SlideShare a Scribd company logo

86101

Download as DOCX, PDF
А
Александър Димитров

How to prevent from DOS attacks

Education
1 of 10
Реферат Тема: Как да се предпазим от Denial of Service атаки? Изготвил: Проверил: Александър Емилов Димитров доц. д-р Стефан Дражев Фак. №: 86101 ас. Радка Начева спец., „ИТИБ“, 5 курс, дист. обучение Варна 2015 Икономическиуниверситет – Варна Катедра “Информатика”
1 Съдържание Увод ............................................................................................................2 I. Мрежови техники .................................................................................3 II. Локални техники .................................................................................4 III. Превантивни действия......................................................................5 IV. Блокиране на трафика.......................................................................6 V. Анализ на трафика .............................................................................6 VI. Контра мерки......................................................................................7 Заключение................................................................................................9
2 Увод Атака за отказ на услуга (denial-of-service attack, съкратено DoS attack — DoS атака) е опит даден ресурс, предоставян от компютър (наричан жертва), да бъде направен недостъпен за целевите му потребители. Атаката може да бъде чрез изтощаване на ресурси или чрез възползване от грешка в софтуера на жертвата. Най-често биват атакувани популярни уеб сървъри, като целта е те да станат недостъпни от Интернет. Според Борда на архитектите на Интернет, това действие е компютърно престъпление, нарушаващо Етиката в Интернет. Всички компании с Интернет присъствие са еднакво застрашени от този тип атаки, без значение от техния мащаб. Малките не могат да инвестират в скъпи решения за защита и дори малка DoS (denial-of-service) атака може да влоши качеството на предлаганите услуги. Големите компании разчитащи на облачни услуги и ресурси също са много зависими от Интернет свързаността. При тях, една DoS атака за препълване на каналите ще възпрепятства изпълнението на обичайни задачи. Ефективната защита против DoS атаки включва аспекти започващи от стила на писане на компютърни програми, минава през тяхното конфигуриране, физическото изграждане на компютърните мрежи и избора на сървърно оборудване и стига до компетентността, както на атакуващата, така и на атакуваната страна. Тъй като няколко компютърни системи могат да ползват обща мрежова инфраструктура, освен атакуваната система и други могат да бъдат засегнати, въпреки че не са прекият обект на атаката. Щетите от такива атаки, могат да бъдат от забавяне на отварянето на WEB сайтове, напълно неработещи програми разчитащи на комуникация с други компютри до незаконни действия, които остават прикрити и др. При този вид атаки не се изтриват, променят или крадат файлове от системата, нито се придобива достъп до нея, но въпреки това те могат да са причина за съществени финансови загуби за компании зависещи в голяма степен от присъствието си в Интернет или от наличието на информация в реално време. С развитието на мрежовото оборудване и техниките за управление на Интернет трафика се усъвършенстваха и начините за осигуряване на отказоустойчивост, висока ефективност и разпределение на натоварването за да може нарасналият брой Интернет
3 потребители да получава качествени Интернет услуги. Разрастването на доставчиците на свързаност и съдържание върху няколко континента и изграждането на собствени високоскоростни мрежи, осигурява по-къс път на трафика между две произволни точки. По този начин една компания може да контролира по-голяма част от пътя на трафика и да реагира по-ефективно при възникване на проблеми. I. Мрежови техники Конкретен пример са мрежите за доставка на съдържание (content delivery networks, CDN) и доставчиците на свързаност от ниво 1 и 2 (Tier 1 и 2 ISP). CDN мрежите създават няколко копия на статичното съдържание, разположени в различни точки на света, намалявайки закъснението при достъпа до него, като клиентите биват препращани към най-близкия до тях сървър. В този случай една разпределена DoS атака ще се разклони към различни сървъри и ефективността й ще намалее. Виртуализацията и изолацията на сървърите в облачният компютърен модел, дават възможност за миграция на услугите и ресурсите от едно физическо място на друго без да е нужно клиентите да променят работата си. В този случай е трудно за атакуващия да разбере къде физически се изпълнява услугата. Дори и атаката да е насочена към конкретен IP адрес, това не означава, че тя ще удари точно този адрес. Това се постига чрез използване на BGP протокола в маршрутизаторите и anycast (от точка до точка от няколко възможни) IP адреси на системите. Трафикът към такъв адрес се пренасочва към някой от вторичните адреси в групата. Изборът на конкретен адрес може да зависи от критерии като географско разположение, натоварване на подсистемите, закъснение и др. В крайна сметка обработката на заявка и връщането на отговор на клиента се извършва от система с конкретен IP адрес. Зад този адрес обаче може да стои компютърен клъстер. Тук отново натоварването се разпределя върху няколко сървъра. Избирането на конкретен сървър зависи от различни фактори, което смекчава допълнително негативните ефекти от DoS атаката. Комбинирането на няколко мрежови техники на различните нива в една голяма система увеличава допълнително устойчивостта й на DoS атаки.
