Анализ механизма и последствий воздействия DDOS-атак на эталонную модель взаимодействия открытых систем OSI

Изучение механизмов воздействия DDoS-атак на облачные серверы на прикладном и инфраструктурном уровнях модели OSI, приведение основных направлений атак данных уровней. Анализ последствий и разработка рекомендаций по ослаблению воздействия DDoS-атак.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 28.12.2017
Размер файла 35,5 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

УДК 004.91

Анализ механизма и последствий воздействия DDOS-атак на эталонную модель взаимодействия открытых систем OSI

О.Д. Смоктий

К.В. Смоктий

О.В. Иванченко

В статье рассмотрен механизм воздействия DDoS-атак на облачные серверы на прикладном и инфраструктурном уровнях модели OSI, приведены основные направления атак данных уровней. На каждом из OSI-уровней проведен анализ последствий и выработаны рекомендации по ослаблению воздействияDDoS- атак.В работе приведены данные исследований основных направлений атак, мотивации атакующих и применяемых ими техник атак. Сделаны выводы относительно наиболее уязвимых для атак злоумышленников протоколов передачи данных и самых распространенных направлений DDoS-атак. облачный сервер атака

Ключевые слова: DDoS-атаки, распределенный отказ в обслуживании, модель OSI, атаки прикладного уровня, атаки уровня инфраструктуры, SYN-флуд, HTTP-флуд, облачный сервер.

АНАЛІЗ МЕХАНІЗМУ І НАСЛІДКІВ ВПЛИВУ DDOS-АТАК НА ЕТАЛОННУ МОДЕЛЬ ВЗАЄМОДІЇ ВЩКРИТИХ СИСТЕМ OSI

О.Д. Смоктій, К.В. Смоктій, О.В. Іванченко

У статті розглянуто механізм впливу DDoS-атак на хмарні сервери на прикладному та інфраструктурному рівнях моделі OSI, наведені основні напрямки атак даних рівнів. На кожному з OSI-рівнів проведено аналіз наслідків і вироблені рекомендацій щодо ослаблення впливу DDoS-атак. В роботі наведені дані досліджень основних напрямків атак, мотивації атакуючих і використаних ними технік атак. Зроблено висновки щодо найбільш вразливих для атак зловмисників протоколів передачі даних і найпоширеніших напрямків DDoS-атак.

Ключові слова: DDoS-атаки, розподілена відмова в обслуговуванні, модель OSI, атаки прикладного рівня, атаки рівня інфраструктури, SYN-флуд, HTTP-флуд, хмарний сервер.

ANALYSIS OF MECHANISM AND CONSEQUENCES OF DDOS-ATAKS ON THE STANDARD OPEN SYSTEMS INTERACTION OSI-MODEL

O.D. Smoktii, K.V. Smoktii, O.V. Ivanchenko

The article the DDoS-attacks mechanism on the application and infrastructure levels, gives recommendations for mitigating the effects of DDoS attacks.

The article shows the mechanism of the DDoS attacks impact on cloud servers via the application and infrastructural OSI- model levels, gives the main directions of attacks on these levels. At each of the OSI-levels, an analysis of the consequences and recommendations for DDoS-attacks mitigation are given. The paper presents research data of the main attacks directions, the attackersmotivationand the techniques they are using. The paper consists conclusionsabout the most vulnerable protocols for attacks and the most common directions for DDoS attacks.

Keywords: DDoS attacks, distributed denial of service, OSI model, applicationlevel attacks, infrastructure level attacks, SYNflood, HTTP flood, cloud server.

Постановка задачи. Современные условия применения интернет-технологий требуют обеспечения высокоэффективной защиты информационного пространства, являющегося важнейшим фактором влияния на национальную безопасность государства. На сегодняшний день одной из актуальных проблем в национальном кибернетическом пространстве является защита киберактивов различных инфраструктурных образований, включая активы отдельных предприятий, от воздействия DDoS-атак.

Фактически DDoS-атака (Distributed Denial of Service) представляет распределённый отказ в обслуживании вычислительных мощностей, вызванный действиями злоумышленников. Это один из многих возможных способов несанкционированного захвата компьютерных систем, который занимает ведущее место по численности попыток совершения взломов в силу гибкости и высокой степени безотказности его применения в компьютерных сетях любой архитектуры. Поэтому DDoS-атаки являются серьезной угрозой как для информационного пространства отдельных предприятий, поскольку наносят им серьёзный материальный ущерб, так и для глобального интернет пространства, т.к. воздействующий вредоносный трафик снижает скорость и эффективность работы корневых интернет серверов.

