ДонНТУ   Портал магистров

Реферат по теме выпускной работы

Содержание

Введение

Одной из самых актуальных задач в сфере услуг предоставления информации является DDoS-атака (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). Суть таких атак сводится к тому, чтобы всеми доступными способами уменьшить количество полезной нагрузки на ресурс, или вовсе сделать его недоступным.

Отказ в обслуживании может быть достигнут при разных условиях, причинами могут служить: ошибки в программном обеспечении которое работает на атакуемом сервисе, недостатки сетевых протоколов и ограничения в пропускной способности канала связи, а так же непродуманная сетевая инфраструктура. Обычно DDoS-атака ведется с так называемого ботнета, это достаточно большое количество компьютеров, а также смартфонов, зараженных вредоносным программным обеспечением.

1. Актуальность темы

Данная проблема возникла вместе с появлением всемирной сети Интернет и становиться все более актуальной в связи с развитием и расширением всемирной сети. На рынке существуют открытые программные решения, которые могут справиться только с простыми случаями DDoS-атак. Аппаратные решения имеют закрытые алгоритмы.

Магистерская работа посвящена изучению источников нежелательного трафика и их параметров, созданию модели корпоративной сети в которой присутствует веб-сервер (обрабатывает запросы извне), созданию алгоритма для отличия нежелательного трафика генерированного ботнетом.

2. Цель и задачи исследования, планируемые результаты

Целью исследования является повышение качества фильтрации трафика от нежелательной нагрузки путем разработка модели обработки внешних запросов в телекоммуникационной корпоративной сети и усовершенствовании алгоритмов их фильтрации.

Основные задачи исследования:

  1. Анализ параметров и структуры модели корпоративной сети.
  2. Исследование данных полученных в процессе моделирования для создания алгоритма.
  3. Создание алгоритма фильтрации нежелательного трафика.
  4. Оценка эффективности разработанных алгоритмов.

Объект исследования: алгоритм фильтрации нежелательного трафика.

Предмет исследования: методы фильтрации нежелательного трафика.

В рамках магистерской работы планируется получение актуальных научных результатов по следующим направлениям:

  1. Разработка модели корпоративной сети и источников трафика.
  2. Разработка алгоритма фильтрации нежелательного трафика.
  3. Определение областей применения различных вариантов работы алгоритма при заданных исходных параметрах.
  4. Модификация известных методов фильтрации нежелательного трафика.

Для оценки экспериментов и проверки эффективности алгоритмов будет использоваться кроссплатформенная система моделирования AnyLogic.

3. Обзор исследований и разработок

Поскольку постоянно появляются новые способы и методы DDoS-атак публикаций на данную тему не очень много, а литература быстро устаревает. Достаточно большое количество публикаций сделано в США, Англии, Австралии. Значительно меньше публикаций на постсоветском пространстве.

3.1 Обзор международных источников

Одной из самой полноценной книги по этой теме в которой рассматриваться все обзора проблемы, до типовых возможных решений. Автор книги "Internet Denial of Service Attacks and Defense Mechanisms" Mehmud Abliz из университета Пицбурга [5]. Чтобы в исследованиях и экспериментах которыми занимаются исследователи по всему миру было единство в терминах и понятиях требуется договорится о структуре и организации этих знаний, одна из первый публикаций на тему таксономии источников DDoS-атак и механизмов защиты от них была написана в 2002 году [6]. Позже эти же авторы рассмотрели один из способов борьбы с DDoS-атаками, на основе сравнения модели трафика в обычном режиме со всем трафиком проходящим через систему [24].

Более глубоко данную тематику рассматривают другие авторы, которые предлагают использовать статистические показатели трафика полученные на основе длительного анализа трафика сети [7].

Среди альтернативных способов решения встречаются аппаратные решения, когда алгоритмы находятся в маршрутизаторах и они принимают решение что делать с нежелательным трафиком [810].

Некоторые исследователи предлагают переложить решение данной проблемы на пользователя. Путем введения CAPCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) или подобных способов [11].

Регулярные аналитические статьи и квартальные/годовые отчеты выпускают крупные компании рынка по защите от DDoS-атак — Arbor Networks и Лаборатория Касперского [12, 13].

3.2 Обзор национальных источников

Среди национальных источников зачастую встречаются только обзорные статьи, как например статья авторов С.М. Цирульник, Д.В. Кисюк, Т.О. Говорущенко¹ из высших учебных заведений ВНТУ, ¹ХНУ соотвественно [14]. Более детально данную проблему рассмотрел Игнатенко Алексей из Института программных систем НАН Украины [15].