4 Осигуряването на няколко комуникационни канала през различни доставчици за нашите системи, т.е. създаването на multihomed сървъри или мрежи и използването на Multipath TCP протокола, позволява при отпадане или претоварване на една от връзките, останалия трафик да се насочи през другите канали и изобщо маршрути. Така евентуалните задръствания могат да се заобиколят или поне ефектите от тях да се намалят. Тук сървърите трябва да са свързани чрез отделни мрежови интерфейси, всеки със собствен маршрутизатор или комутатор, за да се избегне създаването на една точка, сриването на която да предизвика отказ на цялата система. II. Локални техники Като стандартно решение може да се посочи осигуряването на няколко пъти повече ресурси, отколкото са нужни за нормалното функциониране на системата, които ще осигурят работоспособността й дори и при атака. Какви ресурси обаче можем да си позволим! Защитата на даден сървър се състои от три компонента. Първият компонент включва подобряване на общата сигурност, надеждност и производителност на машината. Това е превантивна мярка намаляваща вероятността за успешна атака и евентуалните щети. Вторият компонент включва блокирането на фалшивия трафик първо на входа на нашата мрежа, за да се възстанови нормалната й работа и да не се затрудняват следващите действия на персонала. След това фалшивият трафик трябва да се блокира, колкото се може по-далеч от периметъра ни, за да изчистим и комуникационните канали и да възстановим нормалния достъп на потребителите до услугите ни. Третият компонент е провеждането на задълбочен анализ върху записания фалшив трафик за да разберем къде е бил проблема и да отстраним евентуално причините за успешната атака.
5 III. Превантивни действия Превантивните дейности трябва да включват оценка и следващо измерване на натоварването на мрежата и сървърите при нормална работа, както и максималното натоварване без смущения. При установяване на недостатъчен резерв от производителност, следва увеличаване на съответния ресурс, като процедурата може да се повтори. Допълнителен подход е оптимизиране на комуникационните канали, т.нар. пасивна защита. Това означава капацитета на каналите да се разпредели съобразно натоварването в двете посоки. Ако услугите, които предоставяме не изискват голям капацитет в едната посока и особено в посока към нас, може да го намалим за сметка на обратния канал. Така ще ограничим броя входящи заявки, които ще бъдат обработвани, дори и при много голяма атака още при доставчика. Балансирането на комуникационните канали може да е и динамично. Следващата стъпка е оптимизиране на софтуера и мрежовата инфраструктура. Настройките по подразбиране в операционната система и приложния софтуер не са съобразени с нашите условия и тяхната адаптация ще осигури още по-добри производителност, надеждност и сигурност. Постигането на най-добрите резултати включва и експериментиране с различни комплекти параметри. Въпреки гаранциите, че дори и по-време на DoS атака системите ни няма да се претоварят, е добре да поставим ограничения на ресурсите, които даден процес или потребител могат да използват. Така на още едно ниво гарантираме, че системите няма да използват повече ресурси от колкото разполагат. Това увеличава надеждността на системата дори и да сме пропуснали да коригираме някакъв проблем. За да повишим сигурността на системите трябва и да деинсталираме всички софтуерни продукти, които няма да се ползват. Знаейки какви услуги ще предоставяме и техните изисквания разрешаваме само тези протоколи и портове, които са необходими за тяхната работа. Допълнително е добре да блокираме заявки и действия, които не са очаквани при нормална работа на системата. Това могат да бъдат заявки дошли на външен мрежов интерфейс, но с адрес на източника, който не се маршрутизира в Интернет или такъв от вътрешната мрежа, заявки с необичайно голям размер и др.
6 IV. Блокиране на трафика Вторият компонент се активира при регистриране на DoS атака. Тук се използват различни комбинации от чисто филтриращи до извършващи сложни времеви анализи върху трафика системи. Те следят натоварването на отделните компоненти в сървърите и мрежовата инфраструктура и генерират аларми при установяване на нередности. Тези системи попадат основно в две категории: използващи сигнатури (за добре изучени атаки) и откриващи аномалии в трафика или натоварването (за непознати или сложни атаки). Откриването на аномалии разчита на надхвърлянето на прагови стойности за даден параметър. Праговата стойност може да се определи на база типични стойности за дадена задача или протокол или чрез статистически методи при нормално натоварване. Често рязкото увеличаване на броя потребители или заявките за секунда са признак за DoS атака. Каквито и системи да се използват, генерираните правила за филтриране на трафика е добре да съдържат минимален брой параметри. Така се намаляват проверките извършвани върху всеки постъпил в системата пакет, което позволява да се анализира по-голям трафик. Допълнителен подход е използването на списъци с известни и доказани вече източници на зловредни действия, т.н. черни списъци. Добра защита се постига, когато се проверяват всички възможни признаци за наличие на DoS атака, включително и статистическите параметри. Поради големият им брой обаче, тази дейност трябва да се поеме от отделни устройства поставени на входа и изхода на мрежата, за да не се товарят със странична дейност основните системи. V. Анализ на трафика Третият компонент включва записване на част от трафика за по-късен анализ с цел установяване на точния вид атака и начина за нейното избягване, което ще помогне за откриване на съществуващите пропуски в системата. Поради широкия спектър на възможностите за осъществяване на DoS атаки, винаги има пропуски в защитата на компютърните системи и мрежи.
