БЕЗОПАСНОСТЬ
В последнее время DoS-атакам уделяется много внимания, что объясняется их высокой эффективностью и практически полным отсутствием средств защиты от них.
Согласно аналитическим материалам, опубликованным компанией Astanetworks (www.astanetworks.com/tools/dos/index.html), в 2000 г. этого рода атакам было подвергнуто 125 тыс. корпоративных сетей, или 37% компаний, использующих в своей деятельности Интернет. Ущерб, наносимый DoS-атаками, может исчисляться миллионами долларов. Так, по оценке компании Yankee Group (www.YankeeGroup.com), ущерб от одной из атак на сети популярных компаний составил 1,2 млрд. долл. (см., например, Detect, Deflect, Destroy. Internetweek. November 13, 2000. http://www.internetweek.com/indepth/indepth111300.htm).
DoS-атаки в корпоративных сетях
При DoS-атаке в ИС направляется множество запросов с требованием услуги, предоставляемой системой. Их ресурсоемкая обработка не позволяет обслуживать настоящие запросы от клиентов. Сложность защиты от подобного воздействия состоит в том, что невозможно блокировать средства вторжения. Так как вторжение осуществляется через публичный сервис, предоставление которого широкому кругу пользователей является основной задачей системы, то традиционный способ защиты, состоящий в блокировке доступа, недопустим.
Наиболее уязвимы компоненты корпоративной ИС, рассчитанные на публичное предоставление сервисов широкому кругу абонентов. Результатом атаки на систему обеспечения бизнес-процессов может стать нарушение бизнеса компании и, как следствие, финансовые убытки.
Основу корпоративных ИС составляют системы хранения и предоставления информации абонентам. В качестве объединяющей выступает транспортная среда, базирующаяся на стандартных протоколах передачи данных.
Влияние DoS-атак на стек IP
Для нарушения бизнес-процесса достаточно вмешаться в нормальную работу IP-стека устройств. Воздействовать на него посредством DoS-атак можно двумя способами: установить большое число соединений либо сгенерировать большое число запросов на установление соединений.
Установка каждого соединения требует затрат от сервера, предоставляющего ресурсы клиенту. Сначала ресурсы тратятся на активизацию сокета и поддержание его в открытом состоянии (сокет - точка соединения двух процессов, взаимодействующих через IP-сеть), потом, в случае успешного соединения, - на его обслуживание. Большое количество запросов на установление соединения также может привести к исчерпанию ресурсов сервера, например, к переполнению стека или arp-таблиц, устанавливающих соответствие между IP- и MAC-адресами.
Вследствие каждого из перечисленных воздействий система может значительно замедлить работу или полностью стать недоступной (например, из-за нарушения маршрутизации или перезагрузки ОС).
Методика защиты от DoS-атак
В качестве защиты от DoS-атак можно предложить два решения. Первое состоит в оптимизации настройки параметров оборудования с целью сведения к минимуму негативного эффекта от атаки. Второй метод заключается в реализации системы детектирования внешнего воздействия.
Оптимизация настроек оборудования
Основной задачей оптимизации настроек (тюнинга) оборудования является выбор параметров сетевых настроек. В стеке IP есть целый ряд характеристик, прямо или косвенно влияющих на работу оборудования при DoS-атаке.
Доступность сервера при DoS-атаке явно зависит от следующих параметров IP-стека:
- максимально допустимого количества одновременно открытых сокетов;
- максимального времени ожидания соединения по сокетам;
- разрешения/запрещения ответа на ICMP-пакеты.
Этими параметрами можно регламентировать взаимодействие сервера с внешними абонентами. Установка максимального количества открытых соединений и максимального времени ожидания установления соединения позволит устранить возможность утилизации сервера большим количеством соединений. Снизить такой риск можно и путем отключения протокола ICMP, в результате чего сервер будет игнорировать ICMP-запросы.
Кроме того, на работу сервера при DoS-атаке косвенно влияют параметры, определяющие общую производительность системы и безопасность, а также такие параметры, как размер окна, наличие вспомогательных сервисов (Finger, SNMP), время обновления таблиц маршрутизации.
Значение каждого параметра должно быть выбрано в соответствии с задачами соответствующей информационной системы. Например, размер окна на сервере, обслуживающем локальную сеть, где вероятность потери IP-пакетов незначительна, можно установить максимально допустимым - 32 768 (RFC1323 и RFC2018), что совершенно неприемлемо для сервера, обслуживающего интернетовский трафик. Наличие вспомогательных сервисов позволяет увеличить нагрузку на сервер, а в ряде случаев и получить доступ к управлению ресурсами. Большой периода обновления arp-таблиц и таблиц маршрутизации также способствует повышенной утилизации ресурсов.
Определение внешнего воздействия
Количество обращений к ресурсам ИС меняется в течение дня и зависит от времени суток. Эта характеристика показывает активность бизнес-процессов, нормальное протекание которых обеспечивает информационная система, предоставляющая доступ к своим ресурсам. У локальной ИС типовая зависимость числа обращений от времени суток имеет вид гауссовой кривой (рис. 1).
Рис. 1. Вид трафика при нормальном функционировании информационной системы
Вид графика обусловлен интенсивностью протекания бизнес-процессов в информационной системе в различное время суток: минимум активности ночью, быстрый рост числа обращений с началом рабочего дня и последующий спад активности в конце работы.
Если рассмотреть поведение системы на более длительном отрезке времени, то можно увидеть характерные для большинства систем закономерности в изменении интенсивности обращений к системе в зависимости от дня недели (рис. 2).
Рис. 2. Изменение трафика в зависимости от дня недели
Таким образом, наблюдение за состоянием потока обращений к ИС может дать информацию о нормальном ее состоянии. При DoS-атаке системы закон нормального функционирования ИС (см. рис. 1) будет искажен из-за внешнего воздействия (рис. 3).
Рис. 3. Форма потока входных воздействий на систему
Следовательно, защита от DoS-атак может быть построена на основе анализа источников избыточного трафика и запрета его передачи.
Каждая из предложенных технологий имеет свои достоинства и свои недостатки. Первый метод способствует снижению загрузки системы во время атаки, но не дает возможности устранить воздействие. Вторая методика позволяет установить наличие атаки и в ряде случаев - выявить ее источники. Обе методики дополняют друг друга и при одновременном их использовании можно свести к минимуму негативные воздействия атакующей стороны.
С автором можно связаться по адресу: fox@informsviaz.ru.