Мережеві DоS та DDоS-атаки

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Зміст

Вступ

Розділ 1. DоS і DDоS атаки

1.1 Поняття DoS і DDoS

1.2 Анатомія DoS-атак

1.3 Класифікація DDoS атак

1.4 Найбільші DDoS-мережі

1.5 Слід в історії (наслідки атак)

Розділ 2. Огляд досліджень і розробок

2.1 Огляд міжнародних та національних джерел

2.2 Дослідження мережевих атак

2.3 Алгоритм захисту від DDoS-атак

Розділ 3. Аналіз та захист від DDоS-атак

3.1 Аналіз аномалій в мережі

3.2 Аналіз ринку програмного забезпечення для боротьби з DDoS-атаками

3.3 Пропозиції захисту від DoS та DDoS-атак

Висновок

Список використаних джерел

Вступ

Актуальність теми. Атаки з розподіленою відмовою в обслуговуванні -це реальна і зростаюча загроза, з якою стикаються компанії в усьому світі. Ці атаки реалізуються великою кількістю програмних агентів, розміщених на хостах, які зловмисник скомпрометував раніше. Реалізація цих атак може призвести не тільки до виходу з ладу окремих хостів і служб, а й зупинити роботу кореневих DNS-серверів і викликати часткове або повне припинення роботи Інтернету. У зв'язку з критичністю і нетривіальністю даного класу атак, побудова ефективних засобів захисту від них являє собою складну науково-технічну проблему. На рівні маршрутизаторів захист від DDoS-атак вже досить успішно реалізували компанії Cisco Systems і Arbor Networks. Але в цілому проблема DDoS-атак на сьогоднішній день як і раніше дуже гостро стоїть для більшості компаній.

Однією з основних тенденцій останніх років у сфері комп'ютерних злочинів є зростання кількості та складності атак на доступність інформації (ресурсів автоматизованої системи), як один з трьох основних критеріїв (поряд з конфіденційністю і цілісністю) інформаційної безпеки об'єкта. Дані атаки утворюють клас атак «відмова в обслуговуванні» (DoS-атаки). У цей клас потрапляють атаки на комп'ютерну систему, мета яких - довести систему до такого стану, в якому її легітимні користувачі не зможуть отримати доступ до надаваних системою ресурсам (серверам, сервісів), або цей доступ буде ускладнено. Якщо атака виконується одночасно з великої кількості комп'ютерів, має місце DDoS-атака (Distributed Denial of Service, розподілена атака типу «відмова в обслуговуванні». За останні кілька років кількість таких атак зросла багаторазово і на сьогодні даний клас атак має максимальну частку від загального числа атак. Так, в 2010 році була зафіксована DDoS-атака з потужністю потоку більше 100 Гбіт / сек., яка є найпотужнішою атакою за весь час спостережень. А в 2011 році був поставлений абсолютний рекорд за сумарним обсягом DDoS-трафіку, який перевищив трафік за всі разом узяті року попередніх досліджень.

З метою мінімізації наслідків DDoS атак, їх виявлення та класифікація є вкрай важливою і разом з тим складним завданням. Дана проблема широко розглядається в роботах П.Д. Зегжди, Б.Н. Оникія, А.А. Молдовяна, А.В. Лукацького, І. Яблонко, KJ Houle, C. Patrikakis та інших дослідників. Основний спосіб розпізнавання DDoS-атаки полягає у виявленні аномалій в структурі трафіку. Традиційні механізми забезпечення безпеки - міжмережеві екрани і системи виявлення вторгнень - не є ефективними засобами для виявлення DDoS-атак і захисту від них, особливо атак трафіком великого об'єму. Фундаментальною передумовою для виявлення атак є побудова контрольних характеристик трафіку при роботі мережі в штатних умовах з подальшим пошуком аномалій в структурі трафіку (відхилення від контрольних характеристик). Аномалія мережевого трафіку - це подія або умова в мережі, що характеризується статистичними відхиленням від стандартної структури трафіку, отриманої на основі раніше зібраних профілів і контрольних характеристик. Будь-яке відмінність у структурі трафіку, перевищує певний граничне значення, викликає спрацьовування сигналу тривоги. Разом з тим, існуючі методи виявлення DDoS-атак, що дозволяють ефективно розпізнавати DDoS-атаки транспортного рівня (SYN-флуд, UDP-флуд та інші), малоефективні для виявлення низькоактивних DDoS-атак прикладного рівня («повільний» HTTP GET флуд і «повільний» HTTP POST флуд). Детальний опис цієї проблеми наводиться в роботі WO Chee і T. Brennan. Зазначений клас DDoS-атак виник порівняно недавно і на сьогоднішній день представляє основну загрозу доступності інформації в розподілених комп'ютерних мережах.

Дані атаки призводять до втрат запитів і відповідей, тобто фактичної відмови веб-серверів на основі Microsoft IIS, Apache та інших систем. Крім того, атака може бути адаптована для впливу на SMTP і навіть DNS-сервери. Таким чином, розробка системи виявлення низькоактивних розподілених атак типу «відмова в обслуговуванні» є актуальною і практично важливим завданням.

Предмет дослідження - виступають моделі і методи моделювання обчислювальних мереж мережами масового обслуговування, а також методи виявлення розподілених атак типу «відмова в обслуговуванні».

Об'єкт дослідження - розподілені комп'ютерні мережі, процеси передачі інформації та конкретні реалізації атак типу «відмова в обслуговуванні» на ресурси інформаційної системи.

Основною метою роботи є розробка та практична реалізація методики виявлення розподілених атак типу «відмова в обслуговуванні» транспортного і прикладного рівнів в комп'ютерних мережах, підвищення якості фільтрації трафіку від шкідливих навантажень шляхом розробки моделі обробки зовнішніх запитів, що поступають в мережу підприємства, та вдосконалення алгоритмів їх фільтрації.

Завдання дослідження - дослідити класифікацію методів DoS та DDoS- атак. Розглянути існуючі рішення як програмні так і апаратні. Виявити причини виникнення та структуру атак. Розглянути існуючі рішення та пропозиції захисту від DoS та DDoS- атак і провести аналіз їх роботи.

У висновку підведені підсумки проведеної роботи.

