ДонНТУ   Портал магістрів

Реферат за темою випускної роботи

Зміст

Вступ

Однією з найбільш актуальних задач у галузі надання інформаційних послуг є DDoS-атака (від англ. Distributed Denial of Service, розподілена атака типу „відмова в обслуговуванн“). Суть таких атак зводиться до того, щоб всіма доступними способами зменшити кількість корисного навантаження на ресурс, або зовсім зробити його недоступним.

Відмова в обслуговуванні може бути досягнутий при різних умовах, а причинами можуть служити: помилки в програмному забезпеченні яке працює на сервісі що атакується, недоліки мережевих протоколів та обмеження в пропускної здатності каналу зв’язку, чи непродумана мережева інфраструктура. Зазвичай DDoS-атака ведеться з так званого ботнету, що є досить великою кількістю комп’ютерів, а також смартфонів, заражених шкідливим програмним забезпеченням.

1. Актуальність теми

Ця проблема виникла разом з появою всесвітньої мережі Інтернет і стає все більш актуальною в зв’язку з розвитком і розширенням всесвітньої мережі. На ринку існують відкриті програмні рішення, які можуть впоратися тільки з простими випадками DDoS-атак. Апаратні рішення мають закриті алгоритми.

Магістерська робота присвячена вивченню джерел небажаного трафіку і їх параметрів, створенню моделі корпоративної мережі в якій присутній веб-сервер (обробляє запити ззовні), створенню алгоритму для того щоб визначати небажаний трафік генерований ботнетом.

2. Мета і задачі дослідження та заплановані результати

Метою дослідження є підвищення якості фільтрації трафіку від небежаного навантаженная шляхом розробки моделі обробки зовнішніх запитів у телекомунікаційній корпоративній мережі та удосконалення алгоритмів їх фільтраціі.

Основні задачі дослідження:

  1. Аналіз параметрів і структури моделі корпоративної мережі.
  2. Дослідження даних отриманих в процесі моделювання для створення алгоритму.
  3. Створення алгоритму фільтрації небажаного трафіку.
  4. Оцінка ефективності розроблених алгоритмів.

Об'єкт дослідження: алгоритм фільтрації небажаного трафіку.

Предмет дослідження: методи фільтрації небажаного трафіку.

В рамках магістерської роботи планується отримання актуальних наукових результатів по наступним напрямкам:

  1. Розробка моделі корпоративної мережі та джерел трафіку.
  2. Розробка алгоритму фільтрації небажаного трафіку.
  3. Визначення областей застосування різних варіантів роботи алгоритму при заданих вихідних параметрах.
  4. Модифікація відомих методів фільтрації небажаного трафіку.

Для оцінки експериментів і перевірки ефективності алгоритмів буде використовуватися кроссплатформенная система моделювання AnyLogic.

3. Огляд досліджень та розробок

Оскільки постійно з’являються нові способи і методи DDoS-атак, публікацій на дану тему не дуже багато, а література швидко застаріває. Досить велика кількість публікацій зроблено в США, Англії, Австралії. Значно менше публікацій на пострадянському просторі.

3.1 Огляд міжнародних джерел

Оскільки постійно з’являються нові способи і методи DDoS-атак, публікацій на дану тему не дуже багато, а література швидко застаріває. Досить велика кількість публікацій зроблено в США, Англії, Австралії. Значно менше публікацій на пострадянському просторі.

Однією з найбільш повноцінної книги по цій темі, в якій розглядатимуться всі сторони проблеми до типових можливих рішень є книга "Internet Denial of Service Attacks and Defense Mechanisms", автором якої є Mehmud Abliz з університету Піцбурга [5]. Щоб у дослідженнях і експериментах, якими займаються дослідники по всьому світу, була єдність в термінах і поняттях, потрібно домовиться про структуру та організацію цих знань. Одна з перших публікацій на тему таксономії джерел DDoS-атак і механізмів захисту від них була написана в 2002 році [6] . Пізніше ці ж автори розглянули один із способів боротьби з DDoS-атаками, на основі порівняння моделі трафіку в звичайному режимі з усім трафіком, що проходить крізь систему [24].

