Розробка та аналіз ефективності засобів відображення розподілених атак
ЗМІСТ
СКОРОЧЕННЯ ТА УМОВНІ ПОЗНАЧЕННЯ
ВСТУП
1. ОПИС ІС
1.1 Опис ІС
1.2 Модель порушника
1.3 Модель загроз
1.3.1. Класифікація загроз відповідно до IT-Baseline Protection Manual
1.3.1.1 Загрози, пов'язані з форс-мажорними обставинами
1.3.1.2 Загрози, пов'язані з недоліками організації та управління
1.3.1.3 Загрози, пов'язані з людським фактором
1.3.1.4 Загрози, пов'язані з технічними несправностями
1.3.1.5 Загрози, пов'язані зі спланованими діями порушників
1.3.2 Класифікація загроз за порушує базові послуг ІС
1.3.2.1 Загрози порушення конфіденційності інформації
1.3.2.2 Загрози порушення цілісності інформації
1.3.2.3 Загрози порушення автентичності
1.3.2.4 Загрози порушення наблюдаемості
1.3.2.5 Загрози порушення доступності ресурсів
1.4 Особливості реалізації DoS/DDos атак. TCP SYN атака
1.5 Постановка завдань по захисту від загроз
2. ВІДОМІ МЕТОДИ ПРОТИДІЇ TCP SYN атаки
2.1 TCP SYN cookies
2.2 TCP RST cookies
2.3 Floodgate
2.4 Предмаршрутізаціонная фільтрація
2.5 Random/Old Drop
2.6 Syn-Proxy
2.7 Stack tweaking
2.8 BlackListing
3. МАТЕМАТИЧНА МОДЕЛЬ TCP SYN АТАКИ
3.1 Короткі відомості з теорії систем масового обслуговування
3.2 Потік вимоги СМО
3.3. Сервер TCP з'єднання як СМО
3.4 СМО з нескінченною кількістю обслуговуючих приладів
3.5 Модель, що враховує втрату пакетів в мережі
4. МЕТОДИКИ ЗБОРУ ДАНИХ
4.1 Визначення часу проходження IP пакета по мережі Internet
4.2 Визначення ймовірності втрати пакетів в мережі
4.3 Визначення інтенсивності вхідного потоку вимог
5. ПРОГРАМНА РЕАЛІЗАЦІЯ
5.1 Особливості установки Snort
5.2 Внутрішня структура Snort
5.2.1 препроцесора
5.2.2 Модулі виявлення
5.2.3 Модулі виведення
5.3 Розробка модуля виявлення
5.3.1 Структура модуля TcpConnEstTimeChecker
5.3.2 Структура модуля TcpSynFloodPreventionModule
5.3.3 Взаємодія TcpConnEstTimeChecker і TcpSynFloodPreventionModule в реалізації tcp_syn_flood
ВИСНОВКИ
ПЕРЕЛІК ПОСИЛАНЬ
ДОДАТКИ
СКОРОЧЕННЯ ТА УМОВНІ ПОЗНАЧЕННЯ
БД - бази даних
ДСТСЗІ СБУ - Департамент спеціальних телекомунікаційних систем та захисту інформації Служби Безпеки України (Державна служба спеціального зв'язку та Захист інформації України)
ІС - інформаційна система
ІТС - інформаційно-телекомунікаційна система
КЗІ - комплексний захист інформації
КС - комп'ютерна система
ОС - операційна система
ОЗП - оперативний запам'ятовуючий пристрій
ПЗ - програмне забезпечення
СВ - випадкова величина
СМО - система масового обслуговування
ACK - Acknowledgement Flag
ARP - Address Resolution Protocol
ASN.1 - Abstract Syntax Notation One
BO - Back Orifice
CSV - Coma Separated Values ​​
DDoS - Distributed Denial of Service
DNS - Domain Name Service
DoS - Denial of Service
DSL - Digital Subscriber Line
FIN - Finalization Flag
ICMP - Internet Control Message Protocol
IDS - Intrusion Detection System
IPS - Intrusion Prevention System
IP - Internet Protocol
HTTP - Hyper Text Transfer Protocol
MSS - Maximum Segment Size
OSI - Open System Interconnection
PSH - Push Flag
RPC - Remote Procedure Call
RST - Reset Flag
SMS - Simple Message Service
SYN - Synchronize Flag
TCP - Transmission Control Protocol
TTL - Time to Live
UDP - User Data Protocol
URG - Urgent Flag
WWW - World Wide Web
ВСТУП
В даний час, важко собі уявити успішну компанію, не використовує для організації діловодства досягнення науки і техніки в сфері інформаційних технологій. Також інтеграції сучасних технологій сприяє розвиток в Україні відповідної нормативної бази. Одним з перспективних напрямів є розвиток електронного документообігу, інфраструктури відкритих ключів, використання засобів сучасної криптографії органами державної влади, органами місцевого самоврядування, підприємствами, установами, організаціями та т.д. [1,2]. Одним з основних переваг використання таких технологій є значне підвищення ефективності діловодства за рахунок прискорення пошуку необхідної інформації, збільшення швидкості обміну інформацією, зменшення відсотка втраченої інформації і т.д. Такі засоби криптографії як електронний цифровий підпис здатні забезпечити забезпечення таких базових послуг інформаційних систем як конфіденційність, цілісність інформації і т.д [3]. Однак використання цих коштів не дає гарантії забезпечення такої важливої вЂ‹вЂ‹послуги, як доступність ресурсів [3]. Для того щоб інфраструктура відкритих ключів могла повноцінно функціонувати, необхідно, щоб користувачі системи завжди могли мати доступ до центрів сертифікації різних рівнів.
На жаль, в Останнім часом все більшого поширення отримав цілий клас атак (DoS/DDoS), спрямованих на відмову в обслуговуванні. Успішна реалізація таких атак дозволяє блокувати доступ користувачів інформаційних систем до ресурсів різних серверів, що може вивести з робочого стану всю систему.
Одним із способів реалізації атаки типу відмови в обслуговуванні є завантаження всіх ресурсів сервера обробкою величезної кількості помилкових запитів. У більшості випадків, для організації таких атак використовуються комп'ютери "мирних" користувачів без їх відома і згоди. Це здійснюється шляхом установки на недостатньо захищені машини шкідливого програмного забезпечення, такого як "троянські коні", "черв'яки", комп'ютерні віруси і т.д. Після того, як зловмисник зміг інфікувати досить велика кількість вузлів мережі, реалізація розподіленої атаки зводиться до того, щоб відправити одночасно всім зараженим машинам команду, активирующую шкідливе ПЗ, перетворюючи тим самим "мирні" комп'ютери в джерело розподіленої атаки.
В даний час, організація атак типу відмови в обслуговуванні є досить прибутковим заняттям. Існують два способи отримати фінансову винагороду. У першому випадку за організацію атак платять нечістоплотние конкуренти, метою яких є нанесення удару по репутації інших компаній та організацій. А в іншому випадку хакери займаються здирництвом - вибирають жертву, атакують її та вимагають викуп за припинення атаки.
Для ефективного протидії DDoS атак існують кілька серйозних перешкод. Зокрема, багато хто з них не вимагають встановлення сеансу зв'язку з джерелом атаки, що значно ускладнює пошук зловмисника. Але навіть у випадку піймання хакера, він може не отримати заслуженого покарання на увазі недосконалість законодавства в різних країнах [4].
На даний момент в світі існують рішення, що знижують негативний вплив DDoS атак (може фільтрувати до 99% шкідливого трафіку [5]), але такі засоби володіють декількома недоліками, які обмежують можливості їх використання. По-перше, використовуються алгоритми є комерційною таємницею розробників, що не дає можливості відповідним організаціям сертифікувати ці продукти. Другим недоліком є висока ціна, недоступна для багатьох компаній і організацій. Наприклад, послуги компаній AT & T і MCI в цій області стоять близько 12 тисяч доларів на місяць [5].
З усього вищесказаного видно, що проблема виявлення та протидії DDoS атак є актуальною і вимагає недорогих і ефективних рішень. У магістерській роботі пропонується методика раннього виявлення однією з найпоширеніших DDoS атак - TCP S...