Розділ 1. DoS і DDoS атаки

1.1 Поняття DoS і DDoS

Відмова в обслуговуванні, або DoS - сама базова категорія атак у сфері комп'ютерної безпеки, яка може використовуватися в декількох варіантах. Цей термін може бути застосований до будь-якої ситуації, в якій атакуючий намагається перешкодити використанню будь-ким якого-небудь ресурсу. Це може бути реалізовано різними методами, фізичними та віртуальними. Наприклад, атакуючий може перекрити доступ до телефонної системі шляхом перерізання головного телефонного кабелю, що йде до будівлі, безперервних дзвінків по всіх вільних телефонних лініях, або зламавши міні - АТС. У всіх трьох випадках, атакуючий досягає мети, закриваючи доступ користувачів до ресурсу, тому що стає неможливо зробити ні вхідні, ні вихідні дзвінки. Концепції DoS легко застосовні до світу мереж. Маршрутизатори і сервери можуть обробляти обмежений обсяг трафіку в будь-який момент часу, в залежності від таких факторів, як характеристика обладнання, кількість пам'яті і смуга пропускання. Якщо ця межа перевищується, новий запит буде відкинутий. У результаті, буде проігноровано легітимний трафік, і користувачі отримають відмову в доступі. Таким чином, атакуючий, який хоче порушити роботу певного сервісу або пристрою, може зробити це, просто закидавши мета пакетами, які поглинуть всі доступні ресурси.

DoS не є звичайним зломом, в якому метою атакуючого є отримання несанкціонованого доступу, але може виявитися настільки ж шкідливим. Мета DoS - порушення роботи і заподіяння незручностей. Успіх вимірюється в тривалості хаосу. Застосовані проти ключових цілей, таких як кореневі DNS сервера, ці атаки можуть бути серйозною загрозою. Загроза DoS атак часто стоїть на першому місці при обговоренні концепцій інформаційної війни. Їх легко здійснити, важко зупинити, і вони дуже ефективні.

Темою цього розділу є специфічний тип DoS, який реалізує координовану атаку від безлічі джерел. DDoS, відома як розподілена атака на відмову в обслуговуванні, легко виконується у великій мережі, і може бути жахливо ефективною. DDoS можна розглядати як просунуту форму традиційної DoS атаки. Замість того щоб один атакуючий затоплював мета атаки трафіком, використовується безліч комп'ютерів в пов'язаної конфігурації "master-slave". Процес відносно простий. Зломщик отримує доступ до безлічі комп'ютерів, підключених до Інтернет (часто використовуючи автоматизовані програми, відомі як авторутери) і встановлює програмне забезпечення DDoS (яких існує кілька варіантів). Це програмне забезпечення дозволяє атакуючому віддалено управляти зламаним комп'ютером, роблячи його slave'ом. Від пристрою - master'а зломщик інформує slave'ів про мету і направляє атаку. Тисячі машин можуть контролюватися з однієї точки. Час старту, час зупинки, адреса мети і тип атаки - все можна передати slave'ам від master'а через Інтернет. Використана для певної мети одна машина може створити трафік в декілька мегабайт. Кілька сотень машин можуть створити трафік в кілька гігабайт. Усвідомивши це, легко зрозуміти, якою руйнівною може бути ця раптова висока активність практично для будь-якої мети.

Технології злому мережі різні. При достатній кількості машин, ефективною буде атака будь-якого типу: можна направити ICMP запити на широкомовну адресу (Smurf атаки), підроблені HTTP запити, фрагментовані пакети, або випадковий трафік. Як наслідок все напевно буде так розтрощене, що перестане працювати взагалі, або як мінімум якість її роботи дуже сильно впаде. Атака може бути спрямована на будь-який мережевий пристрій: маршрутизатори (ефективно блокує всю мережу), сервери (Web, mail, DNS), або специфічні комп'ютери (firewalls, IDS).

Чому так важко протидіяти DDoS? Очевидно, що несподіваний, різко зростаючий трафік впаде в очі будь-якому компетентному системному адміністраторові (якщо раніше не почне дзвонити телефон і надриватися пейджер!). Однак, на жаль, весь цей трафік буде напевно підробленим, тобто дійсне джерело атаки буде приховано. Це означає, що немає очевидного правила, яке дозволить файрволл захистити від цієї атаки, оскільки трафік часто виглядає легітимним і може приходити звідки завгодно.

То що ж залишається робити? Залишається жахливо важке і нудне завдання: дослідження DDoS. На кожному кроці в ланцюжку маршрутизаторів, які пересилали зловмисний трафік у вашу мережу потрібно зробити безліч адміністративних контактів: телефонних дзвінків, e-mail, і досліджень перехоплених пакетів. Це вимагає багато часу, особливо якщо врахувати, що мережа або комп'ютер в даний час не працюють. Беручи до уваги, що slave'и можуть бути розташовані по всьому світу, сумна правда полягає в тому, DDoS атака найчастіше припиняється з ласки атакуючого, ніж з-за будь-яких дій, що вживаються системним адміністратором атакованої системи.

1.2 Анатомія DoS атак

DoS атаки поділяються на локальні і віддаленні. До локальних відносяться різні експлойти, форк - бомби і програми, що відкривають по мільйону файлів або запускають якийсь циклічний алгоритм, який зжирає пам'ять і процесорні ресурси. На всьому цьому ми зупинятися не будемо. А ось віддалені DoS-атаки розглянемо детальніше. Вони діляться на два види:

1. Віддалена експлуатація помилок в ПЗ з метою привести його в неробочий стан.

2. Flood - посилка на адресу жертви величезної кількості безглуздих (рідше - осмислених) пакетів. Метою флуду може бути канал зв'язку або ресурси машини. У першому випадку потік пакетів займає весь пропускний канал і не дає машині, що атакується, можливість обробляти легальні запити. У другому - ресурси машини захоплюються за допомогою багатократного і дуже частого звернення до якого-небудь сервісу, що виконує складну, ресурсоємну операцію. Це може бути, наприклад, тривале звернення до одного з активних компонентів (скрипту) web-сервера. Сервер витрачає всі ресурси машини на обробку запитів що атакує, а користувачам доводиться чекати.

Рис. 1.1 DоS атака

У традиційного виконання (один атакуючий - одна жертва) зараз залишається ефективним лише перший вигляд атак. Класичний флуд даремний. Просто тому що при сьогоднішній ширині каналу серверів, рівні обчислювальних потужностей і повсюдному використанні різних анти-DoS прийомів в ПЗ (наприклад, затримки при багатократному виконанні одних і тих же дій одним клієнтом), що атакує перетворюється на докучливого комара, не здатного завдати якого б то не було збитку. Але якщо цих комарів наберуться сотні, тисячі або навіть сотні тисяч, вони легко покладуть сервер на лопатки. Натовп - страшна сила не лише в житті, але і на комп'ютерному світі. Розподілена атака типу "відмова в обслуговуванні" (DDoS), зазвичай здійснювана за допомогою безлічі зомбіфіціруваних хостів, може відрізувати від зовнішнього світу навіть найстійкіший сервер, і єдиний ефективний захист - організація розподіленої системи серверів (але це по кишені далеко не всім).