Більш глибоко дану тематику розглядають інші автори, які пропонують використовувати статистичні показники трафіку, отримані на основі тривалого аналізу трафіку мережі [7].

Серед альтернативних способів вирішення зустрічаються апаратні рішення, коли алгоритми знаходяться в маршрутизаторах і вони приймають рішення щодо небажаного трафіка [810].

Деякі дослідники пропонують перекласти вирішення даної проблеми на користувача. Шляхом введення CAPCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) або подібних способів [11].

Регулярні аналітичні статті та квартальні/річні звіти випускають великі компанії ринку щодо захисту від DDoS-атак — Arbor Networks і Лабораторія Касперського [12, 13].

3.2 Огляд національних джерел

Серед національних джерел найчастіше зустрічаються тільки оглядові статті, як, наприклад, стаття авторів С.М. Цирульник, Д.В. Кісюк, Т.О. Говорущенко¹ з вищих навчальних закладів ВНТУ, ¹ХНУ відповідно [14]. Більш детально дану проблему розглянув Ігнатенко Олексій з Інститутупрограмних систем НАН України [15].

Зустрічаються досить суперечливі публікації, в якихв якості вирішення даної проблеми використовується масштабування серверних потужностей, щоб обслужити все навантаження, включаючи небажаний трафік [16].

Схожу тему розглядали студент та викладачі Черкаського державного технічного університету. Були розглянуті джерела і методи фільтрації небажаного трафіку [17].

Теоретичні викладки для моделювання DoS / DDoS-атак представлені авторами Яціковська У.О., Карпінській М.П [18]; так само на цю тему написана робота автора Домарев С.В. з Інституту комп'ютерних технологій національного авіаційного університету, в роботі якого процес DDoS-атаки представлений як марківська модель розгалуженого процесу [25].

Детально розглянуто авторами С.Л. Михайлюта, І.В. Степанушко, Б.А. Бабич, В.Ю. Ткаченко, В.С. Лавринович один з видів DDoS-атаки, в якому використовується протокол ICMP [19].

3.3 Огляд локальних джерел

Одна зі статей, написана студентом ДонНТУ Борисовим Д.Н. в 2007 році, детально описує спосіб ідентифікації шкідливого трафіку на основі ентропії. У статті описані способи фільтрації на основі яких працюють сучасні хмарні рішення в даній області [20]. Побічно DDoS-атаки розглянуті у статті Приходько Н.А. про безпеку в локальних мережах [21]. В індивідуальному розділі сайту магістра Філенко М.С. розглянуті методики DDoS-атак, рекомендації з профілактики та запобігання [22].

Частково описана класифікація DDoS-атак у студента Брич С.А. кафедри комп'ютерних систем моніторингу факультету комп'ютерних наук і технологій [23].

4. Дослідження DDos-атак і методів боротьби з ними

За даними аналітичного звіту компанії „Лабораторія Касперського“ — „DDoS-атаки другого півріччя 2011 року“ очевидно, що лідерами за кількістю джерел DDoS-атак є Росія і Україна. Звідси можна зробити висновок, що вірусна активність і кількість заражених комп'ютерів в цих країнах перебувають на високому рівні, так само це означає, що використовується досить велика кількість застарілого програмного забезпечення і зловмисники можуть використовувати його критичні уразливості. Дані показники так само забезпечуються ще зростанням кількості сімей, у яких з'явився доступ до Інтернету та низькою комп'ютерною грамотністю.

За даними компанії Arbor 35% відсотків атак були спровоковані з ідеологічних чи політичних причин, 31% були обгрунтовані як нігілізм (прикладом може послужити атаки на державні ресурси МВС України, адміністрації президента і інших після закриття ресурсу ex.ua). Атакам так само піддаються сервіси провайдерів послуг мобільного зв’язку такі як електронна пошта, доступ в інтернет, були зареєстровані атаки на клієнтські пристрої.

