виявлення DoS-атаки інтегрованих в ОС є те, що при перевантаженні (мається на увазі брак ресурсів процесора і пам'яті) або зависанні самої системи засоби протидії так само стають непрацездатними.

2. МОДЕЛЬ TCP-SYN АТАКИ

програмний інформаційний атака

Метою бакалаврської роботи є створення методики виявлення TCP SYN атаки, в основі якої знаходиться модель, що враховує особливості середовища, для якої розробляється методика. У зв'язку з цим на початковому етапі досліджень стало питання про те, який математичний апарат доцільно використовувати для побудови найбільш ефективної моделі. Після аналізу існуючих напрямків сучасної науки було прийнято рішення використовувати теорію систем масового обслуговування, специфіка якої ідеально підходить для вирішення поставленого завдання. Нижче наведено опис деяких понять, які використовуються в роботі.

2.1 Використання теорії систем масового обслуговування

Під системою масового обслуговування зазвичай розуміється сукупність обслуговуючих приладів і запитів (заявок) з деякого вхідного потоку вимог.

Число приладів в системі масового обслуговування може бути будь-яким. Основною характеристикою приладу є час обслуговування одного запиту цим приладом. Цей показник характеризує не якість обслуговування, а пропускну здатність приладу. Час обслуговування зазвичай не змінюється, залежить від різних факторів. Тому в загальному випадку ця величина є випадковою. При цьому в теорії масового обслуговування вважають, що тривалість обслуговування різних запитів одним приладом є незалежні випадкові величини з одним і тим же законом розподілу. Найбільш часто припускають, що це закон є показовим. Його застосовують в тих випадках, коли часу обслуговування переважної більшості запитів використовується мало і тільки для порівняно невеликої частини вимог його багато. При показовому розподілі часу обслуговування вимог теоретичні міркування істотно спрощуються, а багато остаточних результатів виявляються справедливими і для довільного закону розподілу, але з тим же середнім часом обслуговування.

Так само в теорії масового обслуговування прийнято вважати, що вхідний потік запитів розподілений по пуассонівському закону розподілу. За визначенням пуассонівский потік повинен задовольняти трьом наступним вимогам: стаціонарності, відсутності наслідків і ординарності.

Потік називається стаціонарним, якщо ймовірність надходження запитів протягом проміжку часу t не залежить від моменту початку цього проміжку.

Під відсутністю наслідків розуміється то, що ймовірність надходжень запитів в систему після довільного моменту часу t0 не залежить від того, коли і скільки надійшло запитів до цього моменту часу. З цього випливає взаємна незалежність надходження того чи іншого числа запитів на обслуговування в різні проміжки часу.

Властивість ординарности означає, що ймовірність надходження більше одного запиту за малий проміжок часу dt є величина вищого порядку, ніж dt. Воно виражає практичну неможливість одночасного надходження двох або більше запитів.

Варто відзначити, що багато реальних потоків є наближено пуассонівськими.

Пуассонівський потік повністю визначається одним параметром - інтенсивністю потоку л. На практиці величину л знаходять статистично. При цьому одночасно, наприклад, за допомогою критерію згоди, перевіряють, чи дійсно потік вимог, що розглядається, із заданою вірогідністю можна вважати пуассонівським.

Математичний апарат теорії масового обслуговування дозволяє визначити основні параметри системи: середнє число зайнятих приладів, ймовірність відмови в обслуговуванні запиту, середню довжину черги, середній час простою запиту в черзі і т.д.

Для нас найбільший інтерес буде представляти середнє число зайнятих приладів:

(2.1)

де n - кількість приладів в системі,

,

- інтенсиність потоку запитів,

- математическое сподівання часу обслуговування одного запиту.

- ймовірність знахождения в системі k запитів

(2.2)

Наведені співвідношення дозволяють визначити середню кількість запитів, що знаходяться в системі масового обслуговування, що буде використано нижче при побудові методики виявлення даної атаки.

2.2 Потік запитів

Будемо розглядати безліч TCP SYN пакетів, що надходять до сервера, як вхідний потік запитів. Покажемо, що в певних умовах цей потік можна вважати пуассонівським.

Інтенсивність цього потоку може залежати від часу, якщо розглядати його протягом досить великих проміжків часу. Наприклад, протягом доби в денний час його інтенсивність може бути більше, ніж вночі. Проте, при зменшенні тривалості аналізованого проміжку інтенсивність надходження TCP SYN запитів стабілізується і може розглядатися як деяка постійна величина. Для різних мереж тривалість такого проміжку може бути різною (як правило, від декількох хвилин до декількох годин) і може бути встановлена ??експериментально.

У цьому випадку ймовірність надходження запитів в інтервалі часу (0, t) дорівнює ймовірності надходження запитів в будь-якому іншому інтервалі тієї ж тривалості (a, a + t) в межах заданого проміжку. Таким чином, розглянутий потік має властивість стаціонарності.

