ДонНТУ   Портал магистров

Реферат по теме выпускной работы

Содержание

Введение

Развитие информационных технологий и увеличение информационнго простанства оказывает огромное влияние на все области человеческой деятельности связанные с накоплением и обработкой данных. В настоящее время имеется огромное разнообразие расположеных в сети Интернет баз данных и других ресурсов, содержащих информацию о различных отраслях научной, образовательной и хозяйственной деятельности. Возникает необходимость предоставления беспрепятственного доступа к базам и обеспечение их корректной работы и надёжной защиты. На этом этапе и возникает вопрос защиты серверов, сетей и отдельных частей сети от атак типа DDoS.

Отказ в обслуживании может быть достигнут при разных условиях и в следствие различных факторов, например:

Обычно источником DDoS-атаки является некоторое количество заражённых компьютеров объединённых в сеть и называемых «ботнет». Обычно компьютеры, которые являются заражёнными, управляются прослушиванием определённого порта или реакциями на команды в IRC-чате. Однако В настоящее время получили распространение ботнеты, управляемые через веб-сайт или по принципу p2p-сетей.

1. Актуальность темы

Одной из самых актуальных задач в сфере услуг предоставления информации является обеспечение стабильной работы и возможности доступа к базам данных в любое время. При работе в таком режиме так же необходимо обеспечение определённой степени надежности и стрессоустойчивости системы. Одним из наиболее серьёзных и распространённых способов атак является DDoS-атака (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). Целью такой атаки является доведение системы до отказа, то есть, создание таких условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам, либо этот доступ оказывается затруднён.

Магистерская работа посвящена изучению источников вредоносного трафика и их параметров, созданию модели сети предприятия в которой присутствует сетевой фильтр (обрабатывает запросы извне), созданию алгоритма для отличия вредоносного трафика генерированного атакующими.

2. Цель и задачи исследования, планируемые результаты

Целью исследования является повышение качества фильтрации трафика от вредоносных нагрузок путем разработки модели обработки внешних запросов поступающих в сеть предприятия и совершенствование алгоритмов их фильтрации.

Основные задачи исследования:

  1. Анализ структуры и параметров модели сети предприятия;
  2. Исследование данных полученных в процессе моделирования для создания алгоритма;
  3. Создание алгоритма фильтрации вредоносного трафика;
  4. Оценка эффективности работы полученного алгоритма.

Объект исследования: алгоритм фильтрации вредоносного трафика.

Предмет исследования: методы фильтрации вредоносного трафика.

В рамках магистерской работы планируется получение актуальных научных результатов по следующим направлениям:

  1. Разработка модели надежной структуры корпоративной сети;
  2. Разработка алгоритма фильтрации вредоносного трафика;
  3. Разработка рекомендаций для предотвращения возникновения проблемы;
  4. Модификация известных методов фильтрации вредоносного трафика.

3. Обзор исследований и разработок

Проблема DDoS-атак очень актуальна, поэтому постоянно появляются новые методы и способы осуществления нападений. Публикаций на эту тему не очень много, а информация в книгах достаточно быстро устаревает и не учитывает текущих тенденций. Большая часть публикаций по данной тематике находится в англоязычном виде. Значительно меньше публикаций представлено на постсоветском пространстве.

