|
Методы для противодействия сетевым атакам на уровнях L2-L4 модели OSI
Классические методы основаны на принципах фильтрации трафика.
В работе австрийских ученых [80] рассмотрен подход, где между клиентом и сервером используется шлюз для имитации подключения. В том случае, если запрос на подключение сервером не получен, то такое подключение является нелегитимным, а IP-адрес атакующего блокируется. Данный подход является недостаточно эффективным, так как при попытках имитации ложных подключений блокироваться может и сам шлюз. Кроме того, для реализации данного метода требуется дополнительные ресурсы.
Возможно и противодействие данным атакам методами статистической фильтрации [81], но в данном случае при возможности обнаружения атаки блокируется весь трафик с данного соединения также включая легитимных пользователей. Принцип обнаружения таких атак основан на сравнении запросов на подключение клиента к серверу и получение ответов,
подтверждающих данное соединение от сервера, в случае если запросов будет больше [82], то такое соединение блокируется.
Также предлагаются и другой способ, основанный противодействия сетевых атак на сетевом уровне модели OSI, заключающийся в добавлении меток [83] на пересылаемый пакет в сети, где меткой может выступать и некий секретный ключ [84], благодаря которому сервер может осуществить проверку на легитимность пользователя [85]. Данный метод основан на модификации TCP протокола. К сожалению, в случае взлома и получения злоумышленниками данного кода или в случае, если метки могут быть подделаны - данный метод становится бессмысленным.
Проанализировав все методы, разработан механизм оценки защиты на основе критериев защищенности имеющихся систем и выбор целесообразной схемы защиты от данного рода атак [86].
Авторами был предложен алгоритм противодействия атакам на основе метода контрольных карт EWMA [87]. Данный метод основан на процедуре контроля состояния компьютерной сети для обнаружения аномалий с помощью контрольных карт EWMA. Полученный в ходе работы алгоритм был экспериментально протестирован в реальном времени на примере воссозданной компьютерной локальной сети. Из-за того, что ряд атак, например, такой как UDP-флуд является атакой малой интенсивности, обнаружение сетевой аномалии становится затруднительным и эффективность метода становится неэффективным.
В работе [88] рассматривается способ противодействия с помощью встраивания в заголовки пакетов дополнительных данных - цифровой отпечаток, чтобы избежать поддельных пакетов. Цифровой отпечаток включает в себя хэш-функцию от предыдущего цифрового отпечатка, а также уникальную метку передаваемого пакета. Далее приходящие пакеты фильтруются маршрутизатором и при большом количестве поддельных пакетов адреса блокируются. Недостатками данного метода были отмечены в первую очередь сложность реализации в связи с необходимостью доработки и
внедрения специального оборудования, а также неэффективность данного метода при знании злоумышленником топологии сети.
В работе [89] рассматривается применение программного агента для регистрации сетевых атак. Данный подход основан на анализе скорости поступающих пакетов и энтропии адресов назначения сетевого трафика. Авторами предполагается, что при нормальном состоянии сети энтропия сетевого трафика больше нуля, а скорость возникновения поступающих пакетов низкая, в противном случае при атаке энтропия будет стремиться к нулю, а скорость возникновения поступающих пакетов высокой. Экспериментально данный подход показал хорошую эффективность при небольших скоростях, но требует дополнительных исследованиях на скоростях до 100 Гб/сек. В тоже время, данный метод эффективен только к ICMP, TCP пакетам, но неэффективен с UDP пакетами. DDoS атаки являются для пользователя опасными с той точки зрения, что атакующие DoS-боты способны использовать все типы атак одновременно, поэтому метод борьбы с флуд атаками должен решаться комплексным подходом.
Предложенный в работе подход [90] основан на использовании метода кластерного анализа детектирования атак. Используется алгоритм k-means. Данный агротим используется для вычисления расстояния между элементами
𝑥 и 𝑦 с помощью алгоритма Евклида.
Алгоритм используется для расчета следующих сетевых параметров:
нормализованная энтропия размера пакета;
нормализованная энтропия исходного IP-адреса;
нормализованная энтропия номера порта источника;
нормализованная энтропия IP-адреса назначения;
нормализованная энтропия номера порта назначения;
нормализованная энтропия типа пакета (ICMP, TCP и UDP).
Во время атаки нормализованные значения энтропии будут отклоняться от нормального поведения, и это используется для обнаружения аномалии в трафике. Порог предопределен для значений энтропии для определения
отклонения от нормального поведение, то есть атакующий трафик. Эффективность детектирования вредоносного трафика составила 97,25%, что является очень высоким показателем.
Для детектирования вредоносного трафика был также применен метод нечеткого кластерного анализа на основе нечеткой логики [91]. Применение данного метода для анализа сетевого трафика показал свою эффективность для детектирования TCP, UDP, ICMP атак. При этом детектирование вредоносного трафика составила 98%.
Эффективность данных методов доказывает тот факт, что защититься от сетевых атак на уровнях L2-L4 модели OSI, таких как TCP, UDP, ICMP флуды можно эффективно, при этом это никак не скажется на доступности сервера для легитимных пользователей. Но при этом данные методы, средства и алгоритмы борьбы совершенно бесполезны для противодействия прикладным DDoS атакам. На уровне приложений L7 модели OSI требуются более сложные методы для детектирования подобных угроз и необходимо затрачивать большее количество ресурсов для их противодействия.
Do'stlaringiz bilan baham: |
