4.2. Моделирование процесса реализации атаки «Отказ в обслуживании» (syn-flood)

SYN-flood атаки, известные также как TCP-flood атаки, обычно осуществляются против серверов. Основная задача таких атак — отказ в обслуживании (DoS). Злоумышленник посылает большое количество SYN-пакетов на целевой хост по порту сервиса, который он хочет приостановить, от имени произвольных IP-адресов [3]. Так как SYN-пакеты используются в тройном рукопожатии при установлении TCP-соединения, целевой хост отвечает на них пакетами SYN-ACK, резервирует место в буфере под каждое соединение и ждет ответного пакета ACK, который должен завершить соединение, в течение некоторого промежутка времени [2,3,40].

Пакет-подтверждение SYN-ACK передается на ложный адрес источника SYN-пакета, в произвольную точку сети и либо вовсе не найдет адресата, либо будет просто проигнорирован. В результате, при постоянном потоке SYN-запросов, целевой хост будет постоянно держать свой буфер заполненным ненужным ожиданием завершения полуоткрытых ложных соединений и не сможет обработать SYN-запросы от настоящих легальных пользователей.

Смоделируем данную атаку с помощью сети Петри-Маркова. Обозначения элементов этой сети приведены ниже, s_i — позиции, t_j — переходы:

s₁ — C готов,

t₁ — запуск и настройка программы для SYN-flood,

s₂ — A готов принять пакеты SYN с несуществующим обратным адресом в очередь неоткрытых соединений,

s₃ — программа запущена и настроена,

t₂ — отправка пакетов SYN и постановка их в очередь A,

s₄ — запросы поставлены в очередь ожидаемых соединений A,

t₃ — переполнение очереди A,

s₅ — A не в состоянии обрабатывать другие запросы.

Вид данной сети представлен на рис. 4.5.

Рис. 4.5. Вид сети Петри-Маркова для атаки SYN-flood

Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:

Для данной сети Петри-Маркова имеет место следующая система интегро-дифференциальных уравнений [60,62]:

(4.6)

Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид (4.2) при i1,…,5; j1,…,3: f_sitj_ije_ijt.

Для оценки среднего времени реализации данной атаки необходимо учесть следующие показатели: s — размер очереди для полуоткрытых TCP-соединений, T — время нахождения соединения в очереди, R — интенсивность посылки SYN-пакетов злоумышленником.

Необходимо вычислить число повторений отправки злоумышленником пакетов, которое приведет к переполнению очереди атакуемого хоста. В случае, когда TRs это число n≤s.

Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:

₃₂nT,

₁₁₁₃₂,

(4.7)

₂₄₃,

где исходные параметры атаки принимают следующие значения:

₁₁11 с — среднее время настройки программы,

s10 — размер очереди соединений для Windows XP,

T_с75 с — среднее время ожидания установления соединения,

R100 — число SYN-пакетов, поступающих в очередь за секунду.

Таким образом, злоумышленнику необходимо повторить передачу SYN-пакета в среднем n10 раз.

Среднее время подготовки, отправки и постановки пакета в очередь с учетом интервала между пакетами равно T_п0,015 с.

Без применения мер защиты от данной атаки время перехода атакуемого хоста в недоступное состояние стремится к нулю: ₃₂→0. Тогда среднее время перехода по всей сети равно:

nT₁₁100,0151111,15 c.

Зависимость вероятности реализации атаки от времени приобретает вид, представленный на рис. 4.6.

P(t)1e_t/11,15

P(t)

Рис. 4.6. Зависимость вероятности реализации атаки SYN-flood от времени

Особое внимание следует уделить тому, что данная зависимость учитывает этап запуска и настройки программы, который имеет гораздо большее среднее время, чем все остальные этапы.

Рассмотрим вероятностные характеристики реализации атаки при применении мер противодействия.

1. Использование межсетевого экрана (для межсегментной атаки). В настоящее время работа по противодействию таким атакам возложена на межсетевые экраны. Когда извне приходит SYN-пакет, межсетевой экран не пропускает его во внутреннюю сеть, а сам отвечает на него от имени сервера назначения. Если соединение с внешним клиентом все же устанавливается, то он создает соединение с сервером от имени клиента, и в дальнейшем выступает как невидимый посредник, о котором ни внутренний сервер, ни внешний клиент не догадываются [49].

В случае если ответ от клиента на SYN-ACK-пакет в определенный промежуток времени не получен, то оригинальный SYN-пакет не будет передан внутрь сети.

Для данной модели применение межсетевого экрана влечет уменьшение вероятности ₂₂ перехода d₂₂, значение которой зависит от типа и особенностей функционирования сети и межсетевого экрана.

2. Использование механизма SYN-cookies. При использовании SYN-cookies в качестве меры противодействия рассматриваемой атаке при данной интенсивности запросов хост остается доступным для легитимных соединений даже при переполнении очереди ожидания, защищаемый хост становится практически неуязвим к атаке SYN-flood [51]. В рассматриваемой модели это выражается как стремление вероятности ₃₄ перехода d₁₁ к нулю.

3. Уменьшение времени ожидания ответов. При уменьшении времени ожидания ответов до 10 с, n10.1, что существенно не изменяет вероятность реализации атаки при данном размере очереди и интенсивности.

4. Увеличение очереди запросов. При увеличении очереди запросов (например, при установке ОС Windows Server 2003, s65000) для успешной реализации атаки интенсивность запросов должна иметь такое значение, при котором очередь заполнится до истечения времени ожидания соединения, поскольку затем пакеты будут удаляться из очереди с такой же интенсивностью, т.е. Rs_/T_с, в данном случае R866 при T_с75, что больше соответствует распределенной атаке с участием нескольких машин злоумышленника (DDoS).

Для размера очереди s65000 и интенсивности атак R1000 среднее время реализации атаки 88 с, а вид зависимости показан на рис. 4.7.

P(t)1e_t/88

P(t)

Рис. 4.7. Зависимость времени реализации атаки SYN-flood при увеличенной очереди ожидания соединений и интенсивности запросов 1000 в секунду

При динамическом увеличении очереди запросов время и возможность реализации атаки определяется ресурсами системы. Известно, что для поддержания одного полуоткрытого соединения в очереди ОС может требоваться память до 30 кбайт, поэтому при наличии на хосте серверной ОС имеется возможность поддерживать ожидание достаточно большого числа соединений.