3.1 Обзор международных источников

Одной из наиболее полезных книг по этой теме, в которой рассмотрены все стороны проблемы от типичных возможных решений является «Internet Denial of Service Attacks and Defense Mechanisms», автором которой является Mehmud Abliz из университета Пицбурга [5]. Для обеспечения единства в терминах и понятиях в проводимых исследованиях по всему миру необходимо договорится о терминах и понятиях, структуре и организации знаний по теме.. Одна из первых публикаций на тему таксономии источников DDoS-атак и механизмов защиты от них была написана в 2002 году в работе «A Taxonomy of DDoS Attack» за авторством J. Mirkovic, P. Reiher[6]. Позже эти же авторы рассмотрели один из способов борьбы с DDoS-атаками, на основе сравнения модели трафика в обычном режиме со всем трафиком, который проходит через систему [24]. Более глубоко данную тематику рассматривают другие авторы, которые предлагают использовать статистические показатели трафика, полученные на основе длительного анализа трафика сети [7]. Среди альтернативных способов решения встречаются аппаратные решения, когда алгоритмы находятся в маршрутизаторах и они принимают решение о нежелательности трафика [8-10]. Некоторые исследователи предлагают переложить решение данной проблемы на пользователя. Путем введения CAPCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) или подобных способов [11]. Регулярные аналитические статьи и квартальные годовые отчеты выпускают крупные компании рынка по защите от DDoS-атак - Arbor Networks и Лаборатория Касперского [12, 13].

Стоит также учитывать отдельные статьи по данной тематике. Например в статье «Threshold Based Kernel Level HTTP Filter (TBHF) for DDoS Mitigation» авторов Mohamed Ibrahim AK, Lijo George, Kritika Govind, S. Selvakumar[27] рассмотрены алгоритмы раннего обнаружения атак типа HTTP GET. Метод базируется на анализе HTTP-траффика и просмотре кеша браузера. В статье «Раннее обнаружение DDoS-атаки статистическими методами при учёте сезонности» авторов Тернового О.С., Шатохина А.С. [26] предложены методы для понижения погрешности и раннего обнаружения DDOS-атак статистическими методами.

Одним из первых данную тему затронул бывший российский хакер Крис Касперски в работе «Техника и философия сетевых атак» [28]. Он говорит о философии атак, о способах проведения и предотвращения атак. Продолжением работы в данном направлении можно назвать статьи авторов Зима В.М., Молдовян А.А., Молдовян Н.А.[29]. Они дают возможность оценить проблему и показывают, что пространство для возникновения этой проблемы является глобальным.

Так же большое количество работ было посвящено раннему обнаружению и предотвращению атак. В работах «Обнаружение компьютерных атак на основе анализа поведения сетевых объектов» Гамаюнова Д.Ю. [30], «Нейросетевая технология обнаружения сетевых атак на информационные ресурсы» авторов Емельянова Ю.Г., Талалаев А.А., Тищенко И.П.[31] и «Методы искусственных иммунных систем и нейронных сетей для обнаружения компьютерных атак» Комара М.П.[32] говорится о возможности раннего обнаружения, и, как следствие, применения более простого механизма противостояния сетевым атакам.

3.2 Обзор национальных источников

Количество национальных источников значительно меньше, среди национальных публикаций чаще всего встречаются обзорные статьи, такие, как, например, статья авторов С.Н. Цирюльник, Д.В. Кисюк, Т.А. Говорущенко ? из вузов ВНТУ, ? ХНУ соответственно [14]. Более подробно эту проблему рассмотрел Игнатенко А. из Института программных систем НАН Украины [15].

Встречаются довольно противоречивые публикации, в которых в качестве решения данной проблемы используется масштабирование серверных мощностей, чтобы обслужить все нагрузки, включая нежелательный трафик [16]. Такой подход не является приемлемым решением проблемы, поскольку стоимость внедрения данного метода неоправданно высока.

Похожую тему рассматривали студент и преподаватели Черкасского государственного технического университета. Были рассмотрены источники и методы фильтрации нежелательного трафика [17].

Теоретические наработки для моделирования DoS / DDoS-атак представлены авторами Яциковська У.Е., Карпинский М.П. [18]; так же на эту тему написана работа за авторством Домарева С.В. из Института компьютерных технологий национального авиационного университета, в работе которого процесс DDoS-атаки представлен как марковская модель разветвленного процесса [25].

Подробно рассмотрены авторами Михайлютой С.Л., Степанушко И.В., Бабичем Б.А., Ткаченко В.Ю., Лавриновичем В.С. один из видов DDoS-атаки, в котором используется протокол ICMP [19].