Що стосується каналів зв’язку, новим стандартом у швидкості надходження некорисною навантаження на ресурси стала швидкість 10 Гбіт/с. Максимальні зареєстровані некорисні навантаження 60 Гбіт/с і 100 Гбіт/с. Також в останньому звіті була виявлена ​перша атака з використанням протоколу IPv6.

Для виявлення DDoS-атак використовуються наступні методи: статистичний — заснований на аналізі відхилення статистичних параметрів трафіку від середніх значень; статичний — заснований на чорних і білих списках, в тому числі формованих користувацькими додатками через API; поведінковий — заснований на аналізі дотримання або недотримання специфікацій прикладних протоколів; сигнатурний: заснований на аналізі індивідуальних особливостей поведінки ботів [3].

За складністю придушення, а також по мотивації проведення DDoS-атаки можна розділити на такі категорії як: вандалізм — зазвичай це не розподілені атаки, а атаки, які ведуться з одного-двох хостів, а зловмисник швидше за все не отримує від цього який-небудь вигоди, а робить це через образу на власників-якого ресурсу; знання його в цій галузі обмежені простими методами атак, знайдені в мережі Інтернет. Дані атаки відображаються досить легко, тому що теж не вимагають високої кваліфікації в галузі захисту комп'ютерних мереж від зовнішніх атак, і часто вирішується блокуванням конкретного IP або простий фільтрацією пакетів по відміченою закономірності; нігілізм — по суті, причини якого фактично ідентичні причинам при вандалізмі, але дії відбуваються більш цілеспрямовано, і це вже розподілена атака. У ній бере участь група людей, яка незадоволена тими чи іншими інформаційними приводами. Зазвичай це простий bat-скрипт, в якому використовується команда ping з великим розміром перевірочного пакета і перераховані ресурси, що атакуються. Ніяких знань від користувача не потрібно, достатньо лише запустити скрипт. Блокується така атака зазвичай досить легко — блокуванням всього навантаження, отриманого по протоколу ICMP; бізнес — зловмисники використовують даний вид атак, не тільки як засіб для власного збагачення, а й надають DDoS-атаки як послугу.

Розглянувши причини виникнення і проблеми, які потрібно вирішувати при боротьбі з даним видом атак, можна визначити методи вирішення даних проблем. Весь ринок рішень щодо захисту від DDoS-атак можна розділити на три частини: програмні рішення — найпоширеніше на ринку, часто представляє собою набір правил фільтрації трафіку, які складені розробником на особистому досвіді. Так само існують рішення з відкритим вихідним кодом (наприклад DDoS Deflate), але має дуже простий статичний метод фільтрації (білі і чорні списки) по IP, на основі кількості з'єднань від одного IP. Дане рішення досить просто встановити прямо на сервер, на якому працює ресурс і допоможе тільки від малопомітних атак виду вандалізм. Рішення абсолютно неефективно в масштабі дата-центрів; апаратні рішення — використовується для захисту масштабних мережевих інфраструктур, таких як: точки обміну трафіком, дата-центри і т.д. Типова схема роботи подібних рішень представлена ​на рис.1, де A — бажаний трафік, B — небажаний трафік, C — Інтернет, D — мережева інфраструктура, E — ціль яку атакуть, F — пристрій збору інформації, G — пристрій прийняття рішень.

Стандартна схема апаратного рішення захисту від DDoS-атак

Рисунок 1 – Стандартна схема апаратного рішення захисту від DDoS-атак
(анимація: 4 кадра, 15 циклів повторення, 92,6 кілобайт)

Зазвичай схема складається з двох пристроїв: пристрій аналізу трафіку, на який дублюється весь трафік, який приходить в дата-центр, і пристрій прийняття рішень, який блокує небажане навантаження на основі аналізу даних, отриманих пристроєм збору інформації. Іноді ці рішення поєднуються в одному пристрої, як, наприклад, рішення від Cisco, яке при відсутності активних атак працює в режимі накопичення інформації про корисне навантаження, а в разі виникнення шкідливої ​активності змінюється маршрутизація і починається фільтрація трафіку.

