1-bob. "Xizmat ko'rsatishni rad etish" turidagi tarmoq taqsimlangan hujumlari ta'siridagi kompyuter tarmog’i qabul qilish tugunining konseptual modeli


L7 dastur sathida tarmoqdan foydalanishni rad etish hujumlariga qarshi kurashish usullari



Download 2,22 Mb.
bet11/52
Sana06.03.2022
Hajmi2,22 Mb.
#483755
1   ...   7   8   9   10   11   12   13   14   ...   52

L7 dastur sathida tarmoqdan foydalanishni rad etish hujumlariga qarshi kurashish usullari


OSI modelining amaliy sathiga DDoS hujumlari ilovalar yoki veb-serverlardagi zaifliklardan foydalanishga qaratilgan. Bunday hujumlarni aniqlash signatura va anomal, shuningdek, ushbu usullardan birgalikda foydalanishga bo'linishi mumkin. Signatura usuli hujum signaturalarini boshqariladigan trafik bilan solishtirishga asoslangan [92]. Ushbu usul trafik holatidagi o'zgarishlarga juda sezgir, ammo agar tizimda hujum signaturasi tasvirlanmagan bo'lsa, unda bu turdagi hujumni aniqlash mumkin emas [93].
Anomal tarmoq hujumini aniqlash usuliga kelsak, xatti-harakatlarni taqqoslash asosida zararli oldingi "normal" holatga ega bo'lgan anomal trafik trafikni aniqlashga qodir. Ushbu usulning kamchiliklari noto'g'ri musbatlarning yuqori chastotasidir [94].
Kamchiliklarni o'zgartirish usullaridan biri neyron tarmog'ini qurish orqali ikkita usulni birlashtirishdir; [95] mualliflari trafik xususiyatlariga asoslangan usulni taklif qilishdi: kiruvchi yuk va paketlar ketma-ketligi. Ko'p o'tmay, bu usul qo'shimcha vaqt belgilari va xotira tasniflagichlaridan foydalangan holda o'zgartirildi, bu "sizga sirpanish oynasi bilan cheklanmagan holda tizim holatini boshqarish imkonini beradi. Qo'shimcha vaqt belgilari klassifikatorga o'xshash paketlarning kelish vaqtidagi naqshlarni aniqlashga imkon beradi" [96].
Zamonaviy HTTP flud hujumlari mantiqan to'g'ri so'rovlar va paket sarlavhalarini o'z ichiga oladi. Bundan tashqari, ular boshqa hujumlarga qaraganda kamroq tarmoqli kengligi talab qiladi. Bunday hujumning flud so'rovlari har bir maqsadli obyekt uchun alohida yaratiladi. Bu HTTP hujumini aniqlash va bloklashni ancha qiyinlashtiradi.
Ba'zi hujumlar so'rovlarni keshlash orqali qaytarilishi mumkin. Shunday qilib, agar ma'lum vaqt oralig'ida bir xil so'rovlar soni ruxsat etilgan raqamdan oshsa, so'rovchilarning IP manzillari to'xtash ro'yxatiga kiritilgan. Biroq, skript hujum qilish uchun ishlatilishi mumkin, bu har safar noyob so'rovlarni keltirib chiqaradi. Bunday holda, keshlash usuli foydasiz bo'ladi.
Ushbu turdagi hujumlarni singular spektral tahlil usuli yordamida aniqlash mumkin. Ushbu usul tizimning harakatini kuzatish, shuningdek miqdorlarning xarakterli qiymatlarini boshqarish imkonini beradi. Bir o'lchovli vaqt qatorini ko'p o'lchovliga aylantirish orqali asosiy komponentlar usuli yordamida olingan komponentlarni tekshirish mumkin. Ushbu usulning asosiy xususiyati shundaki, seriyaning tarkibiy qismlarining xususiyatlarini hech qanday tarzda ochib berish juda mumkin [97]. Aniqlash uchun kiruvchi va chiquvchi paketlar nisbati tahlili qo'llaniladi. Hisoblash formulasi quyidagicha:
𝑅𝑖𝑝 = 𝑇𝑖𝑇0 (1.1)
bu yerda 𝑇𝑖 - kiruvchi trafik hajmi, 𝑇0 - chiquvchi trafik hajmi.
Kiruvchi trafik miqdorining oshishi chiquvchi trafikning ko'payishiga olib keladi, bu esa hujum ehtimolini oshiradi.