3.3 Обзор локальных источников

В ДонНТУ было написано несколько работ по данной тематике. Статья «Энтропия как индикатор возникновения аномалий сетевого трафика», написана студентом ДонНТУ Борисовым Д.Н. в 2007 году. В статье описаны способы фильтрации на основе которых работают современные облачные решения в данной области [20]. Косвенно DDoS-атаки рассмотрены в статье Приходько Н.А. о безопасности в локальных сетях [21]. В индивидуальном разделе сайта магистра Филенко М.С. рассмотрены методики DDoS-атак, рекомендации по профилактике и предотвращению [22]. В индивидуальном разделе сайта магистра Дядина И.П. предлогается модель корпоративной сети во время атаки [23].

Частично описана классификация DDoS-атак в студента Брич С.А. кафедры компьютерных систем мониторинга факультета компьютерных наук и технологий [24].

4. Исследование сетевых атак.

Согласно отчёту[4] опубликованному компанией Arbor Networks, предоставляющей одни из лучших решений для обеспечения стабильной работы информационных систем и имеющей огромный опыт в вопросах борьбы с DDoS-атаками, в 2012-ом году рост количества и интенсивности атак замедлился по сравнению с предыдущими годами. При этом комплексные атаки и атаки уровня приложений продолжают развиваться, становясь более сложными.

46% атак относились к комплексным DDoS-атакам, использующим отправку мусорного трафика, SYN-флуд (отправка большого количества запросов на подключение по протоколу TCP) и UDP Flood (отправка большого количества множества UDP-пакетов), а так же атаки с использованием протоколов уровня приложений. В процентном значении атаки с использованием уровня приложений стали самыми распространёнными и составили порядка 85%. Однако, в сравнении с прошлыми годами пропорции заявленных атак этого типа практически не изменились по отношению к большинству служб, таких как HTTP, DNS и SMTP. Единственным аспектом атак уровня приложений, который явно пережил изменение, стал HTTPS-протокол, уровень применения которых поднялся с 24% до 37%.

Согласно отчёту существует определённая обеспокоенность по поводу компрометации рабочих станций. Существует вероятность того, что компьютеры, принадлежащие к корпоративной сети, могут быть частью ботнета (сеть из зараженных компьютеров, которые используются в атаке). Такая ситуация приводит к усилению эффекта от атаки, так как защита может быть направленна только на внешнюю сеть, игнорируя внутрисетевой корпоративный трафик.

Увеличение количества хостов, входящих в ботсети, не вызывает удивление, учитывая количество и сложность существующих на сегодняшний день вирусов, темпы их развития и исходящую из этого невозможность построить надежную систему защиты на основе антивирусных программ и систем обнаружения вторжений.

Самой сильной DDoS-атакой за 2012-ый год оказалась атака, которая обрушилась на сервера компании Cloudflare 15-го сентября. В результате сервис Cloudflare оказался временно недоступен части пользователей. Стоит заметить, что компания является сетью доставки контента и под её управлением находится несколько дата-центров в разных регионах. Компания легко выдерживает DDoS-атаки в десятки гигабит, но с атакой в 65 Гбит/с справится не смогла.

В марте 2013 года компания Spamhaus, которая составляет базы данных о серверах, использующихся хакерами, что помогает почтовым службам фильтрации спама и другого нежелательного контента, занесла в свой чёрный список ряд серверов, принадлежащих голландской компании CyberBunker. Компания CyberBunker заявила, что Spamhaus не имеет права указывать что публиковать и что не публиковать в интернете. Голландская компания развернула самую мощную DDoS-атаку за всё время. Её мощность достигала 300Гбит/с. Атака такой мощности не смогла оказать большого вреда, так как была задействована технология защиты, а именно: распределение трафика по различным дата-центрам и последующая его фильтрация. Эта атака имела определённый эффект на всю сеть Интернет, что было выражено в увеличении пинга до некоторых европейских сайтов. Провайдеры нормально выдержали атаку, но были сильно зафлужены.

