ДонНТУ   Портал магістрів

Реферат за темою випускної роботи

Зміст

Вступ

Розвиток інформаційних технологій і збільшення інформаційного простору має величезний вплив на всі галузі людської діяльності пов'язані з накопиченням і обробкою даних. В даний час є велика різноманітність розміщених в мережі Інтернет баз даних та інших ресурсів, що містять інформацію про різні галузі наукової, освітньої та господарської діяльності. Виникає необхідність надання безперешкодного доступу до баз та забезпечення їх коректної роботи та надійного захисту. На цьому етапі і виникає питання захисту серверів, мереж і окремих частин мережі від атак типу DDoS.

Відмова в обслуговуванні може бути досягнута при різних умовах і в наслідок різних факторів, наприклад:

Зазвичай джерелом DDoS-атаки є деяка кількість заражених комп'ютерів об'єднаних в мережу і званих "ботнет". Зазвичай комп'ютери, які є зараженими, управляються прослуховуванням певного порту або реакціями на команди в IRC-чаті. Однак В даний час набули поширення ботнети, керовані через веб-сайт або за принципом p2p-мереж.

1. Актуальність теми

Однією з найбільш актуальних задач у сфері послуг надання інформації є забезпечення стабільної роботи і можливості доступу до баз даних у будь-який час. При роботі в такому режимі так само необхідно забезпечення певної міри надійності і стресостійкості системи. Одним з найбільш серйозних і поширених способів атак є DDoS-атака (від англ. Distributed Denial of Service, розподілена атака типу "відмова в обслуговуванні"). Метою такої атаки є доведення системи до відмови, тобто, створення таких умов, при яких легальні користувачі системи не можуть отримати доступ до надаваних системних ресурсів, або цей доступ виявляється затруднений.

Магістерська робота присвячена вивченню джерел шкідливого трафіку і їх параметрів, створення моделі мережі підприємства у якій є мережевий фільтр (обробляє запити ззовні), створення алгоритму для відмінності шкідливого трафіку генерованого атакуючими.

2. Мета і завдання дослідження, плановані результати

Мета дослідження є підвищення якості фільтрації трафіку від шкідливих навантажень шляхом розробки моделі обробки зовнішніх запитів, що поступають в мережу підприємства, та вдосконалення алгоритмів їх фільтрації.

Основні завдання дослідження:

  1. Аналіз структури і параметрів моделі мережі підприємства;
  2. Дослідження даних отриманих в процесі моделювання для створення алгоритму;
  3. Створення алгоритму фільтрації шкідливого трафіку;
  4. Оцінка ефективності роботи отриманого алгоритму.

Об'єкт дослідження: алгоритм фільтрації шкідливого трафіку.

Предмет дослідження: методи фільтрації шкідливого трафіку.

У рамках магістерської роботи планується отримання актуальних наукових результатів за наступними напрямками:

  1. Розробка моделі надійної структури корпоративної мережі;
  2. Розробка алгоритму фільтрації шкідливого трафіку;
  3. Розробка рекомендацій для запобігання виникнення проблеми;
  4. Модифікація відомих методів фільтрації шкідливого трафіку.

3. Огляд досліджень і розробок

Проблема DDoS-атак дуже актуальна, тому постійно з'являються нові методи і способи здійснення нападів. Публікацій на цю тему не дуже багато, а інформація в книгах досить швидко застаріває і не враховує поточних тенденцій. Велика частина публікацій з даної тематики знаходиться в англомовному вигляді. Значно менше публікацій представлено на пострадянському просторі.