Встречаются довольно спорные публикации, в которых в качестве решения данной проблемы используется масштабирование серверных мощностей, чтобы обслужить всю нагрузку, включая нежелательный трафик [16].

Похожую тему рассматривали студент и преподаватели Черкасского государственного технического университета. Были рассмотрены источники и методы фильтрации нежелательного трафика [17].

Теоретические выкладки для моделирования DoS/DDoS-атак представлены авторами Яциковська У.О., Карпінський М.П [18] так же на эту тему написана работа автора Домарев С.В. из Института компьютерных технологий национального авиационного университета, процесс DDoS-атаки представлен как марковская модель ветвящегося процесса [25].

Подробно рассмотрен авторами С.Л. Михайлюта, И.В. Степанушко, Б.А. Бабич, В.Ю Ткаченко, В.С. Лавринович один из видов DDoS-атаки в котором используется протокол ICMP [19].

3.3 Обзор локальных источников

Одна из статей написанная студентом ДонНТУ Борисовым Д.Н. в 2007 году детально описывает способ идентификации вредоносного трафика на основе энтропии. В статье описаны способы фильтрации на основе которых работают современные облачные решения в данной области [20]. Косвенно DDoS-атаки рассмотрены в статье Приходько Н.А. про безопасность в локальных сетях [21]. В индивидуальном разделе сайта магистра Филенко М.С. рассмотрены методики DDoS-атак, рекомендации по профилактике и предотвращению [22].

Частично описана классификация DDoS-атак у студента Брич С.А. кафедры компьютерных систем мониторинга факультета компьютерных наук и технологий [23].

4. Исследование DDos-атак и методов борьбы с ними

По данным аналитического отчета компании «Лаборатория Касперского» — «DDoS-атаки второго полугодия 2011 года» очевидно, что лидерами по количеству источников DDoS-атак являются Россия и Украина. Отсюда можно сделать вывод, что вирусная активность и количество зараженных компьютеров в этих странах находятся на высоком уровне, так же это означает, что используется достаточно большое количество устаревшего программного обеспечения и злоумышленники могут использовать его критические уязвимости. Данные показатели так же обеспечиваются еще ростом количества семей, у которых появился доступ в Интернет и низкой компьютерной грамотностью.

По данным компании Arbor 35% процентов атак были спровоцированы по идеологическим или политическим причинам, 31% были обоснованы как нигилизм (примером может послужить атаки на государственные ресурсы МВД Украины, администрации президента и других после закрытия ресурса ex.ua). Атакам так же подвергаются сервисы провайдеров услуг мобильной связи такие как электронная почта, доступ в интернет, были зарегистрированы атаки на клиентские устройства.

Что касается каналов связи, новым стандартом в скорости поступления неполезной нагрузки на ресурсы стала скорость 10 Гбит/с. Максимальные зарегистрированные неполезные нагрузки 60 Гбит/с и 100 Гбит/с. Также в последнем отчете была выявлена первая атака с использованием протокола IPv6.

Для выявления DDoS-атак используются следующие методы: статистический – основан на анализе отклонения статистических параметров трафика от средних значений; статический – основан на черных и белых списках, в том числе формируемых пользовательскими приложениями через API; поведенческий – основан на анализе соблюдения или несоблюдения спецификаций прикладных протоколов; сигнатурный: основан на анализе индивидуальных особенностей поведения ботов [3].

По сложности подавления, а так же по мотивации проведения DDoS-атаки можно разделить на такие категории как: вандализм – обычно это не распределенные атаки, а атаки которые ведутся с одного-двух хостов, злоумышленник скорее всего не получает от этого какой-либо выгоды, а делает это из-за обиды на владельцев какого-либо ресурса, знания его в этой области ограничены простыми методами атак найденные в сети Интернет. Данные атаки отражаются достаточно легко, так как тоже не требуют высокой квалификации в области защиты компьютерных сетей от внешних атак, и зачастую решается блокированием конкретного IP или простой фильтрацией пакетов по замеченной закономерности; нигилизм – по сути, причины фактически идентичны причинам при вандализме, но действия происходят более целенаправленно, и это уже распределенная атака. В ней участвует группа людей, которая недовольна теми или иными информационными поводами. Обычно это простой bat-скрипт, в котором используется команда ping с большим размером проверочного пакета и перечислены атакуемые ресурсы, никаких знаний от пользователя не требуется, достаточно лишь запустить скрипт. Блокируется такая атака обычно достаточно легко, блокируется вся нагрузка полученная по протоколу ICMP; бизнес – злоумышленники используют данный вид атак, не только как средство для собственного обогащения, но и предоставляют DDoS-атаки как услугу.