По сложности подавления, а так же по мотивации проведения DDoS-атаки можно разделить на такие категории как: вандализм – обычно это не распределенные атаки, а атаки которые ведутся с одного-двух хостов, злоумышленник скорее всего не получает от этого какой-либо выгоды, а делает это из-за обиды на владельцев какого либо ресурса, знания его в этой области ограничены простыми методами атак найденные в сети Интернет. Данные атаки отражаются достаточно легко, так как тоже не требуют высокой квалификации в области защиты компьютерных сетей от внешних атак, и зачастую решается блокированием конкретного IP или простой фильтрацией пакетов по замеченной закономерности; нигилизм – по сути, причины фактически идентичны причинам при вандализме, но действия происходят более целенаправленно, и это уже распределенная атака. В ней участвует группа людей, которая недовольна теми или иными информационными поводами. Обычно это простой bat-скрипт, в котором используется команда ping с большим размером проверочного пакета и перечислены атакуемые ресурсы, никаких знаний от пользователя не требуется, достаточно лишь запустить скрипт. Блокируется такая атака обычно достаточно легко, блокируется вся нагрузка полученная по протоколу ICMP; бизнес – злоумышленники используют данный вид атак, не только как средство для собственного обогащения, но и предоставляют ''o6-атаки как услугу.

Рассмотрим принципы, по которым была произведена самая мощная атака. Согласно отчёту[5] в основе данной атаки лежит UDP-флуд, который сопровождается SYN-флудом. Это указывает на наличие достаточно большого числа подконтрольных серверов.

Так же в ходе данной атаки была использована технология усиления атаки. Умножение первоначального вредоносного трафика осуществлялось за счёт отражения DNS-запросов через DNS-резолверы, которые установлены у каждого интернет-провайдера. Обычно DNS-резолверы сконфигурированы так, чтобы обрабатывать только запросы своих пользователей, но существует большое количество компаний, которые неправильно их сконфигурировали, так что резолверы принимают запросы от любого пользователя интернета. Так же будет любопытно заметить, что в значительной мере усиление происходило благодаря большим ключам DNSSEC, которые включены в тело ответа, а ведь протокол DNSSEC внедрялся с целью повысить безопасность системы DNS.

Схематическое представление атаки

Рисунок 1 – Схематическое представление сетевой атаки

5. Алгоритм защиты от DDoS-атак.

Существуют основные решения по защите от атак:

  1. программные решения;
  2. аппаратные решения;
  3. облачные решения.

Программные решения – самое распространённое на рынке, зачастую представляет собой набор правил фильтрации трафика, которые составлены разработчиком на личном опыте. Данное решение достаточно просто установить прямо на сервер на котором работает ресурс, но поможет только от малозаметных атак вида вандализм.

Аппаратные решения – представляют собой создание распределённой сетевой структуры с большим запасом пропускаемого трафика. Используются в масштабных сетевых структурах, таких как: точки обмена трафиком, дата-центры, крупные региональные провайдеры.

Облачные решения представляют из себя сетевую структуру с большой пропускной способностью, в состав которой вводятся сервера для фильтрации вредоносного трафика. Таким образом, такая сеть постепенно будет отфильтровывать негативный трафик и снижать количество вредоносных пакетов. Анализ трафика является достаточно сложной задачей, поэтому некоторые компании патентуют свои алгоритмы, например компания “Black Lotus” запатентовала алгоритм «Human Behavior Analysis», который определяет кто генерирует трафик, человек или бот; компания «Arbor» предоставляет свой продукт «PeakFlow» который имеет сигнатурный подход к фильтрации нежелательного трафика.

Определив причины возникновения и проблемы, которые подлежат решению при борьбе с данным видом атак, появляется возможность найти методы решения данных проблем.

На анимации приведен принцип работы моделируемой системы.

