- •Защита it-инфраструктуры от ddos Содержание
- •1 Характеристики DoS-атак
- •1.1 Краткое описание DoS/dDoS-атак
- •1.2 Обнаружение DoS/dDoS-атак
- •2 Анализ наиболее распространённых методов защиты
- •2.1 Программные методы защиты
- •2.1.1 Icmp-флуд
- •2.1.4 Http-флуд
- •2.1.5 Обновление используемого по и тщательная проверка log-файлов
- •2.2 «Универсальная методика защиты»
- •2.3 Методы защиты, основанные на аппаратном и сетевом подходах
- •2.3.1 Лишение атаки «смысла»
- •2.3.2 Решения компании Cisco
- •2.3.3 Решения компании Reactive Networks
- •2.3.4 Решения компании Intel
- •2.4 Комплексное решение на основе кластеризации
- •2.5 Решение на основе front-end/back-end
- •3 Разработка программно-аппаратного комплекса
- •3.1 Выбор концепции для проектирования пак
- •3.2 Архитектура пак
- •4 Экспериментальное исследование пак
- •Заключение
- •Список использованных источников
- •Приложение в Настройка Varnish
1.2 Обнаружение DoS/dDoS-атак
Существует мнение, что специальные средства для обнаружения DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто отмечались успешные атаки, которые были замечены жертвами лишь через 2-3 суток. Бывало, что негативные последствия атаки (типа флуд) заключались в излишних расходах по оплате трафика, что выяснялось лишь при получении счёта. Кроме того, многие методы обнаружения атак неэффективны вблизи цели атаки, но эффективны на магистральной сети. В таком случае целесообразно ставить системы обнаружения именно там, а не дожидаться, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. Прискорбно, что зачастую подобные атаки не блокируются провайдером связи, предоставляющем услуги доступа в Интернет ресурсу-жертве, даже если провайдер однозначно идентифицировал ситуацию как DDoS-атаку, поскольку такое резкое увеличение входящего трафика провайдеру весьма выгодно.
К тому же, для эффективного противодействия необходимо знать тип, характер и другие показатели DoS-атаки, а оперативно получить эти сведения как раз и позволяют системы обнаружения.
Методы обнаружения можно разделить на несколько больших групп:
сигнатурные — основанные на качественном анализе трафика;
статистические — основанные на количественном анализе трафика;
гибридные — сочетающие в себе достоинства двух предыдущих методов.
Опасность большинства DDoS-атак – в их абсолютной прозрачности и «нормальности». Если ошибка в ПО всегда может быть исправлена, то полное использование ресурсов - явление почти обыденное особенно для крупных систем и сетей. С ними сталкиваются многие системные администраторы, когда ресурсов машины, ширины канала становится недостаточно, или web-сайт подвергается слэшдот-эффекту. В таких ситуациях бессмысленно отключать или занижать трафик подключенных пользователей, поскольку это может привести (наверняка) к достаточным потерям клиентурной базы. Более того, злоумышленники зачастую используют «ботнеты» – множество зараженных машины легальных пользователей, которые даже не догадываются о своем месте в проводимой DoS-атаке и практически не регистрируют повышение своей активности в сети.
Выхода из таких ситуаций фактически нет, однако последствия DDoS-атак и их эффективность можно существенно снизить за счет правильной настройки маршрутизатора, брандмауэра и постоянного анализа аномалий в сетевом трафике.
Далее рассмотрены четыре вида атак:
ICMP-flood - наиболее примитивный вид - частый зацикленный «пинг» сервера-жертвы, осуществляемый с нескольких хостов;
использование специальной утилиты DoSattecker – TCP-flood и UDP-flood сервера-жертвы;
использование уязвимости php-скрипта на web-сервере Apache, собранном в учебных целях, посредствам частого перебора пароля доступа к сервису;
запуск брут-форс программы перебора паролей для доступа к локальному ftp-серверу. В качестве данного сервера выступает samba-сервер, обеспечивающий связь атакующих хостов с сервером-жертвой по протоколу SMB.
В каждом отдельном случае представлена статистика нагрузки сервера, сделаны соответствующие выводы и применены индивидуальные методы и средства защиты от каждого вида рассмотренных DDoS-атак.