3.1 Огляд міжнародних джерел

Однією з найбільш корисних книг з цієї теми, в якій розглянуто всі сторони проблеми від типових можливих рішень є "Internet Denial of Service Attacks and Defense Mechanisms", автором якої є Mehmud Abliz з університету Піцбурга [5]. Для забезпечення єдності в термінах і поняттях у проведених дослідженнях по всьому світу необхідно домовиться про термінах і поняттях, структурі та організації знань по темі .. Одна з перших публікацій на тему таксономії джерел DDoS-атак і механізмів захисту від них була написана в 2002 році в роботі "A Taxonomy of DDoS Attack" за авторством J. Mirkovic, P. Reiher [6]. Пізніше ці ж автори розглянули один із способів боротьби з DDoS-атаками, на основі порівняння моделі трафіку в звичайному режимі з усім трафіком, який проходить через систему [24]. Більш глибоко дану тематику розглядають інші автори, які пропонують використовувати статистичні показники трафіку, отримані на основі тривалого аналізу трафіку мережі [7]. Серед альтернативних способів вирішення зустрічаються апаратні рішення, коли алгоритми знаходяться в маршрутизаторах і вони приймають рішення про небажаність трафіку [8 - 10 ]. Деякі дослідники пропонують перекласти вирішення даної проблеми на користувача. Шляхом введення CAPCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) або подібних способів [11]. Регулярні аналітичні статті та квартальні річні звіти випускають великі компанії ринку щодо захисту від DDoS-атак - Arbor Networks і Лабораторія Касперського [12, 13].

Варто також враховувати окремі статті з даної тематики. Наприклад у статті "Threshold Based Kernel Level HTTP Filter (TBHF) for DDoS Mitigation" авторів Mohamed Ibrahim AK, Lijo George, Kritika Govind, S. Selvakumar [27] розглянуті алгоритми раннього виявлення атак типу HTTP GET. Метод базується на аналізі HTTP-трафіку і перегляді кеша браузера. У статті "Раннє виявлення DDoS-атаки статистичними методами при обліку сезонності" авторів Тернового О.С., Шатохіна А.С. [26] запропоновано методи для зниження похибки та раннього виявлення DDOS-атак статистичними методами.

Одним з перших дану тему зачепив колишній російський хакер Кріс Касперски в роботі "Техніка і філософія мережевих атак" [28]. Він говорить про філософію атак, про способи проведення та запобігання атак. Продовженням роботи в даному напрямку можна назвати статті авторів Зима В.М., Молдовян А.А., Молдовян Н.А. [29]. Вони дають можливість оцінити проблему і показують, що простір для виникнення цієї проблеми є глобальним.

Так само велика кількість робіт було присвячено ранньому виявленню і запобіганню атак. У роботах "Виявлення комп'ютерних атак на основі аналізу поведінки мережевих об'єктів" Гамаюнова Д.Ю. [30], "Нейромережева технологія виявлення мережевих атак на інформаційні ресурси" авторів Ємельянова Ю.Г., Талалаєв А.А., Тищенко І.П. [31] і "Методи штучних імунних систем і нейронних мереж для виявлення комп'ютерних атак" Комара М.П. [32] говориться про можливість раннього виявлення, і, як наслідок, застосування більш простого механізму протистояння мережевим атакам.

3.2 Огляд національних джерел

Кількість національних джерел значно менше, серед національних публікацій найчастіше зустрічаються оглядові статті, такі, як, наприклад, стаття авторів С.М. Цирульник, Д.В. Кісюк, Т.А. Говорущенко ? з вузів ВНТУ, ? ХНУ відповідно [14]. Більш докладно цю проблему розглянув Ігнатенко А. з Інституту програмних систем НАН України [15].

Зустрічаються досить суперечливі публікації, в яких як вирішення даної проблеми використовується масштабування серверних потужностей, щоб обслужити всі навантаження, включаючи небажаний трафік[16]. Такий підхід не є прийнятним рішенням проблеми, оскільки вартість впровадження даного методу невиправдано висока.

Схожу тему розглядали студент і викладачі Черкаського державного технічного університету. Були розглянуті джерела і методи фільтрації небажаного трафіку[17].

Теоретичні напрацювання для моделювання DoS / DDoS-атак представлені авторами Яціковська У.Е., Карпінський М.П. [18]; так само на цю тему написана робота за авторством Домарєва С.В. з Інституту комп'ютерних технологій національного авіаційного університету, в роботі якого процес DDoS-атаки представлений як марківська модель розгалуженого процесу[25].

Докладно розглянуті авторами Михайлютою С.Л., Степанушко І.В., Бабічем Б.А., Ткаченко В.Ю., Лавриновичем В.С. один з видів DDoS-атаки, в якому використовується протокол ICMP[19].