7 VI. Контра мерки Доставчиците на Интернет свързаност могат да ограничат злоупотребата на своите клиенти чрез изпращане на мрежови пакети с фалшифициран адрес, като ги блокират още преди да са напуснали техните мрежи. Допълнителна мярка може да бъде ограничаването на TTL параметъра на изходящите пакети до по-разумни граници, за да се намали вероятността за мрежови задръствания. Друг параметър, който може да бъде ограничен е броя едновременни връзки, които един клиент може да създава, разбира се отново в разумни граници. Контра мерките, които бихме могли да предприемем зависят от местата където е регистрирана атаката. Това са: доставчиците на атакуващата или атакуваната страна или самата атакувана система. За да са ефективни контра мерките, те трябва да се предприемат веднага след регистриране на атаката. След като се установи входният мрежов интерфейс на фалшивия трафик, той трябва да се филтрира още при отсрещния доставчик по посочени параметри. Той от своя страна, може да проследи трафика в своята мрежа и да го блокира на входа й. При желание или съществуваща договорка, той може да се свърже със следващия доставчик и да поиска блокиране на трафика още по-близо до източника му. При разпределена DoS атака обаче, бързо ще се достигне до точка, в която лошият трафик идва по няколко интерфейса. Ако атаката все още продължава, блокирането на няколко по-малки потока ще освободи комуникационен капацитет за легитимния трафик. За жалост и MAC и IP адресите се подправят лесно. При разпределена DoS атака броят им ще е много голям и натоварването на филтриращите системи ще се увеличи, което пак може да доведе до изгубване на легитимните пакети. Ако при анализа на атаката се открият други общи параметри на по-ниско ниво в TCP/IP стека на лошите пакети е по-добре да се филтрира по тях, за да има по-малко правила за проверка при филтрирането. Преодоляването на тези атаки се усложнява значително в случаите, когато протичат няколко различни DoS атаки. Тогава се налага филтрирането на различни видове мрежови пакети насочени към различни услуги. При недостатъчна подготовка за подобни ситуации е възможно усилията на персонала за възстановяване на нормалната работа на системите да не са достатъчно ефективни. Ето защо е много
8 важно да има внедрени автоматични програми следящи трафика и натоварването на различните системни компоненти. Връщането на фалшивия трафик на източника му с цел да го принудим да се откаже, трябва задължително да се избягва, защото подобно е действието на огледалните DoS атаки. Така ние ще станем източник на атака и нашите адреси могат да бъдат блокирани, което ще доведе до отрязване на достъпа ни до мрежата, както и изразходване на ресурсите ни не по предназначение. Тенденцията за осъществяване на все по-сложни атаки изисква предварително проучване на инфраструктурата в целевата мрежа или система. Това включва съставяне на списък с наличните компютри в мрежата и търсене на уязвими места в тях. Обикновено тези действия остават незабелязани, което позволява на злонамерените хакери да съберат богата информация за системите. За да бъдат надхитрени се инсталират виртуални фалшиви сървъри наподобяващи нормални услуги, които обаче не се използват от никой т.нар. honeypots. Така при сканиране на локалната мрежа от външен адрес, фалшивият сървър ще отговори по приемлив начин, но освен това ще запише различни данни за отсрещната страна. Симулирането на услуга, която е лесна за пробиване, ще отвлече вниманието на хакера от действителните производствени системи. Така ще сме сигурни, че сме обект на проучване. Разполагайки със събраните данни за атакуващия, можем да конфигурираме предварително системите за филтриране на трафика от неговия адрес. Освен това ще разполагаме с време за подготовка за евентуална атака. Възможен вариант за справяне с DoS атака е промяната на IP адресите и уведомяване на потребителите ни за промяната. Тази стратегия обаче е приложима за системи с малко на брой предварително известни потребители. Тяхното уведомяване отнема време, но по този начин се избягват напълно негативите от атаката.
9 Заключение Достъпните инструменти за DoS атаки, занижената сигурност при стандартното конфигуриране на софтуера и недостатъчната компетентност на ИТ персонала, създават съвсем реална опасност и са често прилагана тактика за причиняване на загуби на различни компании. За да се намали изложеният на външни атаки периметър трябва да изтеглим защитната линия, колкото се може по-навън, т.е. при доставчика на свързаност. Това може да се постигне чрез договорка с него или ако имаме контрол на параметрите на каналите от страната на доставчика в предварително договорени диапазони. Подборът на услуги премествани в облака трябва да е максимално обоснован, за да не се превърне в точка сриваща цялата дейност на компанията. Колкото повече възможности за DoS атаки отстраним, толкова успешните атаки ще са по-малко. Важно е да се отбележи, че прилаганите методи трябва да се оптимизират спрямо конкретните системи, услуги, тип на трафика и др, за да са максимално ефективни. Наличието на методология за действие при засичане на атака и адекватната подготовка на ИТ персонала допълнително ще улеснят преодоляването на този тип компютърни атаки.