Оскільки аналіз трафіку і прийняття рішень є досить складним завданням, деякі компанії запатентували свої алгоритми. Наприклад, компанія „Black Lotus“ запатентувала алгоритм „Аналіз поведінки людини“ (Human Behavior Analysis), який визначає, хто генерує даний трафік - людина або бот. Так само цікавим рішенням є рішення від компанії „Arbor“, а саме продукт „PeakFlow“, який крім стандартних рішень є сигнатурний підхід до фільтрації небажаного трафіку, тобто пристрій „PeakFlow“ може обмінюватися між собою даними про атаку, такими як джерела атаки, способи і які -або закономірності. Це дозволяє вирішувати дану проблему не на рівні дата-центру, а, наприклад, на рівні провайдера, який надає канали даного дата-центру; хмарне рішення - даний вид рішень включає в себе як програмні так і апаратні рішення, але так само використовує всі види захистів від DDoS-атак.

Розглянемо його на прикладі продукту „Лабораторії Касперського“ — „Kaspersky DDoS Prevention“. Дане рішення є шлюзом, через який буде проходити весь трафік, який йде на Інтернет-ресурс. Оскільки це хмарне рішення, це означає, що збільшення швидкості атаки не є проблемою (тоді як в апаратних рішеннях вона впиралася в швидкісні обмеження мережевої інфраструктури, в якій була встановлена), так як рішення масштабується в разі збільшення некорисною навантаження. Інша перевага даного рішення — це алгоритми, які приймають рішення про те, що робити з тим чи іншим навантаженням не тільки на основі статистики, яка була накопичена за час атак, а й на основі того, що алгоритм знає про джерела DDoS-атак і їх функціоналі.

Висновки

В рефераті розглянуті причини виникнення DDoS-атак, їх мотивація і способи створення; показано, що дана проблема на сьогоднішній день актуальна, і хоч існують вже лідери ринку в даній області, вони надають закриті рішення, які захищені патентом або зовсім не розголошуються. На відміну від рішень з закритим вихідним кодом, відкриті рекомендації дозволяють привести методики та алгоритми до єдиного стандарту, що дозволить виробникам обладнання та програмних рішень обмінюватися засобами більш ефективного вирішення даної проблеми.

В рамках проведених досліджень виконано:

  1. Досліджено класифікація методів DDoS-атак.
  2. Розглянуто існуючі рішення — як програмні, так і апаратні.
  3. Створена найпростіша модель DDoS-атаки на інтранет корпоративної мережі.

Подальші дослідження направлені на наступні аспекти:

  1. Доопрацювання моделі корпоративної мережі, щоб була можливість промоделювати більшу частину можливих методів DDoS-атак.
  2. Створення алгоритмів фільтрації небажаного трафіку.
  3. Оцінка ефективності роботи алгоритмів, їх оптимізація, що реалізує запропонований уніфікований процес синтезу.

При написанні даного реферату магістерська робота ще не завершена. Остаточне завершення: січень 2013 року. Повний текст роботи та матеріали по темі можуть бути отримані у автора або його керівника після зазначеної дати.