Рассмотрев причины возникновения и проблемы, которые нужно решать при борьбе с данным видом атак, можно определить методы решения данных проблем. Весь рынок решений по защите от DDoS-атак можно разделить на три части: программные решения – самое распространённое на рынке, зачастую представляет собой набор правил фильтрации трафика, которые составлены разработчиком на личном опыте. Так же существуют решения с открытым исходным кодом (например DDoS Deflate), но имеет очень простой статический метод фильтрации (белые и черные списки) по IP, на основе количества соединений от одного IP. Данное решение достаточно просто установить прямо на сервер на котором работает ресурс и поможет только от малозаметных атак вида вандализм. Решение совершенно неэффективно в масштабе дата-центров; аппаратные решения – используется для защиты масштабных сетевых инфраструктур, таких как: точки обмена трафиком, дата-центры и т.д. Типичная схема работы подобных решений представлена на рис.1, где A — полезный трафик, B — нежелательный трафик, C — Интернет, D — сетевая инфраструктура, E — атакуемая цель, F — устройство анализа трафика, G — устройство принятия решений.

Cтандартная схема аппаратного решения защиты от DDoS-атак

Рисунок 1 – Cтандартная схема аппаратного решения защиты от DDoS-атак
(анимация: 4 кадра, 15 циклов повторения, 92,6 килолобайт)

Обычно схема состоит из двух устройств: это устройство анализа трафика, на которое дублируется весь трафик, который приходит в дата-центр, и устройство принятия решений, которое блокирует нежелательную нагрузку, на основе анализа данных полученных устройством сбора информации. Иногда данные решения сочетаются в одном устройстве как например решения от Cisco, которое при отсутствие активных атак, работает в режиме накопления информации о полезной нагрузке, а в случае возникновения вредоносной активности изменяется маршрутизация и начинается фильтрация трафика.

Поскольку анализ трафика и принятие решений является достаточно сложной задачей, некоторые компании запатентовали свои алгоритмы, например компания «Black Lotus» запатентовала алгоритм «Анализ поведения человека»(Human Behavior Analysis), который определяет кто генерирует данный трафик, человек или бот. Так же интересны решения от компании «Arbor», а именно продукт «PeakFlow» который кроме стандартных решений имеет сигнатурный подход к фильтрации нежелательного трафика, то есть устройства «PeakFlow» могут обмениваться между собой данными об атаке, такими как источники атаки, способы и какие-либо закономерности. Это позволяет решать данную проблему не на уровне дата-центра, а, например, на уровне провайдера, который предоставляет каналы данному дата-центру; облачное решение — данный вид решений включает в себя как программные так и аппаратные решения, но так же использует все виды защит от DDoS-атак.

Рассмотрим его на примере продукта «Лаборатории Касперского» — «Kaspersky DDoS Prevention». Данное решение является шлюзом, через который будет проходить весь трафик, который идет на Интернет-ресурс. Поскольку это облачное решение, это означает, что увеличение скорости атаки, не является проблемой(тогда как в аппаратных решениях, она упиралась в скоростные ограничения сетевой инфраструктуры в которой была установлена) так как решение масштабируется в случае увеличения неполезной нагрузки. Другое преимущество данного решения это алгоритмы которые принимают решение о том, что делать с той или иной нагрузкой не только на основе статистики, которая была накоплена за время атак, но и на основе того, что алгоритм знает об источниках DDoS-атак и их функционале.

Выводы

В реферате рассмотрены причины возникновения DDoS-атак, их мотивация и способы создания, показано, что данная проблема на сегодняшний день актуальна и хоть существуют уже лидеры рынка в данной области, они предоставляют закрытые решения, которые защищены патентом или совсем не разглашаются. В отличие от решений с закрытым исходным кодом, открытые рекомендации позволяют привести методики и алгоритмы к единому стандарту, что позволит производителям оборудования и программных решений обмениваться средствами более эффективного решения данной проблемы.

В рамках проведенных исследований выполнено:

  1. Исследована классификация методов DDoS-атак.
  2. Рассмотрены существующие решения как программные так и аппаратные.
  3. Создана простейшая модель DDoS-атаки на интранет корпоративной сети.

Дальнейшие исследования направлены на следующие аспекты:

  1. Доработка модели корпоративной сети, чтобы была возможность промоделировать большую часть возможных методов DDoS-атак.
  2. Создание алгоритмов фильтрации нежелательного трафика.
  3. Оценка эффективности работы алгоритмов, их оптимизация.

При написании данного реферата магистерская работа еще не завершена. Окончательное завершение: январь 2013 года. Полный текст работы и материалы по теме могут быть получены у автора или его руководителя после указанной даты.