Recommended

Безопасност и защита на VPN
Безопасност и защита на VPNБезопасност и защита на VPN
Безопасност и защита на VPN
Ema Angelova
 
DoS атаки
DoS атакиDoS атаки
DoS атаки
Ивета Димитрова
 
Атака от тип DoS
Атака от тип DoSАтака от тип DoS
Атака от тип DoS
Krasen Hristov
 
Big data security word file 116941
Big data security word file 116941Big data security word file 116941
Big data security word file 116941
borkopinf
 
Методи и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиМетоди и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежи
Dido Viktorov
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
evation
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
Vqra Velinova
 
Vpn mreji 105227
Vpn mreji 105227Vpn mreji 105227
Vpn mreji 105227
SvilenaRRuseva
 

Recommended

Безопасност и защита на VPN
Безопасност и защита на VPNБезопасност и защита на VPN
Безопасност и защита на VPN
Ema Angelova
 
DoS атаки
DoS атакиDoS атаки
DoS атаки
Ивета Димитрова
 
Атака от тип DoS
Атака от тип DoSАтака от тип DoS
Атака от тип DoS
Krasen Hristov
 
Big data security word file 116941
Big data security word file 116941Big data security word file 116941
Big data security word file 116941
borkopinf
 
Методи и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиМетоди и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежи
Dido Viktorov
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
evation
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
Vqra Velinova
 
Vpn mreji 105227
Vpn mreji 105227Vpn mreji 105227
Vpn mreji 105227
SvilenaRRuseva
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
mApTu
 
с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)
ssalieva
 
компютърна защита
компютърна защитакомпютърна защита
компютърна защита
marin georgiev
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
Vqra Velinova
 
10724 vpn
10724 vpn10724 vpn
10724 vpn
Veselin Velichkov
 
Open Free Security Software
Open Free Security SoftwareOpen Free Security Software
Open Free Security Software
LogMan Graduate School on Knowledge Economy
 
Virtual Private Networks Security Presents
Virtual Private Networks Security PresentsVirtual Private Networks Security Presents
Virtual Private Networks Security Presents
LogMan Graduate School on Knowledge Economy
 
Security in cloud computing
Security in cloud computingSecurity in cloud computing
Security in cloud computing
Daniela Chudomirova
 
Безопасност и защита при Cloud Copmputing
Безопасност и защита при Cloud CopmputingБезопасност и защита при Cloud Copmputing
Безопасност и защита при Cloud Copmputing
Деница Петкова
 
Vpn mreji 105227
Vpn mreji 105227Vpn mreji 105227
Vpn mreji 105227
SvilenaRRuseva
 
8.1 the global village
8.1 the global village8.1 the global village
8.1 the global village
jkoryan
 
9114178
91141789114178
9114178
Renny
 
Susanne Fasting - Tag telefonen
Susanne Fasting - Tag telefonenSusanne Fasting - Tag telefonen
Susanne Fasting - Tag telefonen
Jon Lund
 
85 86
85 8685 86
85 86
INTERNATIONAL INDEXED,REFERRED,MULTILINGUAL,INTERDISCIPLINARY, MONTHLY RESEARCH JOURNAL
 
891011
891011891011
891011
margaret16
 
96107
9610796107
96107
Bobby Montenegro
 
8905
89058905
8905
wolf-mozg
 
Making the most of mobile for learning
Making the most of mobile for learningMaking the most of mobile for learning
Making the most of mobile for learning
tbirdcymru
 
Web Applications Security
Web Applications Security Web Applications Security
Web Applications Security
LogMan Graduate School on Knowledge Economy
 
DIPLOMA_MAGISTUR
DIPLOMA_MAGISTURDIPLOMA_MAGISTUR
DIPLOMA_MAGISTUR
Kiril Tsvetanov
 
Bezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqBezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniq
Martin Kenarov
 
FABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin NakovFABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin Nakov
Svetlin Nakov
 

More Related Content

What's hot

Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
mApTu
 
с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)
ssalieva
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
Vqra Velinova
 

What's hot (10)

Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
 
с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)
 
компютърна защита
компютърна защитакомпютърна защита
компютърна защита
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
 
10724 vpn
10724 vpn10724 vpn
10724 vpn
 
Open Free Security Software
Open Free Security SoftwareOpen Free Security Software
Open Free Security Software
 