DDoS атака (від англ. Distributed Denial of Service, розподілена атака типу «відмова в обслуговуванні») - атака на обчислювальну систему, виконувана з великої кількості комп'ютерів, з метою довести її до відмови. Тобто створити такі умови, при яких легітимні (правомірні) користувачі системи не можуть отримати доступ до надаваних системою ресурсів (серверів), або цей доступ ускладнений [1].

Спочатку, DDoS-атаки використовувалися для перевірки пропускної здатності каналу, однак, з часом кіберзлочинці усвідомили всі шкідливі можливості цієї технології і прийняли її на своє «озброєння». Тепер DDoS-атаки використовуються кіберзлочинцями в самих різних цілях: тиск на користувачів; блокування ключових вузлів мережі Інтернет; порушення працездатності інтернет-сервісів компаній, бізнес яких заснований на web-сервісах; в конкурентній боротьбі; в політичній конкуренції і т.д. Відповідно, прибутковість такого бізнесу досить висока. Наслідки DDoS-атак можуть призвести до втрати ключових ресурсів мережі, додатків і систем ведення бізнесу, втрати репутації, фінансових втрат і т.п. Так само DDoS-атаки можуть використовуватися для відволікання уваги при запуску інших шкідливих програм, наприклад, для викрадення конфіденційних даних.

Цілями таких атак є створення умов, за яких правомірні користувачі позбавляються можливості доступу до надаваних системою ресурсів (або цей доступ виявляється ускладненим). Сама по собі DDoS-атака виглядає як різке збільшення кількості трафіку на вузлі мережі що атакується.

Існує кілька варіантів класифікацій DDoS-атак за типами. Умовно виділяється кілька методик, що найчастіше використовуються кіберзлочинцями:

· руйнуючі - атаки, проведені таким способом, призводять до того, що вузол мережі стає повністю недоступним: зависає, знищується операційна система, конфігурація пристроїв тощо, такі атаки проводяться за допомогою вразливостей, що знаходяться в програмному забезпеченні;

· атаки на ресурси системи - при такій атаці формується велика кількість безглуздих або сформованих в неправильному форматі запитів до вузлів мережі або додатків, що призводить до значного зниження продуктивності комп'ютерної системи або мережного обладнання.

Метою такої атаки є відмова роботи системи через вичерпання її ресурсів.

Найчастіше, при проведенні DDoS-атаки використовується кілька типів атак, що, в значній мірі ускладнює протидію DDoS-атакам.

За даними Лабораторії Касперського найбільш популярним видом атаки являється HTTP-Flood (80%), коли на сайт що атакується одночасно відправляється безліч HTTP-запитів. Зловмисники використовують різні технології проведення атак цього типу. У 55% випадків атак типу HTTP-Flood боти намагаються звернутися до якоїсь однієї сторінки сайту; на другому місці з показником 22% знаходяться атаки на різні форми авторизації; третє місце (12%) зайняли атаки з використанням численних спроб скачування будь-якого файлу з сайту. І лише в одному випадку з 10 проводяться більш складні атаки, коли зловмисники намагаються замаскувати дії ботів під поведінку справжніх користувачів[3].

На другому місці з показником 10% розташувалися атаки типу UDP Flood. Боти, що здійснюють такі атаки, покладаються на «грубу силу», тобто генерують величезну кількість досить невеликих за розміром (наприклад, по 64 байти) сміттєвих пакетів.

На третьому і четвертому місцях у рейтингу популярності у зловмисників стоять атаки типу SYN Flood (8%) і ICMP Flood (2%) відповідно. Описана діаграма показана на Рис. 1.2

Рис. 1.2 Типи DDoS-атак

У більшості випадків, мережа, з якої виконується DDoS-атака, має організацію, що включає три рівні. Така мережа називається «кластер DDoS». Вгорі кластера знаходяться один або кілька комп'ютерів, з яких починається і координується атака. На другому рівні - головні (оброблювальні) комп'ютери, які безпосередньо передають сигнал про початок атаки на наступний рівень. Третій рівень - заздалегідь організована ботнет мережа.

Ботнет мережа - це мережа «комп'ютерів - зомбі», що потрапили під управління кіберзлочинців після зараження. Найчастіше бот у складі ботнета є програмою, потай встановленої на пристрій жертви і дозволяє зловмиснику виконувати якісь дії з використанням ресурсів зараженого комп'ютера. Зазвичай використовуються для несхвалюваних або нелегальних дій - розсилка спам-листів, добірка паролів на віддалених комп'ютерах і сервісах, використання при проведенні DDoS-атак[2].

Управління зазвичай отримують в результаті встановлення на комп'ютер невидимого не виявляємого користувачем у щоденній роботі програмного забезпечення без відома користувача. Відбувається зазвичай через:

· зараження комп'ютера вірусом через уразливість в програмного забезпечення (помилки в браузерах, поштових клієнтах, програмах перегляду документів, зображень, відео);

· використання недосвідченості або неуважності користувача - маскування під «корисний вміст»;

· використання санкціонованого доступу до комп'ютера (рідко);

· перебір варіантів адміністраторського пароля до мережевих ресурсів, що розділяються (зокрема, до ADMIN $, що дозволяє виконати віддалено програму) - переважно в локальних мережах.

Загальна схема ієрархічної структури DDoS-атаки зображена на Рис.1.3. Простежити таку структуру у зворотному напрямку і виявити адресу вузла, який організував атаку, практично неможливо. Максимум того, що може атакується, це визначити адреси агентів. Спеціальні заходи в кращому випадку приведуть до «комп'ютеру-демону». Але в даній ситуації і комп'ютери-агенти, і «комп'ютери-демони» самі є потерпілими (скомпрометованими).

«Зомбі-мережа» створюється шляхом зараження комп'ютерів (як правило, це домашня машина, підключена до виділеного каналу) троянської програмою. Ця програма потрапляє на комп'ютер користувача, найчастіше, при необережному поводженні з електронною поштою, наприклад, відкриття вкладень в лист, або при відвідуванні зараженого сайту, коли зловмисник може, використовуючи вразливості браузера або операційної системи, встановити на комп'ютер користувача шкідливу програму. Така програма може протягом довгого часу нічим деструктивним себе не проявляти. Часто власник комп'ютера навіть не підозрює, що його машина заражена і повністю підконтрольна комусь невидимому.

Команда до атаки віддається, наприклад, в чаті. Господар пише фразу, яка містить адресу сайту-жертви. Мережа «зомбі-машин» починає працювати. Запити йдуть з багатьох точок Мережі, йдуть з високою частотою, і сайт, який вони атакують, починає не справлятися з великим потоком звичайних запитів, перестає відповідати на легітимні запити і, нарешті, зависає. [8]

Рис. 1.3 Архітектора DDoS -мережі

При досить великій мірі вивченості процесу утворення ботнет мереж, протистояння кіберзлочинцям виявляється досить складним завданням.

Справа в тому, що зворотний шлях від жертви до кіберзлочинця простежити досить складно, тому найчастіше вони залишаються не розкритими. Через ці обставини і з'явився вид кримінального бізнесу в мережі Інтеренет - створення ботнет мереж і подальша передача або здача їх в оренду замовнику для проведення DDoS-атак і розсилки спам - листів.

Практично у всіх країнах світу DDoS-атаки є кримінальним злочином, але за гратами їх організатори виявляються надзвичайно рідко. У наші дні організацією DDoS-атак займаються не одинаки, а організовані злочинні групи. Їх розгалуженість, організаційна та географічна, дозволяє успішно протистояти діям правоохоронних органів.

Сучасні системи виявлення вторгнень і атак являють собою програмні або апаратно-програмні рішення, які автоматизують процес контролю подій, що протікають в комп'ютерній системі або мережі, а також самостійно аналізують ці події в пошуках ознак проблем безпеки, ці системи стали необхідним компонентом інфраструктури безпеки більшості організацій.

1.3 Класифікація DDoS-атак

· Насичення смуги пропускання (bandwidth consumption)

Ці атаки засновані на тому, що атакуючий заповнює смугу пропускання каналу. Відповідно, забитий канал не може пропустити до сервера ще які-небудь інші запити. Інформація з сервера стає тимчасово недоступною для користувачів.

· Недолік ресурсів (resource starvation)

Атаки, спрямовані на захоплення критичних системних ресурсів: процесорний час, місце на диску, пам'ять і т.д. Resource starvation часто дуже схожий на bandwidth consumption: зломщик відсилають безліч запитів на сервер. Але на цей раз пакети не забивають канал хоста-жертви, а займають, скажімо, всі його процесорний час. Адже на обробку кожного пакету сервер витрачає деякий процесорний зусилля. Результат - всі інші процеси висять, користувачі не можуть отримати доступу до сервісів.

· Помилки програмування (programming flaw)

Ці атаки спрямовані на слабкі місця, «баггі» і недокументовані функції операційних систем, програмного забезпечення, процесорів і програмованих мікросхем. Знаючи «дірки» в чимось з перерахованого вище, можна створити і відправити за призначенням певний пакет, який викличе якусь помилку, переповнення буфера або стека. В результаті цього можливі тяжкі наслідки для всієї системи.

· Маршрутизація і DNS

Якщо мати доступ до маршрутизатора, то можна змінити таблиці маршрутизації таким чином, щоб бажаючі потрапити на сервер з IP адресою таким-то потрапляли зовсім на інший IP-адреса, або на IP, якого взагалі не існує. Те ж саме DNS, але вже щодо сайтів. Якщо отримати доступ до кешу DNS, можна прив'язати шукане доменне ім'я зовсім до іншого IP адресою, і тоді користувачі будуть потрапляти на цей самий зовсім інший сервер, а не туди, куди вони хотіли. Якщо ж вставити взагалі неіснуючий IP, то це буде більше схоже на DoS.

Особливістю цих атак є те, що сам атакується сервер (та він, загалом то, і не атакуємо) продовжує нормально працювати, у той час як його користувачі не можуть на нього потрапити.

· Flood (Флуд або Потік / Затоплення)

Цей тип можна віднести до попередніх DoS, але виділимо його окремо. З деякої кількості машин посилають жертві максимально можливу кількість запитів (наприклад, запити на з'єднання). Від цього жертва не встигає відповідати на кожен запит, і в результаті не відповідає на запити користувачів, тобто перестає нормально функціонувати. Можна виділити наступні типи Flood:

SYN Flood - при даному виді атаки на атакується вузол направляється велика кількість SYN-пакетів по протоколу TCP. При цьому на атакується сервері через короткий час вичерпується кількість відкритих сокетів і сервер перестає відповідати.

UDP Flood - цей тип флуду атакує не комп'ютер-мета, а його канал зв'язку. Провайдери резонно припускають, що UDP більш пріоритетним, ніж TCP. Великою кількістю UDP-пакетів різного розміру викликається перевантаження каналу зв'язку, і сервер, що працює по протоколу TCP, перестає відповідати.

ICMP Flood або Ping Flood - те ж саме, що SYN Flood тільки пакетами ICMP. Система повинна відповісти на такий пакет, тим самим створюється велика кількість пакетів, які знижують продуктивність каналу.

Identification Flood (Ident Flood) - Схожий на ICMP Flood, але відповідь на запит на порт 113 типу identd займає у системи більше часу, тому атака більш ефективна.

DNS Flood - атака спрямована на DNS сервера. Їх наповнюють DNS запити, на які сервер не встигає відповідати, таким чином, на Ваші запити він так само відповісти не зможе. Як наслідок, Ви не можете відвідувати Інтернет сайти.

DDoS DNS - Атака досить нова, і ще немає «усталеного» назви. По суті, цей прийом приблизно те ж саме, що і попередній, з тією лише різницею, що запити надходять з великої кількості машин (попередній тип цього не виключає). Адреса, за якою повинен відповісти DNS-сервер на ці запити, дорівнює адресою самого DNS сервера, тобто його не тільки наповнюють запити DNS, але він же ще й відправляє їх собі ж. Таким чином, прийом більш ефективний, ніж попередній, але й більш складний у реалізації.

Boink (Bonk, Teardrop) - Жертві надсилається величезна кількість сильно фрагментованих пакетів, але при цьому фрагменти великого розміру. Для кожного фрагментированного пакета виділяється спеціальний буфер, в який надалі будуть поміщені інші фрагменти, щоб потім скласти їх докупи. Величезна кількість великих фрагментів переповнюють буфера і можуть спровокувати зависання або аварійну зупинку.

HTTP flood (POST, GET) - Один з найпоширеніших на сьогоднішній день способів «флуду». Заснований на нескінченній посилці HTTP-повідомлень на 80й порт з метою завантажити веб-сервер настільки, щоб він виявився не в змозі обробляти всі інші запити. Часто метою «флуду» стає корінь веб-сервера, а один з скриптів, що виконують ресурсомісткі завдання або працює з базою даних [7].

