Реферати українською » Информатика, программирование » Розробка та аналіз ефективності засобів відображення розподілених атак


Реферат Розробка та аналіз ефективності засобів відображення розподілених атак

Страница 1 из 7 | Следующая страница

Розробка і аналіз ефективності засобів відбивання розподілених атак


>СОДЕРЖАНИЕ

>СОКРАЩЕНИЯ ІУСЛОВНЫЕОБОЗНАЧЕНИЯ

ЗАПРОВАДЖЕННЯ

1.ОПИСАНИЕ ІВ

1.1 Опис ІВ

1.2 Модель порушника

1.3 Модель загроз

1.3.1. Класифікація загроз відповідно доIT-BaselineProtectionManual

1.3.1.1 Погрози, пов'язані з форс-мажорними обставинами

1.3.1.2 Погрози, пов'язані із вадами організації та управління

1.3.1.3 Погрози, пов'язані із людським чинником

1.3.1.4 Погрози, пов'язані з технічними несправностями

1.3.1.5 Погрози, пов'язані з спланованими діями порушників

1.3.2 Класифікація загроз понарушаемим базовим послуг ІВ

1.3.2.1 Погрози порушення конфіденційності інформації

1.3.2.2 Погрози тріщини інформації

1.3.2.3 Погрози порушення автентичності

1.3.2.4 Погрози порушення спостережливості

1.3.2.5 Погрози порушення доступності ресурсів

1.4 Особливості реалізаціїDoS/DDos атак.TCPSYN атака

1.5 Постановка завдань із захисту від загроз

2. ВІДОМІ МЕТОДИПРОТИВОДЕЙСТВИЯTCPSYNАТАКЕ

2.1TCPSYNcookies

2.2TCPRSTcookies

2.3Floodgate

2.4Предмаршрутизационная фільтрація

2.5Random/OldDrop

2.6Syn-Proxy

2.7Stacktweaking

2.8BlackListing

3.МАТЕМАТИЧЕСКАЯ МОДЕЛЬTCPSYNАТАКИ

3.1 Стислі дані з теорії систем масового обслуговування

3.2 Потік вимогиСМО

3.3. СерверTCP сполуки якСМО

3.4СМО з безліччю обслуговуючих приладів

3.5 Модель, враховує втрату пакетів у мережі

4.МЕТОДИКИСБОРА ДАНИХ

4.1 Визначення часу проходження IP пакета через мережу Internet

4.2 Визначення ймовірності втрати пакетів у мережі

4.3 Визначення інтенсивності вхідного потоку вимог

5. ПРОГРАМНАРЕАЛИЗАЦИЯ

5.1 Особливості установкиSnort

5.2 Внутрішня структураSnort

5.2.1Препроцессори

5.2.2 Модулі виявлення

5.2.3 Модулі виведення

5.3 Розробка модуля виявлення

5.3.1 Структура модуляTcpConnEstTimeChecker

5.3.2 Структура модуляTcpSynFloodPreventionModule

5.3.3 ВзаємодіяTcpConnEstTimeChecker іTcpSynFloodPreventionModule у реалізаціїtcp_syn_flood

ВИСНОВКИ

>ПЕРЕЧЕНЬССЫЛОК

>ПРИЛОЖЕНИЯ


>СОКРАЩЕНИЯ ІУСЛОВНЫЕОБОЗНАЧЕНИЯ

>БД – бази даних

ДСТСЗІ СБУ – Департамент спеціальних телекомунікаційних систем та інформації Служби безпеки України (>Державна службаспеціального зв'язку тазахистуінформації України)

