КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Механизмы защиты от Dos-атак
Рецепта эффективной защиты от таких атак, к сожалению, не существует. Но можно предпринять ряд мер, направленых на снижение вероятности таких атак
Проблема блокирования каналов связи и маршрутизаторов наиболее эффективно может быть решена только на уровне провайдеров. В первую очередь, с помощью механизма "контроля качества сервиса" (Quality of Service). Имеющиеся на сегодняшний день технические средства позволяют выделить гарантированную ширину канала под каждый конкретный сервис. Однако применение таких ограничений может повлиять на использование жизненно важных протоколов, например DNS в случае установления максимальной ширины канала для UDP пакетов. Кроме того, ограничение ширины канала для UDP сильно испортит или даже блокирует работу по многочисленным мультимедийным протоколам, а также для телефонии. Тем не менее из двух зол выбирают меньшее. Другой способ борьбы – установление фильтров по IP адресам источников в случае обнаружения атак с этих хостов. При этом не стоит забывать, что установка подробных фильтров не всегда может помочь, поскольку эта информация в заголовках пакетов может быть легко подделана.
Механизм контроля полосы пропускания поддерживается Cisco роутерами. Существуют неплохие реализации такого матобеспечения для FreeBSD и Linux. Следует отметить, что для протокола TCP средств роутеров CISCO явно недостаточно, поскольку для эффективной защиты роутер должен отслеживать состояние каждого проходящего через него соединения, что недопустимо для магистрального маршрутизатора. Один способом борьбы – фильтрация внутреннего трафика (из внутренних сетей в Интернет), в котором используются подмененные IP адреса (адреса, не относящиеся к внутренним сетям). Такой прием применяется довольно часто, поскольку в большинстве случаев для атаки используется только первоначальный SYN пакет, обратный трафик (который не дойдет до хоста отправителя) роли не играет.
Еще одним механизмом повышения "живучести" провайдеров является использование последними различных магистральных каналов (multihome), что позволяет автоматически в случае вывода из строя одного канала переключиться на другой. Эффективной борьба с таким типом DoS-атак может быть только при тщательном контроле за использованием всех основных сетевых ресурсов. После печально известных взломов серверов Yahoo и CNN Федеральное Бюро Расследований США взяло под свое наблюдение большое количество сетей в США (особенно в edu домене).
Конечные пользователи повлиять на пропускную способность канала провайдера не в состоянии. При обнаружении ими такой атаки большую роль сыграет хорошо налаженное взаимоотношение с провайдером, который может быстро установить соответствующие фильтры и включить запись статистики (как правило из-за экономии места на диске такая статистика пишется только при необходимости).
Защита от атак, использующих ошибки в стеке TCP/IP, как правило, заключается в своевременном получении информации о таких уязвимых местах (недостатка в списках рассылки или серверах, где можно найти такую информацию, нет) и в установке патчей (или коррекции конфигурации). Помочь может также установка межсетевого экрана, который в состоянии запретить доступ в сеть большинству таких опасных пакетов.
Защита от атак, основанных на переполнении ресурсов системы или приложения, – в правильном выборе ресурсов системы. К сожалению, большая часть серверных компонентов сервисов и операционных систем не обеспечивает контроля за количеством соединений с одного адреса. Этим может воспользоваться атакующий, создав несколько тысяч соединений с сервером (законных с точки зрения политики доступа). Как правило, такая атака приводит к полной блокировке сервиса, а в некоторых случаях и всей работы сервера. Если в такой атаке задействовано несколько машин (источников соединений), то последствия будут скорее всего печальными. В этой ситуации единственная надежда на грамотного администратора, предусмотревшего достаточный запас производительности аппаратной части, ресурсов в ядре, скорости обработки запросов на соединения операционной системой и поведением приложения в этой ситуации. Если скорость работы велика, ядро содержит достаточно выделенного места под таблицы, файловые дескрипторы и т.п., а приложение отбрасывает соединения, превышающие максимальный лимит, то сервер вполне в состоянии устоять при такой атаке.
Для того чтобы бороться с DoS-атаками, необходимо уметь их обнаруживать. Это далеко не тривиальная задача – многие сервисы протоколируют только установленные соединения. Например, при использовании популярного Web- сервера APACHE можно ничего и не обнаружить простым взглядом на системный журнал, поскольку там отображаются только полученные запросы. То есть, до тех пор, пока сервер не получит от клиента что-то вроде GET /, в логах не видно ничего, в то время, как соединение будет жить довольно долго, занимая свою строку в ограниченных по объему системных таблицах.
Отдельно надо сказать о системах обнаружения атак (IDS – Intrusion Detection Systems). В настоящее время существует довольно большое число коммерческих систем, которые позволяют обнаруживать такие атаки по целому ряду признаков. Иногда IDS интегрируется с межсетевым экраном или роутером. Опасность от такой "интеграции " трудно переоценить – она дает возможность злоумышленнику заставить межсетевой экран фильтровать трафик от "честных" сетей. К сожалению, протестировать эффективность IDS (в большинстве своем весьма и весьма недешевых) нам пока не довелось. Но очевидно, что возможность сбора и анализа подозрительного сетевого трафика снижает время реакции службы безопасности и позволяет с минимальной задержкой принять соответствующие меры.
Подведем итоги вышесказанного: полностью защититься от атак "отказ в обслуживании" нельзя. Но можно снизить вероятность успешной атаки или время, которое необходимо затратить на восстановление нормальной работы и доступности системы. Для этого может быть полезным ряд рекомендаций.
- Привлечение серьезных технических специалистов и специалистов в области информационной безопасности для наиболее сложных работ (выбор систем защиты, их настройка, информационное сопровождение, анализ статистики при взломе (если он таки произошел)).
- Использование по возможности более широкого канала связи с провайдером.
- Использование "серьезного" провайдера, с хорошими каналами (желательно несколькими), грамотно и быстро отвечающими на запрос о помощи администраторами.
- Использование надежных и эффективных операционных систем на сервере, не прельщаясь графическими интерфейсами, проверенного матобеспечения.
- Использование квалифицированного системного администратора, желательно подчиняющегося службе безопасности.
- Наличие межсетевого экрана достаточной производительности и хорошими техническими характеристиками.
|
Дата добавления: 2014-01-06; Просмотров: 351; Нарушение авторских прав?; Мы поможем в написании вашей работы!