Известные методы защиты инфраструктуры от DDoS-атак направлены на максимальное её ослабление. К сожалению,в силу несовершенства механизмов воздействия на кибернетических злоумышленников спрогнозировать и полностью предотвратить атаку практически невозможно.

Анализ последних исследований и публикаций. Одним из основных инструментариев реализации DDoS-атаки является бот (Bot), представляющий собой вредоносную программу, которая имитирует действия пользователя в сети Интернет и работает автоматически по заданному графику [1]. Это подтверждается исследованиями, проведёнными компанией Imperva. В отчёте компании сказано, что за 3 месяца 2016 года соотношение числа пользователей случайно выбранного домена к количеству ботов того же домена составляет один к трём [2]. Исходя из этого, аналитики компании сделали вывод, что бот-атаки менее опасны, чем направленные DDoS-атаки. Тем не менее, для небольших слабо защищенных сайтов бот-атаки представляют серьезную угрозу, поскольку по данным компании из 100000 случайно выбранных доменов 94% хотя бы один раз в три месяца отказывали в обслуживании, подвергаясь воздействию этого вида атак.

DDoS-атаки составляют 5,6% от общего числа атак. Кроме того, по данным компании Hackmageddon мотивацией злоумышленников к нанесению DDoS-атак служит в основном стремление получить выгоду от совершённогоки- бер-преступления, в первую очередь, от взлома финансовых систем, а также хакерство - как применение техник взлома новых защитных механизмов и изучение принципов их работы (рис. 2).

Наибольший интерес для атаки отказа в обслуживании представляют облачные сервисы, поскольку используются крупными корпорациями и финансовыми организациями для хранения данных и осуществления электронной коммерции. Облачные хранилища наиболее уязвимы при работе UDP- протокола, по которому происходит обмен сообщениями между хостами.Направленные атаки

Рис. 1. Мотивация DDoS-атакующих по данным на январь 2017 г.

Поэтому чрезвычайно важно при реализации соответствующих мер защиты контролировать входной облачный трафик и осуществлять мониторинг активности действий поставщика данных. В качестве превентивных мер защиты рассматривается вариант «самоконтроля» и «арбитражного контроля» со стороны поставщика данных [4]. На рис. 3 представлен рейтинг основных направлений DDoS- атак по данным компании Imperva [5].

Netftow 0.256

Рис. 2. Распределение DDoS-атак по основным протоколам 2016 г.

Одним из первых шагов по ослаблению DDoS воздействия является идентификация атаки, а именно: выявление источника; определение типа, масштаба атаки; оценка возможных последствий. В работах [6-8] предложены методы выявления DDoS-атак на основе методов MapReduce, искусственных нейронных сетей, аппарата нечеткой логики.

Основные уязвимости, на которые направлены действия DDoS-атак, а также меры по ослаблению атак исследованы в работах [9, 10].

Формулировка цели статьи

К облачным вычислениям, как и к любой сетевой инфраструктуре, применима модель OSI (Open Systems Interconnection), которая условно разделяет коммуникацию на семь уровней. На каждом уровне модели применим свой механизм ослабления DDoS-атаки, учитывающий разную природу и особенности вредоносного воздействия.

Целью статьи является рассмотрение механизма реализации DDoS-атак на каждом из OSI- уровней, анализ последствий и выработка рекомендаций по ослаблению их воздействия.

Изложение основного материала

На протяжении последних четырех лет атаки отказа в обслуживании были сосредоточены на трех уровнях: сетевой (3), транспортный (4) и прикладной (7).

Атаки третьего и четвертого уровней - инфраструктурные атаки, которые нацелены на перегрузку пропускной способности сети путем отправки большого количества фальшивых запросов (ICMP флуд, SYN флуд, Smurf-атака). Атаки седьмого уровня - прикладные атаки - преследуют цель нарушить работу приложений и критически важного программного обеспечения, тем самым вывести из строя серверы и другие обеспечивающие работу сети устройства (GET запросы, HTTP GET, HTTP POST и т.д.).

Наиболее популярными направлениями инфраструктурных DDoS-атак являются такие направления [10]:

• DNS-отражение;

• TCP SYN флуд;

• UDP флуд;

• ICMP флуд.

Первое направление, к которому относятся DNS-отражение или DNS-усиление заключается в том, что злоумышленник посылает на DNS-сервер жертвы запрос небольшого размера, в котором изменен IP-адрес отправителя на IP-адрес компьютера-жертвы (так называемый IP spoofing). DNS- сервер отвечает на запрос сообщением гораздо большего размера и посылает его на IP-адрес компьютера-жертвы. Схема повторяется до тех пор, пока сеть не заблокируется вследствие перегрузки DNS-запросами.