Перелік посилань

  1. Stopping & Preventing DDoS Attacks // Arbor Networks [Электронный ресурс]. — Режим доступа: http://www.arbornetworks.com/
  2. Behavior analysis techniques in DDoS mitigation // Black Lotus [Электронный ресурс]. — Режим доступа: http://www.blacklotus.net/
  3. DDoS-атаки второго полугодия 2011 года // Лаборатория Касперского [Электронный ресурс]. — Режим доступа: http://www.kaspersky.ru
  4. Worldwide Infrastructure Security Report 2011 Volume VII // Arbor Networks, 2011. — 72 c.
  5. M. Abliz Internet Denial of Service Attacks and Defense // Pittsburgh : University of Pittsburgh Technical Report [Электронный ресурс]. — Режим доступа: http://www.cs.pitt.edu/
  6. J. Mirkovic, P. Reiher A Taxonomy of DDoS Attack [Электронный ресурс]. — Режим доступа: http://www.eecis.udel.edu/
  7. L. Feinstein, D. Schnackenberg, R. Balupari, D. Kindred Statistical Approaches to DDoS Attack Detection and Response. // DARPA Information Survivability Conference and Exposition [Электронный ресурс]. — Режим доступа: http://www.cs.unc.edu/
  8. J. Ioannidis, S. Bellovin Implementing Pushback: Router-Based Defense Against DDoS Attacks // AT&T Labs Research [Электронный ресурс]. — Режим доступа: http://www.cs.columbia.edu/
  9. A. Yaar, A. Perrig, D. Song Pi A Path Identification Mechanism to Defend // Carnegie Mellon University Research Showcase [Электронный ресурс]. — Режим доступа: http://repository.cmu.edu/
  10. K. Park, H. Lee On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets // West Lafayette : SIGCOMM’01 [Электронный ресурс]. — Режим доступа: ftp://mail.im.tku.edu.tw/
  11. A. Keromytis, V. Misra, D. Rubenstein SOS: Secure Overlay Services // SIGCOMM’02 [Электронный ресурс]. — Режим доступа: http://utd.edu/
  12. Worldwide Infrastructure Security Report // Arbor Networks [Электронный ресурс]. — Режим доступа: http://www.arbornetworks.com/report
  13. С.М. Цирульник, Д.В. Кисюк, Т.О. Говорущенко DDoS-атаки й методи боротьби з ними [Электронный ресурс]. — Режим доступа: http://www.nbuv.gov.ua/
  14. О. Ігнатенко Атаки на відмову: виникнення проблеми, огляд атак, класифікація [Электронный ресурс]. — Режим доступа: http://eprints.isofts.kiev.ua/
  15. М. Кадыров, А. Труфанов, Р. Умеров Внедрение облачных вычислений как метод предотвращения DDoS-атак [Электронный ресурс]. — Режим доступа: http://www.uintei.kiev.ua/
  16. С.Л. Михайлюта, І.В. Степанушко, Б.О. Бабич Захист інтрамереж від DOS- та DDOS-атак [Электронный ресурс]. — Режим доступа: http://www.nbuv.gov.ua/
  17. У.О. Яциковская, Н.П. Карпинский Моделирование сетевого трафика компьютерной сети при реализации атак типа DoS/DDoS [Электронный ресурс]. — Режим доступа: http://www.nbuv.gov.ua/
  18. С.Л. Михайлюта, И.В. Степанушко, Б.А. Бабич, В.Ю Ткаченко, В.С. Лавринович Исследование сетевых DOS-атак, основанных на использовании протокола ICMP [Электронный ресурс]. — Режим доступа: http://www.nbuv.gov.ua/
  19. Д.Н. Борисов Энтропия как индикатор возникновения аномалий сетевого трафика [Электронный ресурс]. — Режим доступа: http://ea.donntu.ru/
  20. T.А. Приходько Исследование вопросов безопасности локальных сетей на канальном уровне модели OSI [Электронный ресурс]. — Режим доступа: http://ea.donntu.ru/
  21. М.С. Филенко Распределенные атаки типа «отказ в обслуживании» [Электронный ресурс]. — Режим доступа: http://masters.donntu.ru/
  22. С.А. Брич Интегрированная модель противодействия атакам в социотехнических системах [Электронный ресурс]. — Режим доступа: http://masters.donntu.ru/
  23. J. Mirkovic, P. Reiher, G. Prier Attacking DDoS at the Source [Электронный ресурс]. — Режим доступа: http://www.cs.unc.edu/
  24. Д.В. Домарев Математическое описание процессов атак на компьютерные сети [Электронный ресурс]. — Режим доступа: http://www.nbuv.gov.ua/