3.3 Огляд локальних джерел

У ДонНТУ було написано кілька робіт з даної тематики. Стаття "Ентропія як індикатор виникнення аномалій мережевого трафіку", написана студентом ДонНТУ Борисовим Д.М. в 2007 році. У статті описані способи фільтрації на основі яких працюють сучасні хмарні рішення в даній області [20]. Побічно DDoS-атаки розглянуті в статті Приходько Н.А. про безпеку в локальних мережах [21]. В індивідуальному розділі сайту магістра Філенко М.С. розглянуті методики DDoS-атак, рекомендації з профілактики і запобігання [22]. В індивідуальному розділі сайту магістра Дядина І.П. предлогается модель корпоративної мережі під час атаки [23].

Частково описана класифікація DDoS-атак в студента Брич С.А. кафедри комп'ютерних систем моніторингу факультету комп'ютерних наук і технологій[24].

4. Дослідження мережевих атак.

Згідно зі звітом [4] опублікованому компанією Arbor Networks, що надає одні з кращих рішень   для забезпечення стабільної роботи інформаційних систем і має величезний досвід у питаннях боротьби   з DDoS-атаками, в 2012-му році зростання кількості та інтенсивності атак сповільнилося в порівнянні   з попередніми роками. При цьому комплексні атаки і атаки рівня додатків продовжують розвиватися,   стаючи більш складними.

46% атак ставилися до комплексним DDoS-атакам, що використовують відправку сміттєвого трафіку, SYN-флуд (відправка великої кількості запитів на підключення по протоколу TCP) і UDP Flood   (відправка великої кількості безлічі UDP-пакетів), а так само атаки з використанням протоколів   рівня додатків. У відсотковому значенні атаки з використанням рівня додатків стали самими   поширеними і склали близько 85%. Однак, у порівнянні з минулими роками пропорції   заявлених атак цього типу практично не змінилися по відношенню до більшості служб, таких   як HTTP, DNS і SMTP. Єдиним аспектом атак рівня додатків, який явно пережив   зміна, став HTTPS-протокол, рівень застосування яких піднявся з 24% до 37%.

Згідно зі звітом існує певна стурбованість з приводу компрометації робочих станцій. Існує ймовірність того, що комп'ютери, що належать до корпоративної мережі, можуть бути   частиною ботнету (мережа із заражених комп'ютерів, які використовуються в атаці). така ситуація   призводить до посилення ефекту від атаки, так як захист може бути спрямована тільки на зовнішню   мережа, ігноруючи внутрішньомережний корпоративний трафік.

Збільшення кількості хостів, що входять до ботсеті,   не викликає здивування, враховуючи кількість і складність існуючих на сьогоднішній день вірусів,   темпи їх розвитку та витікаючу з цього неможливість побудувати надійну систему захисту на основі   антивірусних програм і систем виявлення вторгнень.

Найсильнішою DDoS-атакою за 2012-ий рік виявилася атака, яка обрушилася на сервера компанії Cloudflare 15-го вересня. В результаті сервіс Cloudflare виявився тимчасово недоступний частини користувачів. Варто зауважити, що компанія є мережею доставки контенту і під її управлінням перебуває кілька дата-центрів у різних регіонах. Компанія легко витримує DDoS-атаки в десятки гігабіт, але з атакою в 65 Гбіт / с впорається не змогла.

У березня 2013 року компанія Spamhaus, яка становить бази даних про серверах, що використовуються хакерами, що допомагає поштовим службам фільтрації спаму і іншого небажаного контенту, занесла в свій чорний список ряд серверів, що належать голландській компанії CyberBunker. Компанія CyberBunker заявила, що Spamhaus не має права вказувати що публікувати і що не публікувати в інтернеті. Голландська компанія розгорнула найпотужнішу DDoS-атаку за весь час. Її потужність досягала 300Гбіт / с. Атака такої потужності не змогла надати великого шкоди, так як була задіяна технологія захисту, а саме: розподіл трафіку по різних дата-центрам і подальша його фільтрація. Ця атака мала певний ефект на всю мережу Інтернет, що було виражено у збільшенні пінгу до деяких європейських сайтів. Провайдери нормально витримали атаку, але були сильно зафлужени.