Второе направление TCP SYN флуд работает с механизмом трехкратного обмена сообщениями (“рукопожатиями”) между сервером и клиентом перед установкой TCP соединения. Злоумышленник имитирует запрос на установку соединения от клиента серверу с отметкой SYN. На этот запрос сервер отвечает сообщением SYN-ACK клиенту, после чего клиент должен закрыть соединение, отослав серверу ACK-сообщение. Поскольку в роли клиента выступает злоумышленник, то он не закрывает соединение, тем самым оставляя серверу «полуоткрытое» соединение. Таких соединений устанавливается столько, сколько требуется для блокировки работы сети.

Третье направление UDP флуд - наиболее распространенный вид инфраструктурной DDoS- атаки, поскольку работает через UDP-протокол (User Datagram Protocol), который использует простую модель передачи сообщений, без обменов сообщениями и сеансов. Достаточно направить большое количество UDP-пакетов хосту-жертве, на каждый из которых атакуемый хост должен отправить ответ, и сеть окажется перегруженной. Если подменить IP-адрес отправителя UDP флуда, то злоумышленник сохранит анонимность и не подвергнется ответному потоку сообщений.

Четвёртое направление CMP флуд или PING флуд - простой способ DDoS-атаки, при котором на компьютер-жертву посылается большое количество ICMP-пакетов с целью блокировать TCP/IP стек.

На прикладном уровне действие DDoS-атак направлено на захват управления или вывод из строя программного обеспечения удаленного компьютера. Облачные вычисления особенно подвержены таким атакам в силу их веб-ориентированности. При DDoS-атаке на седьмой уровень OSI сеть не перегружается избыточным трафиком, тем самым снижается вероятность обнаружения взлома.

Основные инструменты, которые используются при атаках прикладного уровня, - это запросы HTTP, GET, DNS, SIP INVITE, отправленные на сервер-жертву. Эти запросы дают сверхнагрузку на текущую сессию сервера, блокируют его процессы и переполняют ресурсы.

Отдельно следует обратить внимание на атаку прикладного уровня типа DNS-усиление (DNS Amplification).

Ее принцип заключается в том, что атакующий посылает запрос просмотра DNS имен на открытый DNS сервер с IP-адресом источника равном IP-адресу жертвы. DNS сервер посылает ответ вместо источника атакуемому серверу. Таким образом на сервере создается избыточное количество пакетов от DNS до тех пор, пока работа сервер не блокируется из-за нехватки ресурсов. Такие атаки ослабляются ограничением количества принимаемых пакетов от DNS-сервера.

В табл. 1 представлено краткое описание возможных DDoS-атак на каждом из уровней OSI, протоколы, которые подвержены действиям злоумышленников, основные инструменты атакующих и методы, направленные на смягчение действий атаки.

Выводы из данного исследования и перспективы дальнейшего развития

Несмотря на то, что DDoS-атаки составляют 5,6% от общего количества известных атак, они оказывают разрушительное воздействие на кибернетические активы инфраструктурных образований и отдельных предприятий.

Мотивацией злоумышленников в подавляющем большинстве случаев является получение личной выгоды от атаки. Облачные вычисления подвержены DDoS-атакам наиболее часто по протоколам UDP иTCP - протоколам обмена сообщениями между хостами.

Атаки, направленные на 2-4 уровни OSI, ослабляются и предупреждаются настройками роутера или свитча (использование линейных списков контроля доступа, ограничение скорости канала и др.); атаки 5-7 уровней - конфигурацией брандмауэра и операционной системы сервера (использование UDP-,ICMP-экранов, ограничения сеансов, SYN cookie; использование брандмауэров с динамической проверкой и др.).

Первый уровень OSI защищается использованием качественного оборудования и мониторингом работы физического сетевого оборудования.

Таблица 1. Методы смягчения DDoS-атак на каждом уровне модели OSI

Уровень модели OSI

Задей

ствованные

протоколы

Инструменты

DDoS

Возможные

последствия

атаки

Методы,

смягчающие действие атаки

Прикладной уровень (7)

FTP, HTTP, POP3, SMTP, DNS и шлюзы, которые их используют

PDF GET запросы, HTTP GET, HTTP POST

Достижение предела по ресурсам сервисов атакуемого ресурса

Использовать мониторинг приложений для выявления Oday-уязвимостей приложений. Идентифицировав такие атаки, их можно раз и навсегда остановить

и отследить их источник.

Использовать коммерческие продукты, такие как ArborPeakflow SP и ArborPeakflow SP TMS, которые созданы для глобального анализа трафика инфраструктуры [1].

Использовать проксирование трафика.

Представительский уровень (6)

Протоколы шифрования и кодирования ASCII,

EBCDIC, SSL, HTTPS, SSH

Подложные

SSL запро- ra,THC-SSL- DoS ата- eh,HTTPS флуд

Не принимаются SSL соединения; автоматическая

перезагрузка

сервера

Проверка трафика приложений на предмет атак или нарушения политик на платформе приложений. Распределение шифрующей SSL инфраструктуры: размещение SSL на отдельном сервере, если это возможно.

Использование протокола шифрования TLS (SSL-3), который защищает от атак типа man-in-the-middle.

Сеансовый (5)

Протоколы входа/выхода (RPC, PAP)

Слабые места программного обеспечения Telnet-сервера на свитче

Свитч не доступен администратору

Использование надежной аппаратной части - свитчей, маршрутизаторов и т.д.

Транспортный

(4)

TCP, UDP

SYN флуд, Smurf-атака (атакаICMP- запросами с

измененными

адресами)

Достижение пределов по пропускной способности канала

или по количеству допустимых подключений

Использовать фильтрациюDDoS- трафика, известная как blackholing[11]. Однако этот подход делает атакуемый ресурс недоступным как для трафика злоумышленника, так и для легального трафика пользователей. Тем не менее, блокировка доступа используется в борьбе с DDoS-атаками для защиты от таких последствий, как замедление работы сетевого оборудования и отказ работы сервисов.

Сетевой (3)

Протоколы IP, ICMP, ARP,

RIP и роутеры, которые их используют

ICMP флуд, UDP флуд,

DNS отражение

Снижение пропускной способности атакуемой сети и возможная перегруженность брандмауэра

Ограничение количества обрабатываемых запросов по протоколу ICMP, запрет ICMP форвардинга.

Ограничение скорости для трафика

UDP, защита прокси-серверов и настройка маршрутизатора для остановки передачи по прямому IP-адресу [1].

Канальный (2)

Протоколы 802.3, 802.5, контроллеры, точки доступа, мосты, которые их используют

MAC-флуд - переполнение пакетами данных сетевых

коммутаторов

Потоки данных от отправителя получателю блокируют работу всех портов

Ограничить количество MAC адресов надежными, которые проходят проверку аутентификации, авторизации и учета на сервере (протокол ААА) и в последствии фильтруются.

Для настройки фильтрации MAC- адресов используются конфигурируемые свитчи моделей, выпущенных в последние 5 лет.

Наиболее эффективна фильтрация MAC-адресов в проводных сетях.

Физический

Протоколы

Физическое

Физическое се-

Использовать систематический подход

(1)

100BaseT,

1000 Base-X, а также концентраторы, розетки, патч-

панели

разрушение,

физическое

препятствие

работе

тевое оборудование приходит

в негодность

к мониторингу работы физического сетевого оборудования.

Размещено на Allbest.ru

...

Подобные документы

  • DDoS атаки. Спасение от DDoS атак. Предотвращение DDoS атак. Аппаратная защита программного обеспечения, компьютера и информации, сети. Хакинг, как сфера исследования. Типы хакеров. Методы хакинга. Защита от программ Microsoft. CMOS SETUP.

    курсовая работа [39,5 K], добавлен 06.02.2007

  • Модели нарушителей глобальной информационной системы Интернет. Классификация угроз в соответствии с IT-Baseline Protection Manual. Реализация DoS/DDos атак. Программная реализация Snort: установка, препроцессоры и структура модулей обнаружения и вывода.

    дипломная работа [509,5 K], добавлен 05.06.2011

  • Обобщенная модель процесса обнаружения атак. Обоснование и выбор контролируемых параметров и программного обеспечения для разработки системы обнаружения атак. Основные угрозы и уязвимые места. Использование системы обнаружения атак в коммутируемых сетях.

    дипломная работа [7,7 M], добавлен 21.06.2011

  • Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.

    курсовая работа [508,3 K], добавлен 04.11.2014

  • Удобство и возможности системы предотвращения атак Snort, типы подключаемых модулей: препроцессоры, модули обнаружения, модули вывода. Методы обнаружения атак и цепи правил системы Snort. Ключевые понятия, принцип работы и встроенные действия iptables.

    контрольная работа [513,3 K], добавлен 17.01.2015

  • Компьютерные атаки и технологии их обнаружения. Сетевые системы нахождения атак и межсетевые экраны. Программные средства анализа защищенности и отражения угроз. Внедрение программных средств выявления атак для информационной системы предприятия.