ІВ – інформаційна система коштує

ІТС –информационно-телекомуникационная система

>КЗИ – комплексна захист інформації

КС – комп'ютерну систему

ОС – операційна система

>ОЗУ – оперативне запам'ятовуючий пристрій

ПО – програмне забезпечення

СВ – випадкова величина

>СМО – система масового обслуговування

>ACK –AcknowledgementFlag

>ARP –AddressResolutionProtocol

>ASN.1 –AbstractSyntaxNotationOne

>BO -BackOrifice

>CSV –ComaSeparatedValues

DDo –DistributedDenial of Service

>DNS –DomainName Service

>DoS –Denial of Service

DSL – DigitalSubscriber Line

>FIN –FinalizationFlag

>ICMP – InternetControlMessageProtocol

IDS -IntrusionDetection System

>IPS –Intrusion Prevention System

IP - InternetProtocol

>HTTP –HyperText TransferProtocol

>MSS –MaximumSegmentSize

>OSI – Open SystemInterconnection

>PSH –PushFlag

>RPC –RemoteProcedureCall

>RST –ResetFlag

SMS –SimpleMessage Service

>SYN –SynchronizeFlag

>TCP –TransmissionControlProtocol

>TTL – Time toLive

>UDP –UserDataProtocol

>URG –UrgentFlag

WWW – WorldWide Web


ЗАПРОВАДЖЕННЯ

Нині, важко уявити успішну компанію, не яка використовує в організацію діловодства досягнення науку й техніки у сфері інформаційних технологій. Також інтеграції сучасних технологій сприяє розвиток України відповідної нормативної бази. Однією з перспективних напрямів є розвиток електронного документообігу, інфраструктури відкритих ключів, використання коштів сучасної криптографії органами структурі державної влади, органами місцевого самоврядування, підприємствами, установами, організаціями та т.д. [1,2]. Однією з основних переваг використання таких технологій є значне підвищення ефективності діловодства з допомогою прискорення пошуку необхідної інформації, збільшення швидкості обміну інформацією між, зменшення відсотка загубленою інформації та т.д. Такі кошти криптографії як електронний цифровий підпис здатні забезпечити забезпечення таких базових послуг інформаційних систем як конфіденційність, цілісність інформації та т.д [3]. Проте використання цих коштів дає гарантій забезпечення такої важливою послуги, як доступність ресурсів [3]. Щоб інфраструктура відкритих ключів могла повноцінно функціонувати, необхідно, щоб користувачі системи завжди могли мати доступом до центрам сертифікації різних рівнів.

На жаль, останнім часом дедалі більшого поширення отримав цілий клас атак (>DoS/DDoS), вкладених у відмову у обслуговуванні. Успішна реалізація таких атак дозволяє блокувати доступ користувачів інформаційних систем до ресурсів різних серверів, що саміт може вивести ринок із робочого стану всієї системи.

Однією з способів реалізації атаки типу відмови від обслуговуванні є завантаження всіх ресурсів серверу обробкою величезної кількості хибних запитів. Найчастіше, в організацію таких атак використовуються комп'ютери "мирних" користувачів і їх відома та згоди. Це здійснюється шляхом установки на недостатньо захищені машини шкідливого програмного забезпечення, такого як "троянські коні", "хробаки", комп'ютерні віруси тощо. Потому, як зловмисник зміг інфікувати досить багато вузлів мережі, реалізація розподіленої атаки зводиться до того що, щоб відправити одночасно всім заражених машинам команду,активирующую шкідливе ПО, перетворюючи цим "мирні" комп'ютери в джерело розподіленої атаки.

Нині, організація атак типу відмови від обслуговуванні є досить прибутковим заняттям. Існують два способу отримати фінансове винагороду. У першому випадку за організацію атак платять нечистоплотні конкуренти, метою якого є нанесення удару по репутації інших і організацій. На другому випадках хакери займаються здирством – вибирають жертву, атакують її й вимагають викуп за припинення атаки.

Для дієвої протидії DDo атакам є кілька серйозних перешкод. Зокрема, чимало їх не вимагають встановлення сеансу в зв'язку зі джерелом атаки, значно утрудняє пошук зловмисника. Але у разі затримання хакера, може не отримати заслуженого покарання виду недосконалості законодавства надають у різних країнах [4].

На сьогодні у світі є рішення, які знижуватимуть негативний вплив DDo атак (можеотфильтровиваться до 99% шкідливого трафіку [5]), але такі величезні кошти мають кількома вадами, які обмежують можливості їх використання. По-перше, які використовуються алгоритми є комерційною таємницею розробників, який дає можливості відповідним організаціям сертифікувати продукти. Другим недоліком є висока ціна, недоступна багатьом компаній, і організацій. Наприклад, послуги таких компаній AT&T іMCI у цій галузі коштують близько 12 тисяч доларів намесяц[5].

Із усього вищесказаного видно, що проблему виявлення й протидії DDo атакам є актуальною й вимагає недорогих і найефективніших рішень. У магістерської роботі пропонується методика раннього виявлення однієї з найбільш поширених DDo атак –TCPSYN атаки. У основі цієї методики лежить математична модель, яка описувала взаємодія серверу з клієнтами. Розроблена модель враховує індивідуальні значення різних параметрів, характеризуючих роботу сіті й серверу, що підвищує ефективність виявлення атаки. Діяльність як і пропонується програмна реалізація розробленої методики, подана у вигляді модуля розширення функціональності системі запобігання вторгненьSnort_inline. Таке рішення орієнтоване право на захист критичних ресурсів корпоративної мережі від зазначеної вище атаки.