Далі будемо вважати, що користувачі звертаються до ресурсів сервера незалежно один від одного. Якщо при одному зверненні користувача до сервера встановлюється одне TCP з'єднання, то потік запитів має властивість відсутності наслідків. Однак деякі додатки прикладного рівня взаємодіють один з одним за допомогою паралельно встановлених TCP з'єднань. В цьому випадку вхідний потік так само має зазначену властивість.

Розглянемо вплив процесу звернення браузера до веб-сторінці як потік TCP SYN пакетів, що надходять до сервера. Як правило, більшість надісланих сервером сторінок містять гіперпосилання на інші ресурси, такі як зображення, апплети, флеш-анімації та інші елементи, що виводяться на HTML-сторінці у вікні браузера. Відповідно до специфікації протоколу HTTP, для отримання кожного з ресурсів браузер повинен зробити окремий запит до веб-сервера, і, отже, встановити TCP-з'єднання. Якщо веб-сторінка містить i елементів, що вимагають негайної завантаження, то при виконанні N звернень кількість TCP з'єднань дорівнюватиме (i+1)N. В цьому випадку можна розглядати в якості одного запиту відправлення i + 1 SYN пакетів. Очевидно, що кожне звернення до веб-сторінки можна розглядати як одну заявку, і інтенсивність потоку таких запитів буде в i + 1 разів менше. У запропонованій далі моделі можливе введення додаткового коефіцієнта для обліку об'єднання таких взаємопов'язаних SYN пакетів в одну заявку. Об'єднані заявки є незалежними, тому що користувачі звертаються до ресурсів сервера незалежно один від одного. З цього випливає, що вхідний потік вимог має властивість відсутності наслідків.

Покажемо, що потік запитів є ординарним. Розглянемо сервер з одним мережевим інтерфейсом. За таким принципом підключенню одночасно не можуть прийти відразу кілька IP-пакетів, тому що в блоці даних протоколів канального рівня (Ethernet, DSL-з'єднання, модемне підключення та ін.) може бути максимум один IP-пакет. Відповідно, існує деякий малий проміжок часу, протягом якого може надійти не більше однієї заявки. Отже, для сервера з одним мережевим інтерфейсом вхідний потік TCP SYN пакетів є ординарним.

Таким чином, потік запитів, що містять TCP SYN пакети, що надходять на сервер з одним мережевим інтерфейсом, має властивості стаціонарності, ординарности і відсутності наслідків, і відповідно до визначення, такий потік є пуассонівським

2.3 Сервер TCP як система масового обслуговування

Потік TCP SYN пакетів, що надходять на сервер в заданих умовах є пуассонівським. Це означає, що його можна розглядати як потік запитів, що надходять в СМО. Однак для побудови моделі зручніше в якості безлічі заявок розглядати еквівалентний йому потік. У нормальному режимі роботи у відповідь на кожен отриманий TCP SYN пакет сервер повинен відправити TCP SYN + ACK пакет. З того, що існує взаємооднозначна відповідність між вхідними та вихідними пакетами випливає еквівалентність потоків. Далі в якості вимог СМО будемо розглядати відправку сервером SYN + ACK пакетів. Безліччю обслуговуючих приладів вважатимемо ресурси сервера, призначені для зберігання параметрів TCP з'єднань. У такій інтерпретації обслуговування вимоги - це резервування відповідних ресурсів або до успішного встановлення TCP-з'єднання (ACK отримання пакету, який повинен бути отриманий), або до закінчення відведеного на сервері таймаута.

Для такої моделі ознакою TCP SYN атаки є різке збільшення кількості запитів в СМО. Перебуваючи під впливом атаки, сервер виділяє відповідні ресурси, які залишаються зайнятими протягом відведеного часу очікування. Для сучасних операційних систем та мережевих технологій часу таймаута (від десятків секунд до декількох хвилин) досить щоб зайняти всі доступні ресурси сервера, призначені для зберігання параметрів TCP з'єднань. Для розглянутої нами моделі це означає різке збільшення зайнятих обслуговуючих приладів.

Розглянемо більш детально ресурси сервера, що виступають в якості обслуговуючих приладів. Параметри TCP з'єднань зберігаються у відповідному буфері, який можна представити у вигляді масиву розмірності L, елементи якого зберігають параметри TCP з'єднань. Їх можна розділити на три типи: містять параметри встановлених з'єднань, напіввідкритих з'єднань і вільні. Нехай B - кількість відкритих в даний момент TCP з'єднань. Тоді п = L - B - це кількість елементів другого і третього типів, сукупність яких ми будемо розглядати в якості нескінченності обслуговуючих приладів СМО. При цьому зайняті обслуговуванням вимог прилади - це елементи другого типу. На рис. 2.1 зображений описаний масив, та ресурси сервера в якості нескінченності обслуговуючих приладів.



