Научно-методическая конференция
«ИНТЕРНЕТ И СОВРЕМЕННОЕ ОБЩЕСТВО»

ОБНАРУЖЕНИЕ РАСПРЕДЕЛЕННЫХ АТАК В СЕТИ ИНТЕРНЕТ

А.А. Алиев, А.В. Последов

Санкт-Петербургский государственный университет
Санкт-Петербург

Создание глобальной сети Интернет повлекло за собой качественно новые проблемы, одной из которых стали атаки хакеров на Интернет-серверы, что привело к необходимости проведения исследований и практических разработок в области защиты информационных систем.

В данном докладе:

• рассмотрены особенности эволюции сетевых атак и средств их обнаружения;
• наиболее детально описаны наиболее современные разновидности сетевых атак - распределенные сетевые атаки (Distributed Denial of Service - DDoS);
• проанализированы проблемы борьбы с DDoS-атаками;
• предложены новые способы обнаружения DDoS-атак.

СЕТЕВЫЕ АТАКИ И ТРАДИЦИОННЫЕ СРЕДСТВА ЗАЩИТЫ ОТ НИХ

Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании того или иного уязвимого места в системе, в нежелательном воздействии на саму систему и на информацию хранящуюся в ней.

Существует два основных типа атак:

• неправомерный доступ (illegal access) - используется для неправомерного доступа к ресурсам атакуемой машины, будь то информация, хранящаяся на ней, или процессорное время. Для защиты от атак данного типа разрабатываются системы разграничения доступа и фильтрации;
• отказ в обслуживании (Denial of Service - DoS) - нарушение правильности работы программного обеспечения. Атака осуществляется путем посылки специальным образом построенных запросов, которые приводят к выходу из строя или к перегрузке сервера, управляющего ресурсами, в результате чего обычные пользователи ресурса не могут получить доступ к нему. DoS-атакам противостоят системы фильтрации с обнаружением сигнатур известных атак.

РАСПРЕДЕЛЕННЫЕ АТАКИ ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ»

На сегодняшний день наиболее актуальны распределенные атаки типа «Отказ в обслуживании» (Distributed Denial of Service). DDoS-атаки на первом этапе используют механизмы несанкционированного доступа для получения большого количества сетевых ресурсов (агентов), которые на втором этапе используются для посылки запросов на атакуемую систему, что, в свою очередь, приводит к отказу в обслуживании.

• Внешне такая атака может ничем не отличаться от увеличения активности пользователей.
• Не существует шаблонов, по которым эту атаку можно узнать, поэтому системы обнаружения сигнатур известных атак бесполезны.

СПОСОБЫ ОБНАРУЖЕНИЯ DDOS-АТАК

Рассмотрим некоторые новые способы обнаружения атак, которые разработаны нами в результате анализа структуры DDoS-систем.

1) Анализ сессий и периодов активности.

Данная эвристика основана на том, что ресурс используется людьми, которым присущи индивидуальные особенности работы в сети. Большинство людей имеет определенный распорядок дня (работа, учеба, семья), который определяет время сетевой активности. Также каждому человеку присущи определенные интересы, это тоже можно использовать для формирования его «портрета поведения» в сети. Благодаря особенностям темперамента и характера человека, можно определить такие параметры, как частота запросов в сессии, промежутки времени между запросами и т.д. Итак, для каждого пользователя ресурса можно определить характерный только для него «портрет поведения».

2) Анализ суточной статистики.

В основе алгоритмов лежит разбиение аудитории ресурса на зоны, характеризующиеся постоянными периодами активности. По сути, данный метод является обобщением предыдущей эвристики.

3) Анализ заголовков сетевых пакетов.

Для повышения эффективности атаки злоумышленник может посылать сетевые пакеты, содержащие нестандартные значения служебных полей. Данная эвристика направлена на выявление таких пакетов среди общего сетевого трафика.

АРХИТЕКТУРА СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК

В качестве основного механизма обнаружения DDoS-атак предлагается использовать интеллектуальную систему, основанную на знаниях. В работе системы можно выделить два основных режима:

• режим приобретения знаний (создание правил на основе статистики работы сервера);
• режим решения задачи (сравнение собранной статистики с текущими данными).

На данный момент не существует коммерческих реализаций подобного подхода. Данная технология является следующим шагом в развитии систем обнаружения атак.

ЛИТЕРАТУРА

1. Householder A., Manion A., Pesante L., Weaver G.M. Managing the Threat of Denial-of-Service Attacks. -CERT(r) Coordination Center, 2001. Статья доступна по адресу: http://www.cert.org/archive/pdf/Managing_DoS.pdf

2. Kevin J. Houle, George M. Weaver. Trends in Denial of Service Attack Technology - CERT(r) Coordination Center, 2001. Статья доступна по адресу: http://www.cert.org/archive/pdf/DoS_trends.pdf

3. Software Engineering Institute, Carnegie Mellon University. Results of the Distributed-Systems Intruder Tools Workshop. - CERT(r) Coordination Center, 2001. Статья доступна по адресу: http://www.cert.org/reports/dsit_workshop.pdf

[Аннотация на английском языке]