- •Правила оформления работы
- •1. Содержание работы
- •2. Содержимое основной части
- •3. Правила оформления текста работы
- •3.1. Иллюстрации
- •3.2. Таблицы
- •3.3. Формулы и уравнения
- •3.4. Ссылки
- •3.5. Перечисления
- •4. Приложения
- •Реферат
- •Содержание
- •Перечень сокращений
- •Введение
- •Проблема удаленных атак
- •1.1. Недостатки семейства протоколов tcp/ip
- •1.2. Удаленные атаки в Internet
- •2. Средства защиты от удаленных атак
- •2.1. Программно-аппаратные методы защиты
- •2.1.1. Межсетевые экраны
- •2.1.2. Программные методы защиты
- •2.1.2.1. Протокол skip
- •2.1.2.2. Протокол s-http
- •2.1.2.3. Протокол ssl
- •2.2. Сетевые мониторы безопасности
- •3. Систематизация удаленных атак
- •3.1. Обзор существующих классификаций
- •3.2. Построение классификации удаленных атак
- •3.3. Разработка метода обнаружения удаленных атак
- •Заключение
- •Список использованных источников
- •Приложение
3.3. Разработка метода обнаружения удаленных атак
На основе приведенной систематизации можно построить метод обнаружения удаленных атак. Метод будет построен только для протоколов сетевого и транспортного уровня.
Для того чтобы предотвратить отдельные атаки, необходимо определить список тех Internet пакетов, которые не могут быть пропущены в систему, условно назовем его списком запрещенных пакетов. Это необходимо для предотвращения тех атак, которые используют определенного типа пакеты. Например, можно сделать так, чтобы инициатором соединения мог выступать только защищаемый хост, а извне к нему доступ запретить, не пропуская пакеты TCP SYN – запросы на установку TCP соединения.
Для того чтобы обнаружить удаленную атаку, необходимо:
-
определить все заголовки пакета, построить их иерархию в соответствии с моделью протоколов сети Internet. Проверка осуществляется, начиная с сетевого уровня (IP-, ARP-заголовки);
-
проверяются на корректность данные в полях заголовка. Если будут обнаружены ошибки в этих данных, то, значит, пакет не прошел проверку и, возможно, осуществляется удаленная атака. Если ошибок нет, то переходим к п. 3), в противном случае, пакет не допускается к дальнейшей обработке;
-
проверяется корректность последовательности пакетов, если приходящий пакет в ней участвует. Если он не участвует ни в какой последовательности, то он проходит эту проверку и осуществляется проверка №4. Если же он участвует в такой последовательности, то он запоминается и проверяется вся последовательность пакетов, к которой принадлежит пришедший, на предмет того, может ли . Если заголовок корректен с этой точки зрения, то осуществляется проверка №4, если нет, то пакет не допускается к дальнейшей обработке;
-
проверяется тот факт, не приведет ли пакет к нарушению ограничений на ресурсы системы. Например, известно, что в сетевых ОС существуют ограничения на количество соединений, которые можно открыть на определенном порте. Тогда под нарушением ограничения на этот ресурс будет пониматься попытка открыть большее количество соединений, чем позволяет ограничение. В этом случае такой пакет не проходит проверку и отбрасывается, в противном случае переход к п. 5);
-
проверка того, входит ли пакет в список запрещенных. В основном, это касается таких пакетов, как ICMP Redirect, который, потенциально может привести к нарушению данных маршрутизации. Если пришедший пакет попадает в этот список, то он не пропускается в систему и отбрасывается;
-
если заголовок пакета успешно прошел проверки, обозначенные в пунктах 2) – 5), то выбирается следующий по уровню модели протоколов сети Internet заголовок. При этом существует ограничение, что уровень анализируемого заголовка не должен быть выше транспортного. Если требуемый заголовок присутствует, то переход к п. 2), если нет, то все заголовки прошли проверку и пакет в целом считается корректным.
Блок-схема описанного алгоритма представлена в приложении 1.
Необходимо отметить тот факт, что настоящий метод предлагается для обнаружения атак для протоколов по уровню не выше транспортного, поэтому в рассмотрение не попадают такие протоколы как DNS, FTP, Telnet и другие протоколы прикладного уровня.