Принцип работы моделируемой системы

Рисунок 2 – Принцип работы моделируемой сети
(анимация: 7 кадров, 7 циклов повторения, 24 килобайта)

На анимации промоделирован процесс атаки на сеть предприятия. Вредоносный трафик вместе с полезным поступает во внутреннюю сеть. Сперва данные поступают на устройство анализа трафика. На данной стадии применяются самые простые алгоритмы фильтрации - статические таблицы с помощбю которых появляется возможность блокировать вредоносный трафик от определенных узлов (например по IP). Управление данным узлом (заполнение таблиц) выполняет сервер, который находится в сети сразу за первым устройством. Этот сервер выполняет активную верификацию данных и собирает статистику о вредоносном трафике и его источниках. После установления источника-вредителя он передает информацию о нем в первое устройство и, таким образом, блокирует его. Чтобы к заблокированным узлам не попали доверенные и другие рабочие устройства, сервер выполняет постоянный активный анализ всего трафика. Далее сервер выполняет лимитирование скорости и перенаправляет проверенный трафик в сеть предприятия. Трафик доставляется до узлов назначения по корпоративной сети без проблем и перегрузок.

Выводы

В реферате приведена информация о сетевых атаках, рассмотрены причины их возникновения. На примере реальной атаки показаны существующие механизмы борьбы с злоумышленниками. Данная проблема актуальна и хоть уже существуют лидеры рынка в данной области, предлагаемый ими продукт является полностью закрытым, защищенным патентом. В отличие от решений с закрытым исходным кодом, открытые рекомендации позволяют привести методы и алгоритмы к единому стандарту, что сделает данные решения более гибкими и позволит пользоваться ими с большей эффективностью .

В рамках проведенных исследований выполнено:

Исследована классификация методов DDoS-атак. Рассмотрены существующие решения как программные так и аппаратные. Создана простейшая модель DDoS-атаки на интранет корпоративной сети.
  1. Исследована классификация методов DDoS-атак.
  2. Рассмотрены причины возникновения и структура атак.
  3. Рассмотрены существующие решения и проведен анализ их работы.

Дальнейшие исследования направлены на следующие аспекты:

  1. Разработка модели сети предприятия, способной противостоять DDoS-атакам
  2. Разработка механизма моделирования DDoS-атак
  3. Создание алгоритмов фильтрации вредоносного трафика
  4. Оценка эффективности полученного решения

При написании данного реферата магистерская работа еще не завершена. Окончательное завершение: декабрь 2013 года. Полный текст работы и материалы по теме могут быть получены у автора или его руководителя после указанной даты.