Рисунок 2.1 - TCP-сервер, як СМО

Залежно від співвідношення інтенсивності вхідного потоку вимог і розмірності масиву L можна розглядати два типи СМО. Якщо інтенсивність вхідного потоку заявок значно менше можливостей сервера, що справедливо для більшості сучасних систем, то доцільно розглядати СМО з нескінченним числом обслуговуючих приладів. В іншому випадку можна розглядати СМО з відмовами. З огляду на те, що на практиці в нормальному режимі роботи можливості сервера зі значним запасом покривають вхідні вимоги, то розгляд системи з відмовами є неактуальним. Надалі будемо розглядати систему першого типу..

2.4 СМО з нескінченною кількістю обслуговуючих приладів

Як вже було показано, для опису моделі взаємодії клієнтів і сервера TCP-з'єднаннь в нормальному режимі роботи доцільно розглядати СМО з нескінченним числом обслуговуючих приладів. Позначимо відношення інтенсивності вхідного потоку вимог до середнього часу обслуговування заявки коефіцієнтом . Оскільки потік запитів є пуассонівським, то ймовірність того, що в системі знаходиться рівно k запитів, визначається як

(2.3)

Підставивши це значення в співвідношення, яке описує середнє число приладів, зайнятих обслуговуванням (загальне число напіввідкритих з'єднань) отримаємо:

(2.4)

Відповідно:

(2.5)

Зі співвідношень для СМО з нескінченним числом обслуговуючих приладів маємо:

(2.6)

Запропонована модель описує роботу сервера в нормальному режимі і дозволяє враховувати такі параметри, як інтенсивність звернень до сервера і середній час обслуговування вимоги. Однак така СМО недостатньо повно описує роботу сервера, тому що не враховує можливість втрати пакетів при передачі в сучасних мережах.

Для удосконалення запропонованої моделі доцільно розділити розглянуту СМО на дві системи, які обслуговують заявки на нормальне встановлення з'єднання (коли всі пакети доставлені) і напіввідкриті з'єднання, що видаляються з таймаутом. Для розділення потоку запитів на безлічі заявок для кожної з систем необхідно ввести критерій, що дозволяє визначити приналежність заявок до вищеописаних типів. Для цього в подальшому буде використаний той факт, що в більшості випадків час проходження IP-пакета між довільними хостами в Інтернет не перевищує деякого граничного значення.

2.5 Модель, що враховує втрату пакетів в мережі

Як було зазначено вище, запропонована раніше модель вимагає усереднення середнього часу обслуговування за всіма запитами, що не в повній мірі враховує особливості процесу встановлення TCP-з'єднань. Для усунення цього недоліку розділимо описану СМО на дві системи: СМО1 і СМО2. Будемо вважати, що перша система описує обслуговування заявки, для яких напіввідкриті з'єднання будуть успішно встановлені після отримання сервером ACK пакетів, а друга - запити, для яких з'єднання не будуть встановлені і після закінчення відведеного часу очікування будуть видалені.

В більшості випадків час обміну парою пакетів між довільними хостами не перевищує поріг. За умови того, що на клієнті коректно реалізований протокол TCP, поява напіввідкритих з'єднань, які невстановлених протягом проміжку часу тривалістю пояснюється втратою або SYN + ACK, або ACK пакета. Тому до вимог другого типу будемо відносити запити, для яких TCP з'єднання знаходиться в напіввідкритому стані довше ніж . Позначимо через s і l - кількості з'єднань першого і другого типів відповідно. Визначимо співвідношення, що описує стан такої системи. Визначимо середню кількість напіввідкритих з'єднань.

(2.7)

Як випливає зі співвідношення, середнє число напіввідкритих з'єднань є випадковою величиною, яка дорівнює сумі двох випадкових величин, що мають пуассонівський закон розподілу. Перша з них описує середню кількість напіввідкритих з'єднань, які не уявляють собою загрозу. Друга складова являє собою напіввідкриті з'єднання, які не будуть встановлені і через заданий проміжок часу будуть видалені, до цього займаючи ресурси сервера. Як зазначалося вище, збільшення кількості таких з'єднань є ознакою TCP SYN атаки. Тому в основу методики доцільно покласти СМО, що враховує тільки вимоги другого типу.

Далі будемо розглядати в якості запитів не всі SYN + ACK пакети, для яких сервер очікує відповідь ACK пакет, а тільки ті, для яких час очікування перевищує порогове значення. Очевидно, що при нормальній для кожної такої заявки було втрачено або SYN + ACK, або ACK-пакет. Інтенсивність надходження таких заявок визначається наступним співвідношенням:

(2.8)

де:

- інтенсивність надходження на вхід мережевої карти сервера TCP SYN пакетів,