Список источников

  1. Stopping & Preventing DDoS Attacks // Arbor Networks [Электронный ресурс]. — Режим доступа: http://www.arbornetworks.com/
  2. Behavior analysis techniques in DDoS mitigation // Black Lotus [Электронный ресурс]. — Режим доступа: http://www.blacklotus.net/
  3. DDoS-атаки второго полугодия 2011 года // Лаборатория Касперского [Электронный ресурс]. — Режим доступа: http://www.kaspersky.ru
  4. Worldwide Infrastructure Security Report 2011 Volume VII // Arbor Networks, 2011. — 72 c.
  5. M. Abliz Internet Denial of Service Attacks and Defense // Pittsburgh : University of Pittsburgh Technical Report [Электронный ресурс]. — Режим доступа: http://www.cs.pitt.edu/
  6. J. Mirkovic, P. Reiher A Taxonomy of DDoS Attack [Электронный ресурс]. — Режим доступа: http://www.eecis.udel.edu/
  7. L. Feinstein, D. Schnackenberg, R. Balupari, D. Kindred Statistical Approaches to DDoS Attack Detection and Response. // DARPA Information Survivability Conference and Exposition [Электронный ресурс]. — Режим доступа: http://www.cs.unc.edu/
  8. J. Ioannidis, S. Bellovin Implementing Pushback: Router-Based Defense Against DDoS Attacks // AT&T Labs Research [Электронный ресурс]. — Режим доступа: http://www.cs.columbia.edu/
  9. A. Yaar, A. Perrig, D. Song Pi A Path Identification Mechanism to Defend // Carnegie Mellon University Research Showcase [Электронный ресурс]. — Режим доступа: http://repository.cmu.edu/
  10. K. Park, H. Lee On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets // West Lafayette : SIGCOMM’01 [Электронный ресурс]. — Режим доступа: ftp://mail.im.tku.edu.tw/
  11. A. Keromytis, V. Misra, D. Rubenstein SOS: Secure Overlay Services // SIGCOMM’02 [Электронный ресурс]. — Режим доступа: http://utd.edu/
  12. Worldwide Infrastructure Security Report // Arbor Networks [Электронный ресурс]. — Режим доступа: http://www.arbornetworks.com/report
  13. С.М. Цирульник, Д.В. Кисюк, Т.О. Говорущенко DDoS-атаки й методи боротьби з ними [Электронный ресурс]. — Режим доступа: http://www.nbuv.gov.ua/
  14. О. Ігнатенко Атаки на відмову: виникнення проблеми, огляд атак, класифікація [Электронный ресурс]. — Режим доступа: http://eprints.isofts.kiev.ua/
  15. М. Кадыров, А. Труфанов, Р. Умеров Внедрение облачных вычислений как метод предотвращения DDoS-атак [Электронный ресурс]. — Режим доступа: http://www.uintei.kiev.ua/
  16. С.Л. Михайлюта, І.В. Степанушко, Б.О. Бабич Захист інтрамереж від DOS- та DDOS-атак [Электронный ресурс]. — Режим доступа: http://www.nbuv.gov.ua/
  17. У.О. Яциковская, Н.П. Карпинский Моделирование сетевого трафика компьютерной сети при реализации атак типа DoS/DDoS [Электронный ресурс]. — Режим доступа: http://www.nbuv.gov.ua/
  18. С.Л. Михайлюта, И.В. Степанушко, Б.А. Бабич, В.Ю Ткаченко, В.С. Лавринович Исследование сетевых DOS-атак, основанных на использовании протокола ICMP [Электронный ресурс]. — Режим доступа: http://www.nbuv.gov.ua/
  19. Д.Н. Борисов Энтропия как индикатор возникновения аномалий сетевого трафика [Электронный ресурс]. — Режим доступа: http://ea.donntu.ru/
  20. T.А. Приходько Исследование вопросов безопасности локальных сетей на канальном уровне модели OSI [Электронный ресурс]. — Режим доступа: http://ea.donntu.ru/
  21. М.С. Филенко Распределенные атаки типа «отказ в обслуживании» [Электронный ресурс]. — Режим доступа: http://masters.donntu.ru/
  22. С.А. Брич Интегрированная модель противодействия атакам в социотехнических системах [Электронный ресурс]. — Режим доступа: http://masters.donntu.ru/
  23. J. Mirkovic, P. Reiher, G. Prier Attacking DDoS at the Source [Электронный ресурс]. — Режим доступа: http://www.cs.unc.edu/
  24. Д.В. Домарев Математическое описание процессов атак на компьютерные сети [Электронный ресурс]. — Режим доступа: http://www.nbuv.gov.ua/