OSI modelining L2-L4 darajalarida tarmoq hujumlariga qarshi turish usullari
Trafikni filtrlash tamoyillari klassik usullarga asoslanadi. Avstriyalik olimlarning [80] ishi ulanishni simulyatsiya qilish uchun mijoz va server o'rtasida shlyuzdan foydalaniladigan yondashuvni ko'rib chiqadi. Agar ulanish so'rovi server tomonidan qabul qilinmasa, bunday ulanish noqonuniy hisoblanadi va buzg’unchining IP manzili bloklanadi. Ushbu yondashuv yetarli darajada samarali emas, chunki noto'g'ri ulanishlarni taqlid qilishga urinayotganda, shlyuzning o'zi bloklanishi mumkin. Bundan tashqari, ushbu usulni amalga oshirish qo'shimcha resurslarni talab qiladi.
Shuningdek, statistik filtrlash usullari yordamida ushbu hujumlarga qarshi turish mumkin [81], lekin bu holda, agar hujum aniqlansa, ushbu ulanishdan barcha trafik, shu jumladan qonuniy foydalanuvchilar ham bloklanadi. Bunday hujumlarni aniqlash tamoyili mijozni serverga ulash va javoblarni olish uchun so'rovlarni taqqoslashga asoslanadi. Serverdan ushbu ulanishni tasdiqlash amalga oshirilsa, agar ko'proq so'rovlar bo'lsa [82], u holda bunday ulanish bloklanadi.
OSI modelining tarmoq sathida tarmoq hujumlariga qarshi kurashishga asoslangan yana bir usul taklif etiladi, bu tarmoqdagi yuborilgan paketga teglar [83] qo'shishdan iborat, bu yerda ma'lum bir maxfiy kalit [84] yorliq vazifasini ham bajarishi mumkin. Uning yordamida server foydalanuvchining qonuniyligini tekshirishi mumkin [85]. Ushbu usul TCP protokolini o'zgartirishga asoslangan. Afsuski, buzg’unchilar ushbu kodni buzish va olish holatlarida yoki teglar qalbakilashtirilgan bo'lsa, bu usul ma'nosiz bo'lib qoladi.
Barcha usullarni tahlil qilgandan so'ng, mavjud tizimlarning xavfsizlik me’zonlari va ushbu turdagi hujumlardan tegishli himoya sxemasini tanlash asosida himoyani baholash mexanizmi ishlab chiqildi [86].
Mualliflar EWMA boshqaruv diagrammasi usuliga asoslangan hujumlarga qarshi kurash algoritmini taklif qilishdi [87]. Ushbu usul EWMA boshqaruv jadvallari yordamida anomaliyalarni aniqlash uchun kompyuter tarmog'ining holatini kuzatish tartibiga asoslanadi. Ish jarayonida olingan algoritm qayta yaratilgan kompyuter lokal tarmog'i misolida real vaqt rejimida eksperimental sinovdan o'tkazildi. UDP flud kabi bir qator hujumlar past intensivlikdagi hujumlar bo'lganligi sababli, tarmoq anomaliyalarini aniqlash qiyinlashadi va usulning samaradorligi samarasiz bo'ladi.
[88] da, soxta paketlardan qochish uchun paket sarlavhalariga qo'shimcha ma'lumotlarni - raqamli barmoq izini kiritish orqali qarshi chora ko'riladi. Raqamli barmoq izi oldingi raqamli barmoq izidan xesh funksiyasini, shuningdek, uzatilgan paketning noyob yorlig‘ini o‘z ichiga oladi. Bundan tashqari, kiruvchi paketlar router tomonidan filtrlanadi va ko'p sonli soxta paketlar bilan manzillar bloklanadi. Ushbu usulning kamchiliklari, birinchi navbatda, takomillashtirish zarurati tufayli amalga oshirishning murakkabligi va maxsus jihozlarni joriy etish, shuningdek, agar buzg’unchi tarmoq topologiyasini bilsa, bu usulning samarasizligi bilan izohlanadi.
[89] ishda tarmoq hujumlarini ro'yxatga olish uchun dasturiy ta'minot agentidan foydalanishni ko'rib chiqadi. Ushbu yondashuv kiruvchi paketlar tezligini va tarmoq trafigining maqsad manzillari entropiyasini tahlil qilishga asoslangan. Mualliflar, tarmoqning normal holatida tarmoq trafigining entropiyasi noldan katta, kiruvchi paketlarning paydo bo'lish tezligi esa past, aks holda hujum paytida entropiya nolga moyil bo'ladi, deb taxmin qilishadi.. Eksperimental tarzda, bu yondashuv past tezlikda yaxshi samaradorlikni ko'rsatdi, lekin 100 Gb/s gacha tezlikda qo'shimcha tadqiqotlar talab qiladi. Shu bilan birga, bu usul faqat ICMP, TCP paketlar uchun samarali, lekin UDP paketlar uchun samarasiz. DDoS ahujum qiluvchi DoS botlari bir vaqtning o'zida barcha turdagi hujumlardan foydalanishi mumkinligi nuqtai nazaridan foydalanuvchi uchun hanuzgacha xavflidir, shuning uchun flud hujumlari bilan kurashish usulini kompleks yondashuv bilan hal qilish kerak.
[90] ishda taklif qilingan yondashuv hujumlarni aniqlash uchun klaster tahlili usulidan foydalanishga asoslangan k-yaqin qo’shnilar algoritmidan foydalaniladi. Ushbu algoritm elementlar orasidagi masofani hisoblash uchun ishlatiladi.
Algoritm quyidagi tarmoq parametrlarini hisoblash uchun ishlatiladi:
paket hajmining normallashtirilgan entropiyasi;
manba IP manzilining normallashtirilgan entropiyasi;
manba port raqamining normallashtirilgan entropiyasi;
maqsad IP manzilining normallashtirilgan entropiyasi;
belgilangan port raqamining normallashtirilgan entropiyasi;
paket tipidagi normallashtirilgan entropiya (ICMP, TCP va UDP).
Hujum paytida normallashtirilgan entropiya qiymatlari odatdagi xatti-harakatlardan chetga chiqadi va bu trafikdagi anomaliyalarni aniqlash uchun ishlatiladi. Entropiya qiymatlarini aniqlash uchun chegara oldindan belgilangan. Zararli trafikni aniqlash samaradorligi 97,25% ni tashkil etdi, bu juda yuqori.
Zararli trafikni aniqlash uchun loyqa mantiqqa asoslangan loyqa klaster tahlili usuli ham ishlatilgan [91]. Tarmoq trafigini tahlil qilish uchun ushbu usuldan foydalanish TCP, UDP, ICMP hujumlarini aniqlash samaradorligini ko'rsatdi. Shu bilan birga, zararli trafikni aniqlash 98% ni tashkil etdi.
Ushbu usullarning samaradorligi TCP, UDP, ICMP fludlari kabi OSI modelining L2-L4 darajalarida serverning qonuniy foydalanuvchilar uchun mavjudligiga ta'sir qilmasdan tarmoq hujumlaridan himoya qilish mumkinligi bilan isbotlangan. Shu bilan birga, ushbu usullar, vositalar va kurash algoritmlari qo'llaniladigan DDoS hujumlariga qarshi turish uchun mutlaqo foydasizdir. L7 dastur sathida OSI modeli bunday tahdidlarni aniqlash uchun yanada murakkab usullarni talab qiladi va ularga qarshi turish uchun ko'proq resurslarni talab qiladi.
Do'stlaringiz bilan baham: |