Virtual Private Networks Security Presents
Virtual Private Networks Security PresentsVirtual Private Networks Security Presents
Virtual Private Networks Security Presents
 
Security in cloud computing
Security in cloud computingSecurity in cloud computing
Security in cloud computing
 
Безопасност и защита при Cloud Copmputing
Безопасност и защита при Cloud CopmputingБезопасност и защита при Cloud Copmputing
Безопасност и защита при Cloud Copmputing
 
Vpn mreji 105227
Vpn mreji 105227Vpn mreji 105227
Vpn mreji 105227
 

Viewers also liked

9114178
91141789114178
9114178
Renny
 
Making the most of mobile for learning
Making the most of mobile for learningMaking the most of mobile for learning
Making the most of mobile for learning
tbirdcymru
 

Viewers also liked (8)

8.1 the global village
8.1 the global village8.1 the global village
8.1 the global village
 
9114178
91141789114178
9114178
 
Susanne Fasting - Tag telefonen
Susanne Fasting - Tag telefonenSusanne Fasting - Tag telefonen
Susanne Fasting - Tag telefonen
 
85 86
85 8685 86
85 86
 
891011
891011891011
891011
 
96107
9610796107
96107
 
8905
89058905
8905
 
Making the most of mobile for learning
Making the most of mobile for learningMaking the most of mobile for learning
Making the most of mobile for learning
 

Similar to 86101

FABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin NakovFABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin Nakov
Svetlin Nakov
 
Защита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетЗащита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернет
Monika Petrova
 
Php sec referat
Php sec referatPhp sec referat
Php sec referat
Dido_mn
 
Безопасност и защита
Безопасност и защитаБезопасност и защита
Безопасност и защита
Fatih Dmrl
 
FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8
Svetlin Nakov
 
безопасности защита на Web application
безопасности защита на Web applicationбезопасности защита на Web application
безопасности защита на Web application
karizka3
 
Inrusion Detection Systems Referat
Inrusion Detection Systems ReferatInrusion Detection Systems Referat
Inrusion Detection Systems Referat
radoatanasov
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection system
klimentina
 
Защита при създаване на PHP приложения в Интернет
Защита при създаване на PHP приложения в ИнтернетЗащита при създаване на PHP приложения в Интернет
Защита при създаване на PHP приложения в Интернет
Anton Shumanski
 
Kурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христоваKурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христова
Ralica Hristova
 

Similar to 86101 (20)

Web Applications Security
Web Applications Security Web Applications Security
Web Applications Security
 
DIPLOMA_MAGISTUR
DIPLOMA_MAGISTURDIPLOMA_MAGISTUR
DIPLOMA_MAGISTUR
 
Bezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqBezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniq
 
FABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin NakovFABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin Nakov
 
Защита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетЗащита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернет
 
Netsec
NetsecNetsec
Netsec
 
Php sec referat
Php sec referatPhp sec referat
Php sec referat
 
Безопасност и защита
Безопасност и защитаБезопасност и защита
Безопасност и защита
 
FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8
 
безопасности защита на Web application
безопасности защита на Web applicationбезопасности защита на Web application
безопасности защита на Web application
 
Inrusion Detection Systems Referat
Inrusion Detection Systems ReferatInrusion Detection Systems Referat
Inrusion Detection Systems Referat
 
Webit 2011 New Cloud Platform
Webit 2011 New Cloud PlatformWebit 2011 New Cloud Platform
Webit 2011 New Cloud Platform
 
FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection system
 
Защита при създаване на PHP приложения в Интернет
Защита при създаване на PHP приложения в ИнтернетЗащита при създаване на PHP приложения в Интернет
Защита при създаване на PHP приложения в Интернет
 
Nadezhda Stavreva
Nadezhda StavrevaNadezhda Stavreva
Nadezhda Stavreva
 
Защита при създаване на Java приложения в интернет
Защита при създаване на Java приложения в интернетЗащита при създаване на Java приложения в интернет
Защита при създаване на Java приложения в интернет
 
VPN Security
VPN SecurityVPN Security
VPN Security
 
Web Services Security
Web Services SecurityWeb Services Security
Web Services Security
 
Kурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христоваKурсова работа БЗКСП ралица христова
Kурсова работа БЗКСП ралица христова
 