1.ОПИСАНИЕ ІВ

1.1 Опис ІВ

Як відомо, XXI століття прийнято вважати століттям високих технологій. Важко собі уявити сучасне суспільство, у якому не використовувалися б останні досягнення стрімко що розвивається науку й техніки. Однією з напрямів розвитку сучасної науки є інформаційні технології, з дня на день що відкривали перед людством дедалі нові можливості. Однією з чудових продуктів цих технологій є інформаційні системи (ІВ), повсюдно впроваджуються у всілякі сфери людської діяльності.

Далі під інформаційної системою усвідомимо об'єднану сукупність апаратних, програмно-апаратних і програмних засобів, здійснюють створення, зберігання, обробку та знищення різноманітної інформації, а як і обмін нею шляхом взаємодії між собою [6].

Найбільш знаним прикладом інформаційної системи є глобальна мережу Internet. Вона охоплює своєї павутинням практично всю поверхню земної кулі, відкриваючи для людства колосальну нагоду. Фактично Internet складається з безлічі локальних і глобальних мереж, які належать різним компаніям і підприємствам, пов'язаних між собою різними лініями зв'язку. Internet можна уявити як мозаїки складеної із невеликих мереж різного розміру, які активно взаємодіють одна з іншого, пересилаючи різну інформацію [7].

При низьку вартість послуг (часто це тільки фіксована щомісячна Плата використовувані лінії чи телефон) користувачі можуть одержати доступом до комерційним і некомерційним інформаційним службам практично світових країн. У архівах вільного доступу мережі Internet можна знайти інформацію практично з усіх галузей людської діяльності, починаючи з наукових відкриттів до прогнозу погоди і на найближчий місяць.

Internet надає унікальні можливості дешевої та надійного телефонного зв'язку у світі. Це виявляється дуже зручним для фірм мають своїх філій у світі, транснаціональних корпорацій і структур управління. Зазвичай, використання інфраструктури Internet для міжнародного телефонного зв'язку обходиться набагато дешевше прямий комп'ютерної зв'язку через супутниковий канал чи через телефон.

Електронна пошта – один із найбільш поширених послуг мережі Internet. Посилка листи електронною поштою обходиться набагато дешевше посилки звичайного листи. З іншого боку, повідомлення, надіслане електронною поштою, сягне адресата за стислий період часу (і від кількох десятків секунд), тоді як звичайне лист може дістатися адресата кілька днів тижнів.

Ще однією поширеної послугою Internet є WorldWide Web (WWW) - система до роботи з гіпертекстом. Потенційно вона є найпотужнішим засобом пошуку.Гипертекст з'єднує різні документи з урахуванням заздалегідь заданого набору слів. Наприклад, як у тексті зустрічається нове слово чи поняття, система, що з гіпертекстом, дає можливість можливість перейти до іншому документа, у якому це слово чи поняття розглядається докладніше. WWW часто використовують у ролі дружнього інтерфейсу до баз даних [6].

Щодня зростає залежність успішної роботи компаній від використання сучасних інформаційних технологій, які дають грандіозні можливості. На рис. 1.1 наведено приклад типовою корпоративної мережі компанії, має розгалужену структуру географічно віддалених один від друга філій, [8].


>Рис.1.1 Приклад ІВ

Така ІВ дозволяє, наприклад, проводити конференції з участю співробітників, що працюють у різних найбільших містах і країнах, такою ж легкістю коли б вони перебувають у одному будинку. У цих системах обробляється інформація різного характеру та змісту. Це то, можливо життєво важлива для компанії інформація, приміром, про комерційної діяльності, результати наукових досліджень про, з яких було витрачено багато ресурсів немає і часу й т.д. Вочевидь, що, наприклад, ознайомлення з цими даними конкурентів, можуть призвести до непоправним наслідків, до банкрутства. У зв'язку з цим до інформаційної системі повинні висуватися вимогами з забезпечення деяких базових послуг. Такі послуги розглядатимуться нижче. Тут слід відзначити, що причинами порушення базових послуг може бути як обставини випадкового характеру, і спеціально сплановані дії порушників.

Ця обставина може мати як випадковий, і бути наслідком спланованих дій порушників. Класифікація можливих порушників в ІВ приведено у пункті 1.2.