TCP SYN атака

Розглянемо докладніше TCP SYN (tcp syn flood) атаку, яка спрямована на прикладні сервіси, що використовують протокол транспортного рівня TCP. Цей протокол набув широкого поширення в інформаційних системах за рахунок того, що він гарантує 100% доставку всіх переданих даних. Взаємодіючі вузли мережі, що використовують в Як транспорт цей протокол, встановлюють між собою TCP з'єднання, в рамках яких ведеться контроль над тим, що одержувач отримає всі послані відправником пакети. Це досягається за рахунок того, що одержувач сповіщає відправника про те, які пакети він отримав. Якщо до одержувача дійшли не всі призначені йому пакети, то відправник повторно їх відправить. Як видно гідністю цього протоколу є можливість встановлення з'єднання. Для зберігання інформації про поточний стан з'єднання зокрема використовується поле бітових прапорів в пакетах, використовуваних протоколом. Під це поле відведено 8 біт, проте 2 з них є зарезервованими і в даний час використовуються тільки 6 прапорів: URG (прапор терміновості), ACK (прапор підтвердження), PSH (прапор push функції), RST (прапор скидання), SYN (Прапор синхронізації) і FIN (Прапор закінчення). На жаль, встановлений стандартом механізм встановлення з'єднання не є досконалим, і розглянута атака, як раз використовує його недоліки.

Основна мета цієї TCP SYN атаки - перевищити обмеження на кількість TCP з'єднань, що знаходяться в стані установки. Розглянемо процедуру встановлення TCP з'єднання. Спочатку клієнт, ініціалізувалися з'єднання відправляє серверу TCP-SYN запит. Отримавши такий запит, сервер виділяє пам'ять для параметрів з'єднання в спеціально призначеному для цього буфері. Потім відправляє клієнту TCP пакет з прапорами SYN + ACK. Отримавши пакет SYN + ACK, клієнт повинен відправити серверу пакет з підтвердженням, тобто пакет зі встановленим прапором ACK. Коли сервер отримає і обробить цей пакет, з'єднання є встановленим.

1.4 Найбільші DDoS-мережі

· Kraken - 400 тисяч комп'ютерів.

· Srizbi - 315 тисяч комп'ютерів.

· Bobax - 185 тисяч комп'ютерів.

· Rustock - 150 тисяч комп'ютерів.

· Storm - 100 тисяч комп'ютерів.

· Psybot - 100 тисяч ADSL-маршрутизаторів, заснованих на Linux.

· Ботнет BBC - 22 тисячі комп'ютерів. Експериментальний ботнет, створений компанією BBC.

1.5 Слід в історії (наслідки атак)

*1997 рік - DDoS-атака на web- сайт Microsoft. Один день мовчання.

*1999 рік - «поза зоною дії» виявилися web-сайти Yahoo, CNN, ebay і ін.

*2000 рік - «поза зоною дії» виявилися web-сайти Yahoo, CNN, eBay та ін. (Атака принесла сукупні збитки в розмірі $ 1,2 млрд.)

*2001 рік - DDoS-атака на web-сайт Microsoft (компанія втратила близько $ 500 млн. Всього за кілька днів);

* Жовтень 2002 - атака на кореневі DNS-сервери інтернету. На деякий час були виведені з ладу 7 з 13 серверів.

*21 лютого 2003 року - DDoS-напад на Livejournal.com. Два дні сервіс знаходився в паралізованому стані, лише інколи подаючи ознаки життя.

*2009 - Google і Adobe піддалися DDoS атакам через уразливість Internet Explorer.

*Лютий 2012 року - В Україні після закриття міліцією популярного файлообмінника EX.ua було виведено з ладу сайт МВС. Деякий час був недієздатним сайт Президента України. За два дні невідомим хакерам вдалося вивести з ладу сайт адміністрації президента, МВС, СБУ та офіційний сайт Партії регіонів та Компартії України. З перебоями працювали сайти Кабінету Міністрів і Податкової адміністрації.

*Листопад - грудень 2013 року - ЗМІ України заявляють про DDoS-атаки на їхні веб-сайти. Атак зазнали сайти: pravda.com.ua, zik.ua, zaxid.net, hromadske.tv, ukr.net, censor.net, zn.ua, lb.ua, 5.ua, tyzhden.ua.

За статистикою Департаменту ІБ компанії ТТК в 2005 році було зафіксовано 26, у 2006 році - 53, у 2007 - 114 DDoS-атак, тобто спостерігається більш ніж дворазовий щорічне зростання DDoS-нападів. Причому, росте як частота, так і тривалість.

Розділ 2. Огляд досліджень і розробок

2.1 Огляд міжнародних та національних джерел

Проблема DDoS-атак дуже актуальна, тому постійно з'являються нові методи і способи здійснення нападів. Публікацій на цю тему не дуже багато, а інформація в книгах досить швидко застаріває і не враховує поточних тенденцій. Велика частина публікацій з даної тематики знаходиться в англомовному вигляді. Значно менше публікацій представлено на пострадянському просторі.

Однією з найбільш корисних книг з цієї теми, в якій розглянуто всі сторони проблеми від типових можливих рішень є "Internet Denial of Service Attacks and Defense Mechanisms", автором якої є Mehmud Abliz з університету Піцбурга [18]. Для забезпечення єдності в термінах і поняттях у проведених дослідженнях по всьому світу необхідно домовиться про термінах і поняттях, структурі та організації знань по темі .. Одна з перших публікацій на тему таксономії джерел DDoS-атак і механізмів захисту від них була написана в 2002 році в роботі "A Taxonomy of DDoS Attack" за авторством J. Mirkovic, P. Reiher [23]. Пізніше ці ж автори розглянули один із способів боротьби з DDoS- атаками, на основі порівняння моделі трафіку в звичайному режимі з усім трафіком, який проходить через систему [24]. Більш глибоко дану тематику розглядають інші автори, які пропонують використовувати статистичні показники трафіку, отримані на основі тривалого аналізу трафіку мережі [7]. Серед альтернативних способів вирішення зустрічаються апаратні рішення, коли алгоритми знаходяться в маршрутизаторах і вони приймають рішення про небажаність трафіку [8 - 10 ]. Деякі дослідники пропонують перекласти вирішення даної проблеми на користувача. Шляхом введення CAPCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) або подібних способів [21]. Регулярні аналітичні статті та квартальні річні звіти випускають великі компанії ринку щодо захисту від DDoS-атак - Arbor Networks і Лабораторія Касперського [13].

Варто також враховувати окремі статті з даної тематики. Наприклад у статті "Threshold Based Kernel Level HTTP Filter (TBHF) for DDoS Mitigation" авторів Mohamed Ibrahim AK, Lijo George, Kritika Govind, S. Selvakumar [27] розглянуті алгоритми раннього виявлення атак типу HTTP GET. Метод базується на аналізі HTTP-трафіку і перегляді кеша браузера. У статті "Раннє виявлення DDoS-атаки статистичними методами при обліку сезонності" авторів Тернового О.С., Шатохіна А.С. запропоновано методи для зниження похибки та раннього виявлення DDOS-атак статистичними методами.

Одним з перших дану тему зачепив колишній російський хакер Кріс Касперски в роботі "Техніка і філософія мережевих атак". Він говорить про філософію атак, про способи проведення та запобігання атак. Продовженням роботи в даному напрямку можна назвати статті авторів Зима В.М., Молдовян А.А., Молдовян Н.А. Вони дають можливість оцінити проблему і показують, що простір для виникнення цієї проблеми є глобальним.

Так само велика кількість робіт було присвячено ранньому виявленню і запобіганню атак. У роботах "Виявлення комп'ютерних атак на основі аналізу поведінки мережевих об'єктів" Гамаюнова Д.Ю., "Нейромережева технологія виявлення мережевих атак на інформаційні ресурси" авторів Ємельянова Ю.Г., Талалаєв А.А., Тищенко І.П. і "Методи штучних імунних систем і нейронних мереж для виявлення комп'ютерних атак" Комара М.П. говориться про можливість раннього виявлення, і, як наслідок, застосування більш простого механізму протистояння мережевим атакам.

Кількість національних джерел значно менше, серед національних публікацій найчастіше зустрічаються оглядові статті, такі, як, наприклад, стаття авторів С.М. Цирульник, Д.В. Кісюк, Т.А. Говорущенко з вузів ВНТУ, ХНУ відповідно [15]. Більш докладно цю проблему розглянув Ігнатенко А. з Інституту програмних систем НАН України [6].

Зустрічаються досить суперечливі публікації, в яких як вирішення даної проблеми використовується масштабування серверних потужностей, щоб обслужити всі навантаження, включаючи небажаний трафік. Такий підхід не є прийнятним рішенням проблеми, оскільки вартість впровадження даного методу невиправдано висока.

Схожу тему розглядали студент і викладачі Черкаського державного технічного університету. Були розглянуті джерела і методи фільтрації небажаного трафіку [16].

Теоретичні напрацювання для моделювання DoS / DDoS-атак представлені авторами Яціковська У.Е., Карпінський М.П. [17]; так само на цю тему написана робота за авторством Домарєва С.В. з Інституту комп'ютерних технологій національного авіаційного університету, в роботі якого процес DDoS-атаки представлений як марківська модель розгалуженого процесу [5].

Докладно розглянуті авторами Михайлютою С.Л., Степанушко І.В., Бабічем Б.А., Ткаченко В.Ю., Лавриновичем В.С. один з видів DDoS-атаки, в якому використовується протокол ICMP [9].

У ДонНТУ було написано кілька робіт з даної тематики. Стаття "Ентропія як індикатор виникнення аномалій мережевого трафіку", написана студентом ДонНТУ Борисовим Д.М. в 2007 році. У статті описані способи фільтрації на основі яких працюють сучасні хмарні рішення в даній області [3]. Побічно DDoS-атаки розглянуті в статті Приходько Н.А. про безпеку в локальних мережах [12]. В індивідуальному розділі сайту магістра Філенко М.С. розглянуті методики DDoS-атак, рекомендації з профілактики і запобігання [16]. В індивідуальному розділі сайту магістра Дядина І.П. пропонується модель корпоративної мережі під час атаки .

Частково описана класифікація DDoS-атак в студента Брич С.А. кафедри комп'ютерних систем моніторингу факультету комп'ютерних наук і технологій [4].

2.2 Дослідження мережевих атак

Згідно зі звітом [14] опублікованому компанією Arbor Networks, що надає одні з кращих рішень для забезпечення стабільної роботи інформаційних систем і має величезний досвід у питаннях боротьби з DDoS-атаками, в 2012-му році зростання кількості та інтенсивності атак сповільнилося в порівнянні з попередніми роками. При цьому комплексні атаки і атаки рівня додатків продовжують розвиватися, стаючи більш складними.

46% атак ставилися до комплексним DDoS-атакам, що використовують відправку сміттєвого трафіку, SYN-флуд (відправка великої кількості запитів на підключення по протоколу TCP) і UDP Flood (відправка великої кількості безлічі UDP-пакетів), а так само атаки з використанням протоколів рівня додатків. У відсотковому значенні атаки з використанням рівня додатків стали самими поширеними і склали близько 85%. Однак, у порівнянні з минулими роками пропорції заявлених атак цього типу практично не змінилися по відношенню до більшості служб, таких як HTTP, DNS і SMTP. Єдиним аспектом атак рівня додатків, який явно пережив зміни, став HTTPS- протокол, рівень застосування яких піднявся з 24% до 37%.

Згідно зі звітом існує певна стурбованість з приводу компрометації робочих станцій. Існує ймовірність того, що комп'ютери, що належать до корпоративної мережі, можуть бути частиною ботнету (мережа із заражених комп'ютерів, які використовуються в атаці). Така ситуація призводить до посилення ефекту від атаки, так як захист може бути спрямована тільки на зовнішню мережа, ігноруючи внутрішньомережний корпоративний трафік.

Збільшення кількості хостів, що входять до ботсеті, не викликає здивування, враховуючи кількість і складність існуючих на сьогоднішній день вірусів, темпи їх розвитку та витікаючу з цього неможливість побудувати надійну систему захисту на основі антивірусних програм і систем виявлення вторгнень.

Найсильнішою DDoS-атакою за 2012-ий рік виявилася атака, яка обрушилася на сервера компанії Cloudflare 15-го вересня. В результаті сервіс Cloudflare виявився тимчасово недоступний частини користувачів. Варто зауважити, що компанія є мережею доставки контенту і під її управлінням перебуває кілька дата-центрів у різних регіонах. Компанія легко витримує DDoS-атаки в десятки гігабіт, але з атакою в 65 Гбіт / с впорається не змогла.

У березня 2013 року компанія Spamhaus, яка становить бази даних про серверах, що використовуються хакерами, що допомагає поштовим службам фільтрації спаму і іншого небажаного контенту, занесла в свій чорний список ряд серверів, що належать голландській компанії CyberBunker. Компанія CyberBunker заявила, що Spamhaus не має права вказувати що публікувати і що не публікувати в інтернеті. Голландська компанія розгорнула найпотужнішу DDoS-атаку за весь час. Її потужність досягала 300Гбіт / с. Атака такої потужності не змогла надати великого шкоди, так як була задіяна технологія захисту, а саме: розподіл трафіку по різних дата-центрам і подальша його фільтрація. Ця атака мала певний ефект на всю мережу Інтернет, що було виражено у збільшенні пінгу до деяких європейських сайтів. Провайдери нормально витримали атаку, але були сильно загружені.