86101

  • 1. Реферат Тема: Как да се предпазим от Denial of Service атаки? Изготвил: Проверил: Александър Емилов Димитров доц. д-р Стефан Дражев Фак. №: 86101 ас. Радка Начева спец., „ИТИБ“, 5 курс, дист. обучение Варна 2015 Икономическиуниверситет – Варна Катедра “Информатика”
  • 2. 1 Съдържание Увод ............................................................................................................2 I. Мрежови техники .................................................................................3 II. Локални техники .................................................................................4 III. Превантивни действия......................................................................5 IV. Блокиране на трафика.......................................................................6 V. Анализ на трафика .............................................................................6 VI. Контра мерки......................................................................................7 Заключение................................................................................................9
  • 3. 2 Увод Атака за отказ на услуга (denial-of-service attack, съкратено DoS attack — DoS атака) е опит даден ресурс, предоставян от компютър (наричан жертва), да бъде направен недостъпен за целевите му потребители. Атаката може да бъде чрез изтощаване на ресурси или чрез възползване от грешка в софтуера на жертвата. Най-често биват атакувани популярни уеб сървъри, като целта е те да станат недостъпни от Интернет. Според Борда на архитектите на Интернет, това действие е компютърно престъпление, нарушаващо Етиката в Интернет. Всички компании с Интернет присъствие са еднакво застрашени от този тип атаки, без значение от техния мащаб. Малките не могат да инвестират в скъпи решения за защита и дори малка DoS (denial-of-service) атака може да влоши качеството на предлаганите услуги. Големите компании разчитащи на облачни услуги и ресурси също са много зависими от Интернет свързаността. При тях, една DoS атака за препълване на каналите ще възпрепятства изпълнението на обичайни задачи. Ефективната защита против DoS атаки включва аспекти започващи от стила на писане на компютърни програми, минава през тяхното конфигуриране, физическото изграждане на компютърните мрежи и избора на сървърно оборудване и стига до компетентността, както на атакуващата, така и на атакуваната страна. Тъй като няколко компютърни системи могат да ползват обща мрежова инфраструктура, освен атакуваната система и други могат да бъдат засегнати, въпреки че не са прекият обект на атаката. Щетите от такива атаки, могат да бъдат от забавяне на отварянето на WEB сайтове, напълно неработещи програми разчитащи на комуникация с други компютри до незаконни действия, които остават прикрити и др. При този вид атаки не се изтриват, променят или крадат файлове от системата, нито се придобива достъп до нея, но въпреки това те могат да са причина за съществени финансови загуби за компании зависещи в голяма степен от присъствието си в Интернет или от наличието на информация в реално време. С развитието на мрежовото оборудване и техниките за управление на Интернет трафика се усъвършенстваха и начините за осигуряване на отказоустойчивост, висока ефективност и разпределение на натоварването за да може нарасналият брой Интернет
  • 4. 3 потребители да получава качествени Интернет услуги. Разрастването на доставчиците на свързаност и съдържание върху няколко континента и изграждането на собствени високоскоростни мрежи, осигурява по-къс път на трафика между две произволни точки. По този начин една компания може да контролира по-голяма част от пътя на трафика и да реагира по-ефективно при възникване на проблеми. I. Мрежови техники Конкретен пример са мрежите за доставка на съдържание (content delivery networks, CDN) и доставчиците на свързаност от ниво 1 и 2 (Tier 1 и 2 ISP). CDN мрежите създават няколко копия на статичното съдържание, разположени в различни точки на света, намалявайки закъснението при достъпа до него, като клиентите биват препращани към най-близкия до тях сървър. В този случай една разпределена DoS атака ще се разклони към различни сървъри и ефективността й ще намалее. Виртуализацията и изолацията на сървърите в облачният компютърен модел, дават възможност за миграция на услугите и ресурсите от едно физическо място на друго без да е нужно клиентите да променят работата си. В този случай е трудно за атакуващия да разбере къде физически се изпълнява услугата. Дори и атаката да е насочена към конкретен IP адрес, това не означава, че тя ще удари точно този адрес. Това се постига чрез използване на BGP протокола в маршрутизаторите и anycast (от точка до точка от няколко възможни) IP адреси на системите. Трафикът към такъв адрес се пренасочва към някой от вторичните адреси в групата. Изборът на конкретен адрес може да зависи от критерии като географско разположение, натоварване на подсистемите, закъснение и др. В крайна сметка обработката на заявка и връщането на отговор на клиента се извършва от система с конкретен IP адрес. Зад този адрес обаче може да стои компютърен клъстер. Тук отново натоварването се разпределя върху няколко сървъра. Избирането на конкретен сървър зависи от различни фактори, което смекчава допълнително негативните ефекти от DoS атаката. Комбинирането на няколко мрежови техники на различните нива в една голяма система увеличава допълнително устойчивостта й на DoS атаки.