Список источников

  1. DDoS and Security Reports: The Arbor Networks Security Blog [Электронный ресурс]. – Режим доступа: http://www.arbornetworks.com/
  2. Сайт Лаборатории Касперского [Электронный ресурс]. – Режим доступа: http://www.securelist.com/ru/analysis
  3. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. 4 издание, 2010, 943с.
  4. Статистика глобальной сетевой активности [Электронный ресурс]. – Режим доступа: http://atlas.arbor.net/summary/attacks
  5. Abliz M. Internet Denial of Service Attacks and Defense // Pittsburgh : University of Pittsburgh Technical Report [Электронный ресурс]. – Режим доступа: http://www.cs.pitt.edu/
  6. Mirkovic J., Reiher P. A Taxonomy of DDoS Attack [Электронный ресурс]. – Режим доступа: http://www.eecis.udel.edu/
  7. Feinstein L., Schnackenberg D., Balupari R., Kindred D. Statistical Approaches to DDoS Attack Detection and Response. // DARPA Information Survivability Conference and Exposition [Электронный ресурс]. – Режим доступа: http://www.cs.unc.edu/
  8. Ioannidis J., Bellovin S. Implementing Pushback: Router-Based Defense Against DDoS Attacks // AT&T Labs Research [Электронный ресурс]. – Режим доступа: http://www.cs.columbia.edu/
  9. Yaar A., Perrig A., Song D. Pi A Path Identi?cation Mechanism to Defend // Carnegie Mellon University Research Showcase [Электронный ресурс]. – Режим доступа: http://repository.cmu.edu/
  10. Park K., Lee H. On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets // West Lafayette : SIGCOMM’01 [Электронный ресурс]. – Режим доступа: ftp://mail.im.tku.edu.tw/
  11. Keromytis A., Misra V., Rubenstein D. SOS: Secure Overlay Services // SIGCOMM’02 [Электронный ресурс]. – Режим доступа: http://utd.edu/
  12. Worldwide Infrastructure Security Report // Arbor Networks [Электронный ресурс]. – Режим доступа: http://www.arbornetworks.com/report
  13. Цирульник С.М., Кисюк Д.В., Говорущенко Т.О. DDoS-атаки й методи боротьби з ними [Электронный ресурс]. – Режим доступа: http://www.nbuv.gov.ua/
  14. Ігнатенко О. Атаки на відмову: виникнення проблеми, огляд атак, класифікація [Электронный ресурс]. – Режим доступа: http://eprints.isofts.kiev.ua/
  15. Кадыров М., Труфанов А., Умеров Р. Внедрение облачных вычислений как метод предотвращения DDoS-атак [Электронный ресурс]. – Режим доступа: http://www.uintei.kiev.ua/
  16. Михайлюта С.Л., Степанушко І.В., Бабич Б.О. Захист інтрамереж від DOS- та DDOS-атак [Электронный ресурс]. – Режим доступа: http://www.nbuv.gov.ua/
  17. Яциковская У.О., Карпинский Н.П. Моделирование сетевого трафика компьютерной сети при реализации атак типа DoS/DDoS [Электронный ресурс]. – Режим доступа: http://www.nbuv.gov.ua/
  18. Михайлюта С.Л., Степанушко И.В., Бабич Б.А., Ткаченко В.Ю, Лавринович В.С. Исследование сетевых DOS-атак, основанных на использовании протокола ICMP [Электронный ресурс]. – Режим доступа: http://www.nbuv.gov.ua/
  19. Борисов Д.Н. Энтропия как индикатор возникновения аномалий сетевого трафика [Электронный ресурс]. – Режим доступа: http://ea.donntu.ru/
  20. Приходько T.А. Исследование вопросов безопасности локальных сетей на канальном уровне модели OSI [Электронный ресурс]. – Режим доступа: http://ea.donntu.ru/
  21. Филенко М.С. Распределенные атаки типа «отказ в обслуживании» [Электронный ресурс]. – Режим доступа: http://masters.donntu.ru/
  22. Брич С.А. Интегрированная модель противодействия атакам в социотехнических системах [Электронный ресурс]. – Режим доступа: http://masters.donntu.ru/
  23. J. Mirkovic, P. Reiher, G. Prier Attacking DDoS at the Source [Электронный ресурс]. – Режим доступа: http://www.cs.unc.edu/
  24. Михайлюта С.Л. Математическое описание процессов атак на компьютерные сети [Электронный ресурс]. – Режим доступа: http://www.nbuv.gov.ua/
  25. Котенко И.В., Степашкин М.В., Богданов В.С. Модели и методика интеллектуальной оценки уровня защищенности компьютерной сети [Электронный ресурс]. – Режим доступа: http://stepashkin.com/pubs/2006/ais-06-paper.pdf
  26. Домарев Д.В. Математическое описание процессов атак на компьютерные сети [Электронный ресурс]. – Режим доступа: http://www.nbuv.gov.ua/
  27. Крис Касперски Техника и философия сетевых атак [Электронный ресурс]. – Режим доступа: Техника и философия сетевых атак
  28. Гамаюнов Д.Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов [Электронный ресурс]. – Режим доступа: Обнаружение компьютерных атак на основе анализа поведения сетевых объектов
  29. Емельянова Ю.Г., Талалаев А.А., Тищенко И.П. Нейросетевая технология обнаружения сетевых атак на информационные ресурсы [Электронный ресурс]. – Режим доступа: Нейросетевая технология обнаружения сетевых атак на информационные ресурсы
  30. Комар М.П. Методы искусственных иммунных систем и нейронных сетей для обнаружения компьютерных атак [Электронный ресурс]. – Режим доступа: Методы искусственных иммунных систем и нейронных сетей для обнаружения компьютерных атак