Методики обнаружения сетевых атак
Для того, чтобы обнаружить несанкционированное сетевое вторжение необходимо проанализировать либо входящий трафик, либо его обобщенные состояния. При атаке сеть зараженных компьютеров (ботнет) посылает одинаковые запросы к хостингу, чаще всего с одинаковой периодичностью. Эти свойства атакующего трафика и положены в основу механизмов обнаружения атак.
На уровне трафика необходимо анализировать данные, которые содержатся в пакетах. Запросы от атакующих хостов содержат одинаковое тело пакетов, различаются лишь их заголовки. Сравнивая пакетные данные можно выбрать из заголовков атакующие адреса, составив базу для дальнейшего блокирования. Недостаток метода заключается в том, что необходимо хранить полный трафик и анализировать его, что приводит к значительным временным затратам, требуются вычислительные мощности и дисковая память.
На практике полный трафик не храниться, обычно сохраняются только его агрегированные состояние, данные о потоках (flow). Они содержат IP адреса отправителей и получателя, номера портов, объем переданной информации, время соединения и т.д. Этот формат позволяет сжать объем хранимой информации в 250 раз.
На уровне потоков также разработаны методы по обнаружению DDoS атак. Начало атаки характеризуется резким ростом числа активных потоков. При этом атакующие IP адреса также генерируют значительное количество потоков. На практике нам доступны данные о потоках, окончившихся за последнюю минуту (или пять, в зависимости от настроек NetFlow). Анализируя этот файл можно выделить данные об атакующих адресах.
На практике оба метода могут комбинироваться, первоначальное обнаружение атаки и ее источников может проводиться с помощью NetFlow. А уточнение методов и точный список атакующих адресов на уровне пакетов.
Чем большее количество запросов отправляет атакующий хост, тем быстрее его можно засечь. Для того, чтобы затруднить обнаружение атаки необходимо постоянное изменение содержания запросов и несоблюдение периодичности запросов. При большом размере ботнета запросы можно делать через значительные промежутки времени, что также затрудняет идентификацию атаки.
Параметры хостинга
Обычно для размещения сайта или портала арендуют серверные и сетевые мощности в дата центре, который обеспечивает, по меньшей мере, минимальные требования к безопасности. Интернет провайдеры и крупные потребители информации могут размещать информационные ресурсы в своей собственной сети, обеспечивая безопасность самостоятельно.
Попробуем сформулировать минимальные требования к веб-хостингу, которые должен предоставлять оператор дата центра. Но до этого остановимся на перечне важнейших переменных, описывающих состояние сети. Эти переменные нам понадобятся в дальнейшем, при вычислении параметров ботнетов и проводимых ими атак [25].
Основная сетевая переменная это суммарная ширина каналов , обеспечивающих связанность информационного сервера. Причем важны обе компоненты сетевого соединения, как емкость входящих каналов , так и исходящих . Причем исходящие каналы даже важнее, так как пользователи именно по ним получают данные.
Следующая группа переменных относится к параметрам веб-сервера(ов), которые осуществляют формирование веб странички для пользователей. Таких параметра три:
- - число одновременно обслуживаемых запросов. То есть, сколько страниц сервер может формировать одновременно. Для стандартных серверов начального уровня (два четырехядерных процессора, 8 GB RAM, RAID SAS 300 GB) этот параметр варьируется от 10 до 20.
- – длина очереди запросов. То есть, сколько запросов на обслуживание может храниться в системе для последующей обработки. Обычно этот параметр равен 500, при превышении этого числа запросы просто отбрасываются без обслуживания.
- – время формирования одной веб странички. Это время, которое тратит сервер, чтобы сгенерировать страничку после начала обработки запроса. Это время очень сильно зависит от типа используемого движка. Статические страницы выдаются почти мгновенно, в то время как CMS Joomla тратит на формирование страницы 280 ms, а CMS Wordpress – 430 ms. Поэтому сайты с наибольшей загрузкой работают на собственных движках.
Попробуем рассчитать теперь разумную суточную загрузку стандартного веб сервера начального уровня с приведенными выше параметрами. Для этого воспользуемся теоремой Литтла:
, (2.3)
то есть, для одних суток число запросов может без проблем достигать
, (2.4)
коэффициент 3 выбран для того, чтобы сгладить суточные пиковые нагрузки. Подставив значения, получим, что такой сервер может без труда сгенерировать не менее миллиона веб страниц в день. В обычных условиях на такой базе можно разместить сотни серверов небольших компаний.
Попробуем оценить верхнюю границу для сетевого трафика такого сервера, при условии, что каждая страница состоит в среднем из 10 файлов средним размером 10 KB. Тогда
Mbps, (2.5)
Ширина исходящего канала сервера может достигать 30 Mbps.
Дата добавления: 2017-03-29; просмотров: 453;