1.9-rasm. HTTP flud hujumi komponentlari
[98] da mualliflar DNS sel hujumlariga qarshi kurashish uchun yangi yondashuvni taklif qilishdi, bunda DNS ishlashini ta'minlash uchun yangi tarqalish mexanizmidan foydalangan holda yangi DNS arxitekturasini yaratishga hojat yo'q. U DNS infratuzilmasiga DDoS hujumlaridan himoya qilish uchun qo'shimcha va arzonroq yondashuvni tavsiflaydi. Bu arxitekturaning barcha elementlarining 100% mavjudligiga bo'lgan ehtiyojdan xalos bo'lishdan iborat. Mavjud DNS tuzilmasida mavjud bo'lgan nom serveriga bo'lgan ehtiyojni oddiygina DNS-rezolyutsiyalarining keshlash xatti-harakatlarini o'zgartirish qilish orqali kamaytirish mumkin. Bugungi kunda DNS rezolyutorlari qidirish unumdorligini yaxshilash va qo'shimcha xarajatlarni kamaytirish uchun nom serverlaridan olgan javoblarni keshlaydi. Yechimchi so'rovlarga javob muddati davomida (TTL) mustaqil ravishda javob berish uchun keshlangan javoblardan foydalanishi mumkin. Maqolada TTL qiymati muddati o'tgan keshlangan yozuvlarni o'chirmaslik uchun rezolyutorlar ishini o'zgartirishdan iborat bo'lgan usul taklif etiladi. Ushbu yozuvlarni keshdan olib tashlash va ularni alohida "eskirgan keshda" saqlash taklif etiladi. Hozirda keshlangan ma'lumotlarga asoslanib javob berib bo'lmaydigan so'rov butun DNS zonasi ierarxiyasini kesib o'tadi va har qadamda joriy zona uchun vakolatli nom serverlarini so'raydi. Shu bilan birga, bu jarayon, agar barcha nom serverlari ushbu o'tishning istalgan bosqichida mavjud bo'lmasa amalga oshirilmaydi. Bunday senariyda DNS serverlariga o'lik zona so'roviga javob berish uchun eskirgan keshda saqlangan ma'lumotlardan foydalanishga ruxsat beriladi va shu bilan qidirish jarayonini davom ettiriladi [64].
DHCP ochligidan eng yaxshi himoya kalitning to'g'ri konfiguratsiyasi hisoblanadi [99]. Eng oson yo'li - switch portidagi MAC manzillar sonini cheklash. Shunday qilib, buzg’unchi yo'riqnoma manzillarining to'liq hajmini to'xtata olmaydi, chunki hujum to'xtatiladi. [100] ish shuni ko'rsatadiki, mumkin bo'lgan yechimlardan biri IP manzilini muhokama qilishdan oldin MAC manzilini autentifikatsiya qilishdir. Bu mijoz autentifikatsiyasi [101] va kengaytirilgan kalit konfiguratsiyasi yordamida amalga oshirilishi mumkin.
FTP protokoliga hujumlar TCP qo'l siqish tizimidan foydalanadi va shu bilan ma'lumot yoki xato xabarini etkazib berishni kafolatlaydi. Natijada, FTP serveriga DDoS hujumlari TCP tarmoq sathi hujumiga kamayadi [102].
Mavjud ko'rib chiqishdan ko'rinib turibdiki, ma'lum bir tarmoq hujumiga qarshi turish mumkin, ammo barcha mumkin bo'lgan hujumlarga qarshi kurashda mashinani o’qitish algoritmlarini qo'llash kerak.

      1. Download 2,22 Mb.

        Do'stlaringiz bilan baham:
1   ...   7   8   9   10   11   12   13   14   ...   52




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish