Добавлено: Пн, 10 Мар, 2008 18:14 Заголовок сообщения: DoS-атаки: методика воздействия и способы защиты
БЕЗОПАСНОСТЬ
В последнее время DoS-атакам уделяется много внимания, что объясняется их высокой эффективностью и практически полным отсутствием средств защиты от них.
Согласно аналитическим материалам, опубликованным компанией Astanetworks (www.astanetworks.com/tools/dos/index.html), в 2000 г. этого рода атакам было подвергнуто 125 тыс. корпоративных сетей, или 37% компаний, использующих в своей деятельности Интернет. Ущерб, наносимый DoS-атаками, может исчисляться миллионами долларов. Так, по оценке компании Yankee Group (www.YankeeGroup.com), ущерб от одной из атак на сети популярных компаний составил 1,2 млрд. долл. (см., например, Detect, Deflect, Destroy. Internetweek. November 13, 2000. http://www.internetweek.com/indepth/indepth111300.htm).
DoS-атаки в корпоративных сетях
При DoS-атаке в ИС направляется множество запросов с требованием услуги, предоставляемой системой. Их ресурсоемкая обработка не позволяет обслуживать настоящие запросы от клиентов. Сложность защиты от подобного воздействия состоит в том, что невозможно блокировать средства вторжения. Так как вторжение осуществляется через публичный сервис, предоставление которого широкому кругу пользователей является основной задачей системы, то традиционный способ защиты, состоящий в блокировке доступа, недопустим.
Наиболее уязвимы компоненты корпоративной ИС, рассчитанные на публичное предоставление сервисов широкому кругу абонентов. Результатом атаки на систему обеспечения бизнес-процессов может стать нарушение бизнеса компании и, как следствие, финансовые убытки.
Основу корпоративных ИС составляют системы хранения и предоставления информации абонентам. В качестве объединяющей выступает транспортная среда, базирующаяся на стандартных протоколах передачи данных.
Влияние DoS-атак на стек IP
Для нарушения бизнес-процесса достаточно вмешаться в нормальную работу IP-стека устройств. Воздействовать на него посредством DoS-атак можно двумя способами: установить большое число соединений либо сгенерировать большое число запросов на установление соединений.
Установка каждого соединения требует затрат от сервера, предоставляющего ресурсы клиенту. Сначала ресурсы тратятся на активизацию сокета и поддержание его в открытом состоянии (сокет - точка соединения двух процессов, взаимодействующих через IP-сеть), потом, в случае успешного соединения, - на его обслуживание. Большое количество запросов на установление соединения также может привести к исчерпанию ресурсов сервера, например, к переполнению стека или arp-таблиц, устанавливающих соответствие между IP- и MAC-адресами.
Вследствие каждого из перечисленных воздействий система может значительно замедлить работу или полностью стать недоступной (например, из-за нарушения маршрутизации или перезагрузки ОС).
Методика защиты от DoS-атак
В качестве защиты от DoS-атак можно предложить два решения. Первое состоит в оптимизации настройки параметров оборудования с целью сведения к минимуму негативного эффекта от атаки. Второй метод заключается в реализации системы детектирования внешнего воздействия.
Оптимизация настроек оборудования
Основной задачей оптимизации настроек (тюнинга) оборудования является выбор параметров сетевых настроек. В стеке IP есть целый ряд характеристик, прямо или косвенно влияющих на работу оборудования при DoS-атаке.
Доступность сервера при DoS-атаке явно зависит от следующих параметров IP-стека:
- максимально допустимого количества одновременно открытых сокетов;
- максимального времени ожидания соединения по сокетам;
- разрешения/запрещения ответа на ICMP-пакеты.
Этими параметрами можно регламентировать взаимодействие сервера с внешними абонентами. Установка максимального количества открытых соединений и максимального времени ожидания установления соединения позволит устранить возможность утилизации сервера большим количеством соединений. Снизить такой риск можно и путем отключения протокола ICMP, в результате чего сервер будет игнорировать ICMP-запросы.
Кроме того, на работу сервера при DoS-атаке косвенно влияют параметры, определяющие общую производительность системы и безопасность, а также такие параметры, как размер окна, наличие вспомогательных сервисов (Finger, SNMP), время обновления таблиц маршрутизации.
Значение каждого параметра должно быть выбрано в соответствии с задачами соответствующей информационной системы. Например, размер окна на сервере, обслуживающем локальную сеть, где вероятность потери IP-пакетов незначительна, можно установить максимально допустимым - 32 768 (RFC1323 и RFC2018), что совершенно неприемлемо для сервера, обслуживающего интернетовский трафик. Наличие вспомогательных сервисов позволяет увеличить нагрузку на сервер, а в ряде случаев и получить доступ к управлению ресурсами. Большой периода обновления arp-таблиц и таблиц маршрутизации также способствует повышенной утилизации ресурсов.
Определение внешнего воздействия
Количество обращений к ресурсам ИС меняется в течение дня и зависит от времени суток. Эта характеристика показывает активность бизнес-процессов, нормальное протекание которых обеспечивает информационная система, предоставляющая доступ к своим ресурсам. У локальной ИС типовая зависимость числа обращений от времени суток имеет вид гауссовой кривой (рис. 1).
Рис. 1. Вид трафика при нормальном функционировании информационной системы
Вид графика обусловлен интенсивностью протекания бизнес-процессов в информационной системе в различное время суток: минимум активности ночью, быстрый рост числа обращений с началом рабочего дня и последующий спад активности в конце работы.
Если рассмотреть поведение системы на более длительном отрезке времени, то можно увидеть характерные для большинства систем закономерности в изменении интенсивности обращений к системе в зависимости от дня недели (рис. 2).
Таким образом, наблюдение за состоянием потока обращений к ИС может дать информацию о нормальном ее состоянии. При DoS-атаке системы закон нормального функционирования ИС (см. рис. 1) будет искажен из-за внешнего воздействия (рис. 3).
Следовательно, защита от DoS-атак может быть построена на основе анализа источников избыточного трафика и запрета его передачи.
Каждая из предложенных технологий имеет свои достоинства и свои недостатки. Первый метод способствует снижению загрузки системы во время атаки, но не дает возможности устранить воздействие. Вторая методика позволяет установить наличие атаки и в ряде случаев - выявить ее источники. Обе методики дополняют друг друга и при одновременном их использовании можно свести к минимуму негативные воздействия атакующей стороны.[img][/img][img][/img][img][/img] _________________ новости бокса
Добавлено: Пн, 10 Мар, 2008 18:24 Заголовок сообщения:
Уважаемый Amethyst, я искренне сожалею о случившемся с Вами. Даже если Вы сами были тому причиной. Но столь же искренне понимаю действия администратора. А вот предмета обсуждения в данной теме не вижу. _________________ Кредитная карта для веб-мастера
Добавлено: Пн, 10 Мар, 2008 18:26 Заголовок сообщения:
Наш общий друг Amethyst в лучших традициях себя довольно нажал Ctrl+C, выделив очередной кусок текста на чужом сайте, разумеется, без указания источника... не это ли стало поводом? _________________ До выхода LiteDiary 0.3.0:парам-пам-пам-пам! Она уже здесь!
Добавлено: Вт, 11 Мар, 2008 17:46 Заголовок сообщения:
Указываю всегда. Но в последнее время, никакого копи-паста. У меня сайт для того, чтобы показать, что я умею из того что не умеют другие. А копи-паст все могут.
Добавлено: Вт, 11 Мар, 2008 17:47 Заголовок сообщения:
***Если так пришлось сделать, необходимо указать источник.***
Строго говоря этого маловато будет, далеко не каждый автор согласится с таким условием использования своего труда. Если уж владелец ресурса не может сам писать интересные статьи по своейтематике (что само по себе ненормально), то существует 2 возможности:
1) Договариваться с авторами. Многие изних согласятся дать одну статью с указанием-рекламой на сайт автора.
2) Перерабатывать чужой материал. В начальных классах изложения все писали. Берете статью и излагаете её своими словами. _________________ Кредитная карта для веб-мастера
Добавлено: Вт, 11 Мар, 2008 18:28 Заголовок сообщения:
uforum
кажется, данный вопрос обсуждался в иной теме. Вы там также высказались в защиту Amethyst'a, но, помнится, никто вас не поддержал... _________________ До выхода LiteDiary 0.3.0:парам-пам-пам-пам! Она уже здесь!
Зарегистрирован: 22.01.2008 Сообщения: 1159 Откуда: Lietuva 7191
Добавлено: Вт, 11 Мар, 2008 18:52 Заголовок сообщения:
[LP]LordPro.teus
Я неговорил что это хорошо.
У Amethyst'a много чего интересного.
.....Тема преврощается во ФЛУД.............. _________________ Скрипты [PHP/JS] на заказ, в ЛС, недорого.
Добавлено: Вт, 11 Мар, 2008 18:55 Заголовок сообщения:
uforum писал(а):
[LP]LordPro.teus
Я неговорил что это хорошо.
У Amethyst'a много чего интересного.
.....Тема преврощается во ФЛУД..............
Да, а еще я повторю то же, что было там. У него, насколько я замечал (не занимался доскональным изучением) не было ничего своего - все материалы из разных источников. Теперь вопрос:
Даже если они интересные, что мешает наслаждаться ими на сайте-оригинале, который первым запостил свой собственный материал?..
P.S: вряд ли во имя разноцветных шрифтов...
Так давайте найдем старую или создадим новую по данному вопросу _________________ До выхода LiteDiary 0.3.0:парам-пам-пам-пам! Она уже здесь!
FAQ
Поиск
Пользователи
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
А копи-паст все могут.