  • 5. 4 Осигуряването на няколко комуникационни канала през различни доставчици за нашите системи, т.е. създаването на multihomed сървъри или мрежи и използването на Multipath TCP протокола, позволява при отпадане или претоварване на една от връзките, останалия трафик да се насочи през другите канали и изобщо маршрути. Така евентуалните задръствания могат да се заобиколят или поне ефектите от тях да се намалят. Тук сървърите трябва да са свързани чрез отделни мрежови интерфейси, всеки със собствен маршрутизатор или комутатор, за да се избегне създаването на една точка, сриването на която да предизвика отказ на цялата система. II. Локални техники Като стандартно решение може да се посочи осигуряването на няколко пъти повече ресурси, отколкото са нужни за нормалното функциониране на системата, които ще осигурят работоспособността й дори и при атака. Какви ресурси обаче можем да си позволим! Защитата на даден сървър се състои от три компонента. Първият компонент включва подобряване на общата сигурност, надеждност и производителност на машината. Това е превантивна мярка намаляваща вероятността за успешна атака и евентуалните щети. Вторият компонент включва блокирането на фалшивия трафик първо на входа на нашата мрежа, за да се възстанови нормалната й работа и да не се затрудняват следващите действия на персонала. След това фалшивият трафик трябва да се блокира, колкото се може по-далеч от периметъра ни, за да изчистим и комуникационните канали и да възстановим нормалния достъп на потребителите до услугите ни. Третият компонент е провеждането на задълбочен анализ върху записания фалшив трафик за да разберем къде е бил проблема и да отстраним евентуално причините за успешната атака.
  • 6. 5 III. Превантивни действия Превантивните дейности трябва да включват оценка и следващо измерване на натоварването на мрежата и сървърите при нормална работа, както и максималното натоварване без смущения. При установяване на недостатъчен резерв от производителност, следва увеличаване на съответния ресурс, като процедурата може да се повтори. Допълнителен подход е оптимизиране на комуникационните канали, т.нар. пасивна защита. Това означава капацитета на каналите да се разпредели съобразно натоварването в двете посоки. Ако услугите, които предоставяме не изискват голям капацитет в едната посока и особено в посока към нас, може да го намалим за сметка на обратния канал. Така ще ограничим броя входящи заявки, които ще бъдат обработвани, дори и при много голяма атака още при доставчика. Балансирането на комуникационните канали може да е и динамично. Следващата стъпка е оптимизиране на софтуера и мрежовата инфраструктура. Настройките по подразбиране в операционната система и приложния софтуер не са съобразени с нашите условия и тяхната адаптация ще осигури още по-добри производителност, надеждност и сигурност. Постигането на най-добрите резултати включва и експериментиране с различни комплекти параметри. Въпреки гаранциите, че дори и по-време на DoS атака системите ни няма да се претоварят, е добре да поставим ограничения на ресурсите, които даден процес или потребител могат да използват. Така на още едно ниво гарантираме, че системите няма да използват повече ресурси от колкото разполагат. Това увеличава надеждността на системата дори и да сме пропуснали да коригираме някакъв проблем. За да повишим сигурността на системите трябва и да деинсталираме всички софтуерни продукти, които няма да се ползват. Знаейки какви услуги ще предоставяме и техните изисквания разрешаваме само тези протоколи и портове, които са необходими за тяхната работа. Допълнително е добре да блокираме заявки и действия, които не са очаквани при нормална работа на системата. Това могат да бъдат заявки дошли на външен мрежов интерфейс, но с адрес на източника, който не се маршрутизира в Интернет или такъв от вътрешната мрежа, заявки с необичайно голям размер и др.
  • 7. 6 IV. Блокиране на трафика Вторият компонент се активира при регистриране на DoS атака. Тук се използват различни комбинации от чисто филтриращи до извършващи сложни времеви анализи върху трафика системи. Те следят натоварването на отделните компоненти в сървърите и мрежовата инфраструктура и генерират аларми при установяване на нередности. Тези системи попадат основно в две категории: използващи сигнатури (за добре изучени атаки) и откриващи аномалии в трафика или натоварването (за непознати или сложни атаки). Откриването на аномалии разчита на надхвърлянето на прагови стойности за даден параметър. Праговата стойност може да се определи на база типични стойности за дадена задача или протокол или чрез статистически методи при нормално натоварване. Често рязкото увеличаване на броя потребители или заявките за секунда са признак за DoS атака. Каквито и системи да се използват, генерираните правила за филтриране на трафика е добре да съдържат минимален брой параметри. Така се намаляват проверките извършвани върху всеки постъпил в системата пакет, което позволява да се анализира по-голям трафик. Допълнителен подход е използването на списъци с известни и доказани вече източници на зловредни действия, т.н. черни списъци. Добра защита се постига, когато се проверяват всички възможни признаци за наличие на DoS атака, включително и статистическите параметри. Поради големият им брой обаче, тази дейност трябва да се поеме от отделни устройства поставени на входа и изхода на мрежата, за да не се товарят със странична дейност основните системи. V. Анализ на трафика Третият компонент включва записване на част от трафика за по-късен анализ с цел установяване на точния вид атака и начина за нейното избягване, което ще помогне за откриване на съществуващите пропуски в системата. Поради широкия спектър на възможностите за осъществяване на DoS атаки, винаги има пропуски в защитата на компютърните системи и мрежи.
