2.2 Моделирование процесса реализации атаки «Отказ в обслуживании» (syn-flood)
SYN-flood атаки, известные также как TCP-flood атаки, обычно осуществляются против серверов. Основная задача таких атак — отказ в обслуживании (DoS). Злоумышленник посылает большое количество SYN-пакетов на целевой хост по порту сервиса, который он хочет приостановить, от имени произвольных IP-адресов [3]. Так как SYN-пакеты используются в тройном рукопожатии при установлении TCP-соединения, целевой хост отвечает на них пакетами SYN-ACK, резервирует место в буфере под каждое соединение и ждет ответного пакета ACK, который должен завершить соединение, в течение некоторого промежутка времени [2, 3, 40].
Пакет-подтверждение SYN-ACK передается на ложный адрес источника SYN-пакета, в произвольную точку сети и либо вовсе не найдет адресата, либо будет просто проигнорирован. В результате, при постоянном потоке SYN-запросов, целевой хост будет постоянно держать свой буфер заполненным ненужным ожиданием завершения полуоткрытых ложных соединений и не сможет обработать SYN-запросы от настоящих легальных пользователей.
Смоделируем данную атаку с помощью сети Петри-Маркова. Обозначения элементов этой сети приведены ниже, si — позиции, tj — переходы.
s1 — C готов,
t1 — запуск и настройка программы для SYN-flood,
s2 — A готов принять пакеты SYN с несуществующим обратным адресом в очередь неоткрытых соединений,
s3 — программа запущена и настроена,
t2 — отправка пакетов SYN и постановка их в очередь A,
s3 — запросы поставлены в очередь ожидаемых соединений A,
t3 — переполнение очереди A,
s4 — A не в состоянии обрабатывать другие запросы.
Вид данной сети представлен на рисунке 2.5.
Рисунок 2.5 — Вид сети Петри-Маркова для атаки SYN-flood
Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:
|
|
t1 |
t2 |
t3 |
|
1 |
0 |
0 |
|
s2 |
0 |
1 |
0 |
|
s1 |
1 |
1 |
0 |
|
s4 |
0 |
s1t2∩s3t2 |
1 |
|
s5 |
0 |
0 |
1 |
Для данной сети Петри-Маркова имеет место следующая система интегро-дифференциальных уравнений [60, 62]:
(2.8)
Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:
где λij=1/τij, где τij (i = 1..5, j = 1..3) – средние времена вышеперечисленных действий соответственно.
Для оценки среднего времени реализации данной атаки необходимо учесть следующие показатели:
s — размер очереди для полуоткрытых TCP-соединений,
T — время нахождения соединения в очереди,
R — интенсивность посылки SYN-пакетов злоумышленником,
необходимо вычислить число повторений отправки злоумышленником пакетов, которое приведет к переполнению очереди атакуемого хоста. В случае, когда TR >> s, это число n ≤ s.
Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
,
(2.9)
.
Выберем следующие исходные параметры атаки:
Среднее время настройки программы τ11 = 11 с.
s = 10 — размер очереди соединений для Windows XP,
T = 75 с — среднее время ожидания установления соединения,
R = 100 — число SYN-пакетов, поступающих в очередь за секунду.
Таким образом, злоумышленнику необходимо повторить передачу SYN-пакета в среднем n = 10 раз.
Среднее время подготовки, отправки и постановки пакета в очередь с учетом интервала между пакетами T = 0,015 с.
Без применения мер защиты от данной атаки время перехода атакуемого хоста в недоступное состояние τ32 → 0.
с.
. (2.10)
Зависимость вероятности реализации атаки от времени приобретает вид, представленный на рисунке 2.6.
Рисунок 2.6 — Зависимость вероятности реализации атаки SYN-flood от времени
Особое внимание следует уделить тому, что данная зависимость учитывает этап запуска и настройки программы, который имеет гораздо большее среднее время, чем все остальные этапы.
Рассмотрим вероятностные характеристики реализации атаки при применении мер противодействия.
1) Использование межсетевого экрана (для межсегментной атаки)
В настоящее время работа по противодействию таким атакам возложена на межсетевые экраны. Когда извне приходит SYN-пакет, межсетевой экран не пропускает его во внутреннюю сеть, а сам отвечает на него от имени сервера назначения. Если соединение с внешним клиентом все же устанавливается, то он создает соединение с сервером от имени клиента, и в дальнейшем выступает как невидимый посредник, о котором ни внутренний сервер, ни внешний клиент не догадываются [49].
В случае если ответ от клиента на SYN-ACK-пакет в определенный промежуток времени не получен, то оригинальный SYN-пакет не будет передан внутрь сети.
Для данной модели применение межсетевого экрана влечет уменьшение вероятности перехода d22 π22 , значение которой зависит от типа и особенностей функционирования сети и межсетевого экрана.
2) Использование механизма SYN-cookies
При использовании SYN-cookies в качестве меры противодействия рассматриваемой атаке при данной интенсивности запросов хост остается доступным для легитимных соединений даже при переполнении очереди ожидания, защищаемый хост становится практически неуязвим к атаке SYN-flood [51]. В рассматриваемой модели это выражается как стремление вероятности перехода π34 к нулю.
3) Уменьшение времени ожидания ответов
При уменьшении времени ожидания ответов до 10 с, n = 10,1, что существенно не изменяет вероятность реализации атаки при данном размере очереди и интенсивности.
4) Увеличение очереди запросов
При увеличении очереди запросов
(например, при установке ОС Windows
Server 2003, s = 65000)
для успешной реализации атаки интенсивность
запросов должна иметь такое значение,
при котором очередь заполнится до
истечения времени ожидания соединения,
поскольку затем пакеты будут удаляться
из очереди с такой же интенсивностью,
т.е.
,
в данном случае при T = 75
R > 866,
что больше соответствует распределенной
атаке с участием нескольких машин
злоумышленника (DDoS).
Для размера очереди s = 65000 и интенсивности атак R = 1000 среднее время реализации атаки τ = 88 с, а вид зависимости показан на рисунке 2.7.
(2.11)
Рисунок 2.7 — Зависимость времени реализации атаки SYN-flood при увеличенной очереди ожидания соединений и интенсивности запросов 1000/с.
При динамическом увеличении очереди запросов время и возможность реализации атаки определяется ресурсами системы. Известно, что для поддержания одного полуоткрытого соединения в очереди ОС может требоваться память до 30 кбайт, поэтому при наличии на хосте серверной ОС имеется возможность поддерживать ожидание достаточно большого числа соединений.