По складності придушення, а так само з мотивації проведення DDoS-атаки можна розділити на такі категорії як: вандалізм - зазвичай це не розподілені атаки, а атаки які ведуться з одного-двох хостів, зловмисник швидше за все не отримує від цього будь-якої вигоди, а робить  це через образу на власників якого або ресурсу, знання його в цій області обмежені простими методами атак знайдені в мережі Інтернет. Дані атаки відбиваються досить легко, тому що теж не вимагають високої кваліфікації в галузі захисту комп'ютерних мереж від зовнішніх атак,  і часто вирішується блокуванням конкретного IP або простий фільтрацією пакетів по поміченою закономірності; нігілізм - по суті, причини фактично ідентичні причин при вандалізмі, але дії відбуваються більш цілеспрямовано, і це вже розподілена атака. У ній бере участь група людей, яка незадоволена тими  чи іншими інформаційними приводами. Зазвичай це простий bat-скрипт, в якому використовується команда ping з великим розміром перевірочного пакету і перераховані яких атакували ресурси, ніяких знань від користувача не потрібно, достатньо лише запустити скрипт. Блокується така атака зазвичай досить легко, блокується все навантаження  отримана за протоколом ICMP; бізнес - зловмисники використовують даний вид атак, не тільки як засіб для власного збагачення, а й надають DDOS-атаки як послугу

Розглянемо принципи, за якими була здійснена найпотужніша атака. Згідно зі звітом [5] в основі даної атаки лежить UDP-флуд, який супроводжується SYN-флудом. Це вказує на наявність досить великого числа підконтрольних серверів.

Також в ході даної атаки була використана технологія посилення атаки. Множення первісного шкідливого трафіку здійснювалося за рахунок відображення DNS-запитів через DNS-Резолвер, які встановлені у кожного інтернет-провайдера. Зазвичай DNS-Резолвер сконфігуровані так, щоб обробляти тільки запити своїх користувачів, але існує велика кількість компаній, які неправильно їх сконфигурировали, так що Резолвер приймають запити від будь-якого користувача інтернету. Так само буде цікаво помітити, що значною мірою посилення відбувалося завдяки великим ключам DNSSEC, які включені в тіло відповіді, а адже протокол DNSSEC впроваджувався з метою підвищити безпеку системи DNS.

Схематичне представлення мережевої атаки

Рисунок 1 – Схематичне представлення мережевої атаки

5. Алгоритм захисту від DDoS-атак.

Існують основні рішення по захисту від атак:

  1. програмні рішення;
  2. апаратні рішення;
  3. хмарні рішення.

Програмні рішення - найпоширеніше на ринку, найчастіше представляє собою набір правил фільтрації трафіку, які складені розробником на особистому досвіді. Дане рішення досить просто встановити прямо на сервер на якому працює ресурс, але допоможе тільки від малопомітних атак виду вандалізм.

Апаратні рішення - представляють собою створення розподіленої мережевої структури з великим запасом пропускається трафіку. Використовуються в масштабних мережевих структурах, таких як: точки обміну трафіком, дата-центри, великі регіональні провайдери.

Хмарні рішення являють із себе мережеву структуру з великою пропускною здатністю, до складу якої вводяться сервера для фільтрації шкідливого трафіку. Таким чином, така мережа поступово буде фільтрувати негативний трафік і знижувати кількість шкідливих пакетів. Аналіз трафіку є досить складним завданням, тому деякі компанії патентують свої алгоритми, наприклад компанія "Black Lotus" запатентувала алгоритм "Human Behavior Analysis", який визначає хто генерує трафік, людина або бот; компанія "Arbor" надає свій продукт "PeakFlow" який має сигнатурний підхід до фільтрації небажаного трафіку.

Визначивши причини виникнення і проблеми, що підлягають вирішенню при боротьбі з даним видом атак, з'являється можливість знайти методи вирішення даних проблем.

На анімації наведено принцип роботи модельованої системи.