  • 8. 7 VI. Контра мерки Доставчиците на Интернет свързаност могат да ограничат злоупотребата на своите клиенти чрез изпращане на мрежови пакети с фалшифициран адрес, като ги блокират още преди да са напуснали техните мрежи. Допълнителна мярка може да бъде ограничаването на TTL параметъра на изходящите пакети до по-разумни граници, за да се намали вероятността за мрежови задръствания. Друг параметър, който може да бъде ограничен е броя едновременни връзки, които един клиент може да създава, разбира се отново в разумни граници. Контра мерките, които бихме могли да предприемем зависят от местата където е регистрирана атаката. Това са: доставчиците на атакуващата или атакуваната страна или самата атакувана система. За да са ефективни контра мерките, те трябва да се предприемат веднага след регистриране на атаката. След като се установи входният мрежов интерфейс на фалшивия трафик, той трябва да се филтрира още при отсрещния доставчик по посочени параметри. Той от своя страна, може да проследи трафика в своята мрежа и да го блокира на входа й. При желание или съществуваща договорка, той може да се свърже със следващия доставчик и да поиска блокиране на трафика още по-близо до източника му. При разпределена DoS атака обаче, бързо ще се достигне до точка, в която лошият трафик идва по няколко интерфейса. Ако атаката все още продължава, блокирането на няколко по-малки потока ще освободи комуникационен капацитет за легитимния трафик. За жалост и MAC и IP адресите се подправят лесно. При разпределена DoS атака броят им ще е много голям и натоварването на филтриращите системи ще се увеличи, което пак може да доведе до изгубване на легитимните пакети. Ако при анализа на атаката се открият други общи параметри на по-ниско ниво в TCP/IP стека на лошите пакети е по-добре да се филтрира по тях, за да има по-малко правила за проверка при филтрирането. Преодоляването на тези атаки се усложнява значително в случаите, когато протичат няколко различни DoS атаки. Тогава се налага филтрирането на различни видове мрежови пакети насочени към различни услуги. При недостатъчна подготовка за подобни ситуации е възможно усилията на персонала за възстановяване на нормалната работа на системите да не са достатъчно ефективни. Ето защо е много
  • 9. 8 важно да има внедрени автоматични програми следящи трафика и натоварването на различните системни компоненти. Връщането на фалшивия трафик на източника му с цел да го принудим да се откаже, трябва задължително да се избягва, защото подобно е действието на огледалните DoS атаки. Така ние ще станем източник на атака и нашите адреси могат да бъдат блокирани, което ще доведе до отрязване на достъпа ни до мрежата, както и изразходване на ресурсите ни не по предназначение. Тенденцията за осъществяване на все по-сложни атаки изисква предварително проучване на инфраструктурата в целевата мрежа или система. Това включва съставяне на списък с наличните компютри в мрежата и търсене на уязвими места в тях. Обикновено тези действия остават незабелязани, което позволява на злонамерените хакери да съберат богата информация за системите. За да бъдат надхитрени се инсталират виртуални фалшиви сървъри наподобяващи нормални услуги, които обаче не се използват от никой т.нар. honeypots. Така при сканиране на локалната мрежа от външен адрес, фалшивият сървър ще отговори по приемлив начин, но освен това ще запише различни данни за отсрещната страна. Симулирането на услуга, която е лесна за пробиване, ще отвлече вниманието на хакера от действителните производствени системи. Така ще сме сигурни, че сме обект на проучване. Разполагайки със събраните данни за атакуващия, можем да конфигурираме предварително системите за филтриране на трафика от неговия адрес. Освен това ще разполагаме с време за подготовка за евентуална атака. Възможен вариант за справяне с DoS атака е промяната на IP адресите и уведомяване на потребителите ни за промяната. Тази стратегия обаче е приложима за системи с малко на брой предварително известни потребители. Тяхното уведомяване отнема време, но по този начин се избягват напълно негативите от атаката.
  • 10. 9 Заключение Достъпните инструменти за DoS атаки, занижената сигурност при стандартното конфигуриране на софтуера и недостатъчната компетентност на ИТ персонала, създават съвсем реална опасност и са често прилагана тактика за причиняване на загуби на различни компании. За да се намали изложеният на външни атаки периметър трябва да изтеглим защитната линия, колкото се може по-навън, т.е. при доставчика на свързаност. Това може да се постигне чрез договорка с него или ако имаме контрол на параметрите на каналите от страната на доставчика в предварително договорени диапазони. Подборът на услуги премествани в облака трябва да е максимално обоснован, за да не се превърне в точка сриваща цялата дейност на компанията. Колкото повече възможности за DoS атаки отстраним, толкова успешните атаки ще са по-малко. Важно е да се отбележи, че прилаганите методи трябва да се оптимизират спрямо конкретните системи, услуги, тип на трафика и др, за да са максимално ефективни. Наличието на методология за действие при засичане на атака и адекватната подготовка на ИТ персонала допълнително ще улеснят преодоляването на този тип компютърни атаки.