По складності придушення, а так само з мотивації проведення DDoS-атаки можна розділити на такі категорії як: вандалізм - зазвичай це не розподілені атаки, а атаки які ведуться з одного-двох хостів, зловмисник швидше за все не отримує від цього будь-якої вигоди, а робить це через образу на власників якого або ресурсу, знання його в цій області обмежені простими методами атак знайдені в мережі Інтернет. Дані атаки відбиваються досить легко, тому що теж не вимагають високої кваліфікації в галузі захисту комп'ютерних мереж від зовнішніх атак, і часто вирішується блокуванням конкретного IP або простий фільтрацією пакетів по поміченою закономірності; нігілізм - по суті, причини фактично ідентичні причин при вандалізмі, але дії відбуваються більш цілеспрямовано, і це вже розподілена атака. У ній бере участь група людей, яка незадоволена тими чи іншими інформаційними приводами. Зазвичай це простий bat-скрипт, в якому використовується команда ping з великим розміром перевірочного пакету і перераховані яких атакували ресурси, ніяких знань від користувача не потрібно, достатньо лише запустити скрипт. Блокується така атака зазвичай досить легко, блокується все навантаження отримана за протоколом ICMP; бізнес - зловмисники використовують даний вид атак, не тільки як засіб для власного збагачення, а й надають DDOS-атаки як послугу

Розглянемо принципи, за якими була здійснена найпотужніша атака. Згідно зі звітом [14] в основі даної атаки лежить UDP-флуд, який супроводжується SYN- флудом. Це вказує на наявність досить великого числа підконтрольних серверів.

Рис. 2.1 - Схематичне представлення мережевої атаки

Також в ході даної атаки була використана технологія посилення атаки. Множення первісного шкідливого трафіку здійснювалося за рахунок відображення DNS-запитів через DNS-Резолвер, які встановлені у кожного інтернет - провайдера. Зазвичай DNS-Резолвер сконфігуровані так, щоб обробляти тільки запити своїх користувачів, але існує велика кількість компаній, які неправильно їх сконфигурировали, так що Резолвер приймає запити від будь-якого користувача інтернету. Так само буде цікаво помітити, що значною мірою посилення відбувалося завдяки великим ключам DNSSEC, які включені в тіло відповіді, а адже протокол DNSSEC впроваджувався з метою підвищити безпеку системи DNS.

2.3 Алгоритм захисту від DDoS-атак

Існують основні рішення по захисту від атак:

1. програмні рішення;

2. апаратні рішення;

3. хмарні рішення.

Програмні рішення - найпоширеніше на ринку, найчастіше представляє собою набір правил фільтрації трафіку, які складені розробником на особистому досвіді. Дане рішення досить просто встановити прямо на сервер на якому працює ресурс, але допоможе тільки від малопомітних атак виду вандалізм.

Апаратні рішення - представляють собою створення розподіленої мережевої структури з великим запасом пропускається трафіку. Використовуються в масштабних мережевих структурах, таких як: точки обміну трафіком, дата-центри, великі регіональні провайдери.

Хмарні рішення являють із себе мережеву структуру з великою пропускною здатністю, до складу якої вводяться сервера для фільтрації шкідливого трафіку. Таким чином, така мережа поступово буде фільтрувати негативний трафік і знижувати кількість шкідливих пакетів. Аналіз трафіку є досить складним завданням, тому деякі компанії патентують свої алгоритми, наприклад компанія "Black Lotus" запатентувала алгоритм "Human Behavior Analysis", який визначає хто генерує трафік, людина або бот; компанія "Arbor" надає свій продукт "PeakFlow" який має сигнатурний підхід до фільтрації небажаного трафіку.

Визначивши причини виникнення і проблеми, що підлягають вирішенню при боротьбі з даним видом атак, з'являється можливість знайти методи вирішення даних проблем.

На анімації наведено принцип роботи модельованої системи.

Рис. 2.2 - Принцип роботи модельованої мережі (анімація: 7 кадрів, 7 циклів повторення, 24 кілобайт)

На анімації промодельований процес атаки на мережу підприємства. Шкідливий трафік на рівні з корисним надходить у внутрішню мережу. Спершу дані надходять на пристрій аналізу трафіку. На даній стадії застосовуються найпростіші алгоритми фільтрації - статичні таблиці за допомогою яких з'являється можливість блокувати шкідливий трафік від певних вузлів (наприклад по IP). Управління даними вузлом (заповнення таблиць) виконує сервер, який знаходиться в мережі відразу за першим пристроєм. Цей сервер виконує активну верифікацію даних і збирає статистику про шкідливий трафік та його джерелах. Після встановлення джерела-шкідника він передає інформацію про нього в перший пристрій і, таким чином, блокує його. Щоб до заблокованих вузлів не були довірені та інші робочі пристрої, сервер виконує постійний активний аналіз всього трафіку. Далі сервер виконує лімітування швидкості і перенаправляє перевірений трафік в мережу підприємства. Трафік доставляється до вузлів призначення з корпоративної мережі без проблем і перевантажень.

атака комп'ютерний мережа трафік

Розділ 3. Аналіз та захист від DDоS-атак

3.1 Аналіз аномалій в мережі

Вчасно виявити DDoS- атаку - в цьому і полягає головна проблема, якщо ми не хочемо боротися з нею за фактом падіння ресурсів мережі.

Найбільш ефективний спосіб виявити DDoS-атаку заснований на накопиченні статистичних даних про проходження трафіку в мережі. Склавши картину нормального стану мережі, завжди можна відстежити виникнення якої- небудь аномалії в мережевому трафіку.

Як джерело даних для статистики можна використовувати сам трафік або деяку статистичну інформацію про нього. Для цього використовуються або додаткові сенсори, що встановлюються на мережу, або інформація, яку можуть надати існуючі мережеві елементи. У разі зняття такої інформації безпосередньо з маршрутизаторів зазвичай використовується протокол Netflow. Цей протокол був свого часу розроблений для оптимізації роботи маршрутизаторів, його завдання полягало в тому, щоб не обробляти кожен пакет, а перенаправляти його якомога швидше, якщо він відповідав вимогам потоку. Протокол виявився неефективним для вирішення основного завдання, але дуже знадобився для боротьби з DDoS-атаками і ширше - для аналізу роботи мережі в цілому. Такі здібності протоколу дає закладена в нього можливість формувати таблицю, в якій в динамічному режимі прописуються всі статистичні дані по прийшли потокам і пакетам: звідки прийшов пакет, куди він прямує, який у нього протокол, порт, яку кількість даних передано. Причому є можливість експорту статистичних даних в зовнішні системи для подальшого аналізу.