Принцип роботи модельованої мережі

Рисунок 2 – Принцип роботи модельованої мережі
(анімація: 7 кадрів, 7 циклів повторення, 24 кілобайт)

На анімації промодельований процес атаки на мережу підприємства. Шкідливий трафік на рівні з корисним надходить у внутрішню мережу. Спершу дані надходять на пристрій аналізу трафіку. На даній стадії застосовуються найпростіші алгоритми фільтрації - статичні таблиці з помощбю яких з'являється можливість блокувати шкідливий трафік від певних вузлів (наприклад по IP). Управління даними вузлом (заповнення таблиць) виконує сервер, який знаходиться в мережі відразу за першим пристроєм. Цей сервер виконує активну верифікацію даних і збирає статистику про шкідливий трафік та його джерелах. Після встановлення джерела-шкідника він передає інформацію про нього в перший пристрій і, таким чином, блокує його. Щоб до заблокованих вузлів не були довірені та інші робочі пристрої, сервер виконує постійний активний аналіз всього трафіку. Далі сервер виконує лімітування швидкості і перенаправляє перевірений трафік в мережу підприємства. Трафік доставляється до вузлів призначення з корпоративної мережі без проблем і перевантажень.

Висновки

У рефераті наведено інформацію про мережевих атаках, розглянуто причини їх виникнення. На прикладі реальної атаки показані існуючі механізми боротьби із зловмисниками. Дана проблема актуальна і хоч вже існують лідери ринку в даній області, пропонований ними продукт є повністю закритим, захищеним патентом. На відміну від рішень з закритим вихідним кодом, відкриті рекомендації дозволяють привести методи та алгоритми до єдиного стандарту, що зробить дані рішення більш гнучкими і дозволить користуватися ними з більшою ефективністю.

У рамках проведених досліджень виконано:

Досліджено класифікація методів DDoS-атак. Розглянуто існуючі рішення як програмні так і апаратні. Створена найпростіша модель DDoS-атаки на інтранет корпоративної мережі.
  1. Досліджено класифікація методів DDoS-атак.
  2. Розглянуто причини виникнення та структура атак.
  3. Розглянуто існуючі рішення і проведено аналіз їх роботи.

Подальші дослідження спрямовані на наступні аспекти:

  1. Розробка моделі мережі підприємства, здатної протистояти DDoS-атакам
  2. Розробка механізму моделювання DDoS-атак
  3. Створення алгоритмів фільтрації шкідливого трафіку
  4. Оцінка ефективності отриманого рішення

При написанні даного реферату магістерська робота ще не завершена. Остаточне завершення: грудень 2013 року. Повний текст роботи та матеріали по темі можуть бути отримані у автора або його керівника після зазначеної дати.

Перелік посилань

  1. DDoS and Security Reports: The Arbor Networks Security Blog [Электронный ресурс]. – Режим доступа: http://www.arbornetworks.com/
  2. Сайт Лаборатории Касперского [Электронный ресурс]. – Режим доступа: http://www.securelist.com/ru/analysis
  3. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. 4 издание, 2010, 943с.
  4. Статистика глобальной сетевой активности [Электронный ресурс]. – Режим доступа: http://atlas.arbor.net/summary/attacks
  5. Abliz M. Internet Denial of Service Attacks and Defense // Pittsburgh : University of Pittsburgh Technical Report [Электронный ресурс]. – Режим доступа: http://www.cs.pitt.edu/
  6. Mirkovic J., Reiher P. A Taxonomy of DDoS Attack [Электронный ресурс]. – Режим доступа: http://www.eecis.udel.edu/
  7. Feinstein L., Schnackenberg D., Balupari R., Kindred D. Statistical Approaches to DDoS Attack Detection and Response. // DARPA Information Survivability Conference and Exposition [Электронный ресурс]. – Режим доступа: http://www.cs.unc.edu/
  8. Ioannidis J., Bellovin S. Implementing Pushback: Router-Based Defense Against DDoS Attacks // AT&T Labs Research [Электронный ресурс]. – Режим доступа: http://www.cs.columbia.edu/
  9. Yaar A., Perrig A., Song D. Pi A Path Identi?cation Mechanism to Defend // Carnegie Mellon University Research Showcase [Электронный ресурс]. – Режим доступа: http://repository.cmu.edu/
  10. Park K., Lee H. On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets // West Lafayette : SIGCOMM’01 [Электронный ресурс]. – Режим доступа: ftp://mail.im.tku.edu.tw/
  11. Keromytis A., Misra V., Rubenstein D. SOS: Secure Overlay Services // SIGCOMM’02 [Электронный ресурс]. – Режим доступа: http://utd.edu/
  12. Worldwide Infrastructure Security Report // Arbor Networks [Электронный ресурс]. – Режим доступа: http://www.arbornetworks.com/report
  13. Цирульник С.М., Кисюк Д.В., Говорущенко Т.О. DDoS-атаки й методи боротьби з ними [Электронный ресурс]. – Режим доступа: http://www.nbuv.gov.ua/
  14. Ігнатенко О. Атаки на відмову: виникнення проблеми, огляд атак, класифікація [Электронный ресурс]. – Режим доступа: http://eprints.isofts.kiev.ua/
  15. Кадыров М., Труфанов А., Умеров Р. Внедрение облачных вычислений как метод предотвращения DDoS-атак [Электронный ресурс]. – Режим доступа: http://www.uintei.kiev.ua/
  16. Михайлюта С.Л., Степанушко І.В., Бабич Б.О. Захист інтрамереж від DOS- та DDOS-атак [Электронный ресурс]. – Режим доступа: http://www.nbuv.gov.ua/
  17. Яциковская У.О., Карпинский Н.П. Моделирование сетевого трафика компьютерной сети при реализации атак типа DoS/DDoS [Электронный ресурс]. – Режим доступа: http://www.nbuv.gov.ua/
  18. Михайлюта С.Л., Степанушко И.В., Бабич Б.А., Ткаченко В.Ю, Лавринович В.С. Исследование сетевых DOS-атак, основанных на использовании протокола ICMP [Электронный ресурс]. – Режим доступа: http://www.nbuv.gov.ua/
  19. Борисов Д.Н. Энтропия как индикатор возникновения аномалий сетевого трафика [Электронный ресурс]. – Режим доступа: http://ea.donntu.ru/
  20. Приходько T.А. Исследование вопросов безопасности локальных сетей на канальном уровне модели OSI [Электронный ресурс]. – Режим доступа: http://ea.donntu.ru/
  21. Филенко М.С. Распределенные атаки типа «отказ в обслуживании» [Электронный ресурс]. – Режим доступа: http://masters.donntu.ru/
  22. Брич С.А. Интегрированная модель противодействия атакам в социотехнических системах [Электронный ресурс]. – Режим доступа: http://masters.donntu.ru/
  23. J. Mirkovic, P. Reiher, G. Prier Attacking DDoS at the Source [Электронный ресурс]. – Режим доступа: http://www.cs.unc.edu/
  24. Михайлюта С.Л. Математическое описание процессов атак на компьютерные сети [Электронный ресурс]. – Режим доступа: http://www.nbuv.gov.ua/
  25. Котенко И.В., Степашкин М.В., Богданов В.С. Модели и методика интеллектуальной оценки уровня защищенности компьютерной сети [Электронный ресурс]. – Режим доступа: http://stepashkin.com/pubs/2006/ais-06-paper.pdf
  26. Домарев Д.В. Математическое описание процессов атак на компьютерные сети [Электронный ресурс]. – Режим доступа: http://www.nbuv.gov.ua/
  27. Крис Касперски Техника и философия сетевых атак [Электронный ресурс]. – Режим доступа: Техника и философия сетевых атак
  28. Гамаюнов Д.Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов [Электронный ресурс]. – Режим доступа: Обнаружение компьютерных атак на основе анализа поведения сетевых объектов
  29. Емельянова Ю.Г., Талалаев А.А., Тищенко И.П. Нейросетевая технология обнаружения сетевых атак на информационные ресурсы [Электронный ресурс]. – Режим доступа: Нейросетевая технология обнаружения сетевых атак на информационные ресурсы
  30. Комар М.П. Методы искусственных иммунных систем и нейронных сетей для обнаружения компьютерных атак [Электронный ресурс]. – Режим доступа: Методы искусственных иммунных систем и нейронных сетей для обнаружения компьютерных атак