    курсовая работа [53,6 K], добавлен 16.03.2015

  • Методы обнаружения атак на сетевом и системном уровнях. Административные методы защиты от различных видов удаленных атак. Уведомления о взломе. Ответные действия после вторжения. Рекомендации по сохранению информации и контроль над ней в сети Internet.

    курсовая работа [36,0 K], добавлен 21.01.2011

  • Проблема безопасности операционных систем. Функции подсистемы безопасности. Идентификация пользователей, программные угрозы (атаки). Типы сетевых атак. Жизненный цикл разработки безопасных программных продуктов. Оценка атак на программное обеспечение.

    презентация [1,4 M], добавлен 24.01.2014

  • Концепция адаптивного управления безопасностью. Средства анализа защищенности сетевых протоколов и сервисов. Компоненты и архитектура IDS. Классификация систем обнаружения атак. Поиск уязвимостей в современных системах IDS. Методы реагирования на атаки.

    курсовая работа [488,5 K], добавлен 13.12.2011

  • Исследование криптографического протокола, способного обеспечить надежную взаимную аутентификацию и обмен ключами, оставаясь наименее уязвимым к DDoS атакам. Анализ существующих аналогичных протоколов. Программная реализация схемы, платформа разработки.

    дипломная работа [850,3 K], добавлен 11.07.2012

  • Описание информационных технологий и модель угроз. Средства защиты периметра сети, межсетевые экраны. Системы обнаружения вторжений, их классификация по уровням информационной системы. Подходы к автоматическому отражению атак и предотвращению вторжений.

    дипломная работа [2,0 M], добавлен 05.06.2011

  • Обзор известных методов обеспечения безопасности Web-транзакций. Протокол SSL/TLS как эффективный метод обеспечения их защищенности. Анализ и моделирование существующих атак на протокол SSL/TLS. Особенности защиты сети "клиент-сервер" от такого рода атак.

    дипломная работа [2,6 M], добавлен 05.06.2011

  • Исследование наиболее распространенных видов сетевых атак. Сетевая разведка. Характеристика способов защиты от сетевых атак с использованием специальных программ. Изучение преимуществ и недостатков сетевых экранов. Переполнение буфера. Вирусные программы.

    реферат [329,2 K], добавлен 23.12.2014

  • Покращення захисту інформаційно-комунікаційних безпек з точки зору вимоги доступності. Класифікація DoS-атак, розробка моделі методики виявлення DoS-атаки та реалізація відповідного програмного засобу. Захист критичних ресурсів корпоративної мережі.

    дипломная работа [932,6 K], добавлен 02.09.2016

  • Схема виявлення атак на основі сигнатур. Сучасні тенденції у галузі розподілених систем виявлення комп’ютерних атак. Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми. Фізичне проектування бази даних підсистеми.

    дипломная работа [2,2 M], добавлен 19.07.2014

  • Алгоритмы работы протокола STP. Статусы портов в протоколе SpanningTree. Виды, описание протоколов, агрегация каналов. Схемы возможных атак, способы обнаружения. Слияние-расхождение деревьев, локализованный отказ в обслуживании, спровоцированный сниффинг.

    курсовая работа [86,8 K], добавлен 07.04.2015

  • Описание и предназначение протокола DNS. Использование файла host. Особенности и описание способов атак на DNS: ложный DNS-сервер, простой DNS-флуд, фишинг, атака посредством отраженных DNS-запросов. Защита и противодействие атакам на протокол DNS.

    реферат [324,3 K], добавлен 15.12.2014

  • Способи здійснення атак на відмову та пароль. Захист інформації від несанкціонованого доступу та від її витоку в комп'ютерних системах. Використання міжмережевих екранів, системи виявлення вторгнень, засобів аналізу захищеності в комунікаційних системах.

    презентация [300,2 K], добавлен 14.08.2013

  • Общая характеристика информационных технологий и модели угроз компьютерной сети. Изучение средств защиты периметра сети и построение системы активного отражения атак в корпоративных сетях. Система обнаружения вторжений и автоматического отражения атаки.

    дипломная работа [770,6 K], добавлен 19.10.2011

  • Способы применения технологий нейронных сетей в системах обнаружения вторжений. Экспертные системы обнаружения сетевых атак. Искусственные сети, генетические алгоритмы. Преимущества и недостатки систем обнаружения вторжений на основе нейронных сетей.

    контрольная работа [135,5 K], добавлен 30.11.2015

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.