У загальному випадку система в відсутність DDoS-атак на захищається ресурс проходить етап тестування або навчання. Система визначає і запам'ятовує, який трафік для захищається ресурсу є нормальним. Ситуація, при якій поточний трафік на захищається ресурс різко відрізняється від нормального, вважається DDoS-атакою. Варто підкреслити, що система розпізнає тільки відхилення від трафіку, а чим він викликаний - сплеском легітимних звернень до ресурсів (виклали новий патч, пройшла рекламна кампанія) або DDoS-атакою - може визначити тільки власник ресурсу, чи очікував він такий обсяг звернень чи ні.

Після виявлення факту аномалії відбувається її класифікація і визначається, наскільки вона серйозна. Якщо DDoS-атака не грозить виникненням проблем в мережі, то краще спостерігати і нічого не робити, так як виникає ймовірність не пустити на ресурс законного користувача. [5]

Загальна схема протидії DDoS-атакам представлена на Рис.3.1

Рис.3.1 Схема протидії DDoS-атакам

Технічна реалізація даного рішення передбачає наявність у мережі двох додаткових пристроїв, одне з яких здійснює моніторинг вхідного трафіку і виявляє проведення DDoS-атаки, а другий фільтрує (очищає) вступник ззовні трафік.

У нормальному режимі роботи дані пристрої не повинні чинити жодного впливу на що проходить трафік. У разі ж атаки пристрій «очищення» затримує трафік, ідентифікований як DDoS-пакети, не допускаючи її потрапляння у відносно вузькосмугові клієнтські канали і на клієнтські ресурси, тим самим не перериваючи надання клієнту основної послуги. [9]

3.2 Аналіз ринку програмного забезпечення для боротьби з DDoS-атаками

На ринку існують два основних вендора, що пропонують спеціалізовані системи для боротьби з DDoS-атаками операторського класу (Cisco Systems і Arbor Networks), а також ряд продуктів, придатних для вирішення даного завдання в менших обсягах або орієнтованих на окремі випадки. В залежності від популярності сайту і потужності атак захист може коштувати від тисяч до десятків тисяч доларів на місяць. Наприклад, обладнання від компанії Cisco Systems, буде коштувати близько $ 40 000.

Рішення від компанії Cisco для захисту від DDoS-атак

Технологія Cisco Clean PIPes передбачає використання модулів Cisco Anomaly Detector і Cisco Guard, а також різні системи статистичного аналізу мережевого трафіку, засновані на даних, одержуваних з маршрутизаторів по протоколу Cisco Netflow. При цьому Anomaly Detector і системи статистичного аналізу трафіку виступають в якості систем виявлення DDoS-атак, а Cisco Guard як засіб протидії вже виявленої атаці. На відміну від інших способів захисту від DDoS-атак, рішення Cisco Clean PIPes щодо захисту від DDoS-атак дозволяє не просто блокувати атакуючі адреси, а відокремити шкідливий трафік від звичайного. Захист мережі від DDoS забезпечують три основнве функції, які пропонує рішення:

Виявлення - при роботі мережі в штатних умовах відбувається навчання контрольним характеристикам трафіку, на підставі яких визначаються аномалії структури трафіку (відхилення від контрольних характеристик), що сигналізують про початок інциденту. Будь-яке відхилення в структурі трафіку, що перевищує певний граничне значення, викликає спрацьовування сигналу тривоги.

Придушення - процес «чистки» трафіку (анти-спуфинг, розпізнавання аномалій, перевірка пакетів і «очищення»: відкидання «поганого» трафіку і дозвіл проходження «хорошого» до кінцевого призначення).

Зміна маршруту проходження трафіку і повернення трафіку - в рамках зміни маршруту проходження трафіку на маршрутизатор в опорній мережі направляються інструкції про зміну маршруту проходження «брудного трафіку» (лавиноподібний потік з встановленим бітом SYN, пакети зі зміненим адресою і т.п.), таким чином , щоб він проходив через пристрій Cisco Guard. Після закінчення «чистки», пристрій Cisco Guard повертає очищений трафік назад у мережу.

Рис. 3.2 Схема роботи компонентів

Cisco Clean PIPes Cisco Clean PIPes - комплексне глобальне рішення, що включає системи виявлення аномалій і придушення DDoS- атак. На відміну від існуючих способів захисту від DDoS - атак рішення Cisco Clean PIPes може точно відрізняти «шкідливий» трафік, що направляється на важливий хост або додаток, від «легітимного». В процесі реалізації проекту рішення розгортається поруч з маршрутизаторами і комутаторами і легко масштабується, завдяки чому усуваються будь - які точки можливого збою і не погіршується швидкодія і надійність існуючих мережевих компонентів. Основний недолік такого рішення - висока ціна, тільки дуже великі компанії можуть собі дозволити установку обладнання від Cisco.

Ados - система захисту веб - сервера від DDoS- атак

Головним робочим процесом Ados є демон ados_daemon, який отримує доступ до TCP пакетам, посланим HTTP клієнтами, до їх обробки TCP / IP стеком в ядрі, і може або пропустити пакет, або відкинути його. Рішення про долю пакета приймається за результатами пошуку IP- адреси джерела пакета в списках IP- адрес, які формуються в процесі роботи Ados (або завантажуються при старті демона). Таких списків підтримується три:

· Ban list (банлист, чорний список): IP- адреси, пакети з яких блокуються. Цей список має найвищий пріоритет.

· White list (білий список): IP- адреси, що не записуються в банлист незалежно від характеру і частоти приходять з них HTTP- запитів.

· Track list (треклист): IP-адреси, з яких зареєстровані HTTP- запити, але рішення за якими ще не прийнято.

Кожному класу запитів присвоюється певна вага (задається в конфігурації Ados). Ця вага вибирається виходячи з навантаження на веб-сервер, створюваної запитом цього класу, характеру запитів, що генеруються легальними відвідувачами на відміну від ботів, конфігурації працюють на сервері скриптів і т.п. При реєстрації першого запиту з будь - якого IP інформація про це IP і кількості запитів кожного класу з нього поміщається в трек-лист і зберігається протягом деякого проміжку часу (track period, період аналізу). Кожен запит з даного IP, зареєстрований за період аналізу, збільшує лічильник запитів відповідного класу. Після закінчення періоду аналізу обчислюється «усереднена частота запитів»:

...