1.2 Модель порушника

Відповідно до [3], порушник – це користувач, що здійснює не санкціонованого доступу до інформації. Тут слід відзначити, під несанкціонованим доступом до інформації може бути як ознайомлення із нею таки і його редагування і видалення. У даної роботи - це визначення може бути розширена з огляду на те, що зловмисник може бути користувачематакуемой системи. Відповідно до нормативними документами, що діють у Україні, визначено чотири рівні можливостей порушника в ІВ системі [9]:

1. Нульовий рівень – випадковенеспециальное ознайомлення із вмістом інформації.

2. Перший рівень – порушник, має обмежені кошти й самостійно створює кошти й методи атак коштомКЗИ і ІТС, із застосуванням вельми поширеного ПЗ проведено та обчислювальної техніки.

3. Другий рівень – порушник корпоративного типу. Має можливість створення спеціальних технічних засобів, вартість яких співвідноситься з можливими фінансовими збитками у разі втрати, спотворенні і знищеннізащищаемой інформації. Для проведення обчислень можна використовувати локальні обчислювальні мережі.

4. Третій рівень – порушник має науково-технічний ресурс,приравниваемий до науково-технічному ресурсу економічно розвиненої держави.

Методика, запропонована у цій магістерської роботі, орієнтована право на захист від зловмисників нульового, першого і другого рівнів.

У зв'язку з тим, що зловмисники третього рівня мають практично необмежені можливості, захист від реалізованих ними загроз за межі даної роботи.

У пункті 1.3 приведено модель можливих, у аналізованої ІВ загроз.

1.3 Модель загроз

Відповідно до [3], загроза – це будь-які обставини чи події, які можна причиною порушення політики безпеки і (чи) заподіяння шкоди. Збитки може полягати у порушенні властивостей інформації шляхом її руйнації, спотворення чи несанкціонованого ознайомлення, або у руйнуванні, спотворенні чи несанкціонованому використанні ресурсів системи. Джерелами загроз можуть бути різні об'єкти і явища, значно утрудняє їх облік при побудові комплексної системи захисту. У зв'язку з цим у у світовій практиці прийнято будувати модель загроз, у якій наводиться класифікація можливих загроз, їх письмо речей та кошти можливої реалізації.

1.3.1 Класифікація загроз відповідно доIT-BaselineProtectionManual

Однією з кращих документів мають у цій галузі класифікації загроз є [10]. У цьому вся стандарті наводиться перелік можливих загроз, а як і рекомендуються організаційні і технічні заходи захисту від них. У наведеній в [10] класифікації всі загрози розділені п'ять основних груп:

1. Погрози, пов'язані з форс-мажорними обставинами

2. Погрози, пов'язані із вадами організації та управління

3. Погрози, пов'язані із людським чинником

4. Погрози, пов'язані з технічними несправностями.

5. Погрози, пов'язані з спланованими діями зловмисників.

Кожна з цих груп містить багато загроз, докладний розгляд яких виходить поза межі цієї роботи, тому нижче наведено лише окремі приклади, дають уявлення проразнообразности загроз.

1.3.1.1 Погрози, пов'язані з форс-мажорними обставинами

>Рассматриваемие у цій групі загрози характеризуються тим, що й джерела важко заздалегідь передбачити й їх прояв носить випадкових характер. Однією з цих загроз є проблеми з персоналом. Збитки у цьому випадку в тому, що хвороба, смерть чи страйки персоналу можуть призвести до переривання виконання критичних завдань, чи виходу з експлуатації критичних ресурсів. Джерелами цілого ряду загроз є ПП як природного (блискавки, пожежі, повені, дощі, магнітні бурі) і техногенного (загоряння кабелів, аварії, порушення систем тепло-, водо-, і електропостачання) характеру. Слід зазначити, що така загрози можуть наносити як безпосередній, і непрямий збитки. Наприклад, під час пожежі устаткування може зазнавати деструктивному впливу тільки від контакту з відкритою вогнем, а й під впливом газових сумішей, які виникають при горінні.

Також до загроз цієї групи ставляться неприпустимі температури і вологість, пилюку і бруд, який можуть призвести до виходу з експлуатації деяких ресурсів інформаційної системи.

Для систем, підсистеми яких тісно пов'язані між собою, серйозними погрозами є відмови і збої у системі. Відмова у роботі однієї з компонентів може викликати у себе збій роботи лише механізму. Прикладом такої загрози то, можливо різкий стрибок напруги в електромережі, результатом якої може бути вихід із лад блоку харчування однієї з критичних ресурсів системи. Через війну цей ресурс може бути недоступним для всієї системи на тривалий час. Ще однією

Страница 1 из 7 | Следующая страница

Схожі реферати:

Навігація