|
|
№ 1 январь-февраль 2007 г.
Тема номера:
РАЗВИТИЕ СТАНДАРТА ISO 17799 В РОССИИ
|
ЗАЩИТА ОТ DDOS-АТАК: МЕХАНИЗМЫ ПРЕДУПРЕЖДЕНИЯ, ОБНАРУЖЕНИЯ, ОТСЛЕЖИВАНИЯ ИСТОЧНИКА И ПРОТИВОДЕЙСТВИЯ
А. В. Уланов, аспирант, научный сотрудник научно-исследовательской группы компьютерной безопасности
И. В. Котенко, д. т. н., профессор, руководитель научно-исследовательской группы компьютерной безопасности
СПИИРАН |
|
|
Одним из наиболее критичных по последствиям классов компьютерных атак являются атаки «Распределенный отказ в обслуживании» (Distributed Denial of Service, DDoS), направленные на нарушение доступности информационных ресурсов. Эти атаки осуществляются совместными усилиями множества программных компонентов, размещаемых на скомпрометированных хостах в Интернете. Они могут привести не только к выходу из строя отдельных хостов и служб, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение функционирования сети Интернет. Одной из актуальных задач в области защиты информации является разработка адекватных механизмов защиты от атак DDoS и выработка обоснованных рекомендаций по выбору механизмов, наиболее действенных в конкретных условиях.
В статье дается обзор существующих и перспективных механизмов защиты от атак DDoS. Основное внимание уделяется кооперативным механизмам защиты. Данный обзор не претендует на полноту, но охватывает основные подходы к защите от атак данного класса.
1. Введение
Надежное и безопасное функционирование современных компьютерных систем, базирующихся на использовании Интернета, невозможно без реализации эффективных механизмов защиты, в том числе предупреждения и препятствования выполнению компьютерных атак, их обнаружения, отслеживания источника и противодействия им.
Одной из разновидностей компьютерных атак является атака «Распределенный отказ в обслуживании», в ходе которой злоумышленник сначала компрометирует (взламывает) большое количество сетевых компьютеров (хостов) для запуска на них средств реализации атак «Отказ в обслуживании» (Denial of Service – DoS), а затем реализует одновременное нападение на хост (сеть) – цель атаки.
Основная цель защиты против атак DDoS заключается в препятствовании их реализации, точном обнаружении этих атак и быстром реагировании на них. При этом важно также эффективно распознавать легитимный трафик, который имеет признаки, схожие с трафиком атаки, и обеспечивать надежную доставку легитимного трафика по назначению.
Общий подход к защите от атак DDoS включает реализацию следующих механизмов (или стадий):
- предупреждение атаки;
- обнаружение факта атаки;
- определение источника атаки;
- противодействие атаке.
Предупреждение атаки может заключаться, например, в установке межсетевых экранов, тестировании системы на выявление уязвимостей, выполнении различных организационных мер и т. п.
Обнаружение факта атаки может осуществляться на основе методов или обнаружения аномалий, или обнаружения злоупотреблений. В значительном числе случаев обнаружение выполняется по аномально высокому уровню нагрузки на сеть или узлы, а также по большому трафику по определенному протоколу.
Для определения источника атаки, если в пакетах атаки указан ложный адрес отправителя, используются различные методы отслеживания пакетов. Их реализация возможна при сохранении промежуточными узлами «отпечатков» проходящих пакетов.
Для противодействия атаке применяются новые правила фильтрации, полученные на стадии определения источника, делаются попытки проследить и обезвредить атакующих.
Наиболее развитые механизмы защиты обеспечивают реализацию всех указанных механизмов (стадий).
К настоящему времени разработаны различные схемы классификации механизмов защиты от атак DDoS. Данные схемы задают основные понятия предметной области защиты от атак DDoS, классифицированные по определенным признакам, и отношения между ними. Таким образом, они структурируют предметную область DDoS и облегчают поиск способа защиты. Одна из целей создания схем классификаций состоит в том, чтобы выделить ключевые особенности механизмов защиты, которые помогли бы исследователям в проектировании новых решений в области защиты от DDoS. Одна из наиболее детальных классификаций представлена в статье. Эта классификация охватывает большое количество возможных вариантов признаков классификации атак DDoS. Она создана для анализа этих механизмов с различных точек зрения.
В настоящей работе предложена классификация механизмов защиты от атак DDoS с точки зрения построения перспективной системы защиты, и приводится развернутый анализ механизмов защиты от атак DDoS. При построении перспективной системы защиты важно охватить все стадии последней, использовав при этом проверенные наработки. Предлагаемая классификация призвана помочь в понимании того, какой набор механизмов будет адекватно действовать на протяжении всех стадий защиты.
В статье рассматриваются как реализованные, так и перспективные механизмы защиты от атак DDoS. Несмотря на то что некоторые из них реализуют как обнаружение атак, так и непосредственно защиту от них, в статье эти механизмы представлены по отдельности. Это важно при составлении проекта системы защиты, так как можно выбрать наиболее эффективную и подходящую комбинацию различных механизмов.
Статья построена следующим образом. Во втором разделе рассказывается об атаках DDoS, приводится их классификация и краткая характеристика различных классов атак. В третьем разделе анализируются существующие схемы классификации механизмов защиты от атак DDoS и предлагается классификация, положенная в основу изложения настоящей статьи. Четвертый раздел посвящен описанию основных этапов защиты от DDoS. В пятом разделе механизмы защиты представляются в соответствии с их классификацией по месту защиты. В шестом разделе рассматриваются механизмы защиты, выделенные по способу обнаружения и способу отслеживания атаки. В седьмом разделе характеризуются механизмы предупреждения и противодействия атакам, классифицированные по способу защиты. Восьмой раздел включает обзор кооперативных механизмов защиты. В заключении приводятся результаты проделанной работы.
< ... >
|
|
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|