|
Методы противодействия сетевым атакам типа «отказ в обслуживании» на уровне L7 приложений
DDoS атаки на прикладном уровне модели OSI нацелены на использование уязвимостей приложений или Веб-серверов. Детектирование такого рода атак можно разделить на сигнатурные и аномальные, а также совместное применение данных методов. Сигнатурный метод строится на сравнении сигнатур атак с контролируемым трафиком [92]. Данный метод имеет высокую чувствительность к изменениям состоянии трафика, но в случае, если сигнатура атаки не описана в системе, то невозможно детектировать данный вид атаки [93].
Что касается аномального метода обнаружения сетевых атак, способен обнаруживать вредоносный трафик опираясь на сравнение поведения
аномального трафика с предыдущим “нормальным” состоянием. Недостатками данного метода является высокая частота ложных срабатываний [94].
Один из способов замещения недостатков является объединение двух методов с помощью построения нейросети, авторами [95] был предложен метод, базирующийся на свойствах трафика: входящей нагрузки и последовательности пакетов. Вскоре данный метод был модифицирован благодаря использованию дополнительных временных меток и классификаторов с памятью, что “позволяет контролировать состояния системы, не ограничиваясь рамками скользящего окна. Дополнительные временные метки позволят классификатору обнаруживать закономерности в времени поступления схожих пакетов” [96].
Современные атаки HTTP-флуд содержат логически правильные запросы и заголовки пакетов. Кроме этого, для их осуществления требуется меньшая пропускная способность, чем для других атак. Флудзапросы такой атаки создаются персонально для каждого целевого объекта. Это значительно затрудняет обнаружение и блокировку HTTP-атаки.
Некоторые атаки можно отразить путем кэширования запросов. Так, если число одинаковых запросов за определенный временной отрезок превышает разрешенное количество, то IP-адреса запрашивающих попадают в стоп-лист. Однако для атаки может использоваться скрипт, который каждый раз генерирует уникальные запросы. В таком случае метод кэширования будет бесполезным.
Детектирование данного типа атак возможно с применением метода сингулярного спектрального анализа. Данный метод позволяет провести мониторинг поведения системы, а также контролировать характеристические значения величин. Путем преобразования одномерного временного ряда в многомерный возможно исследовать полученные составляющие методом главных компонент. Главной особенностью этого метода является то, что вполне возможно выявить особенности составляющих ряда, никак не
примечательных с первого взгляда. [97]. Для детектирования применяется анализ отношений входящих и исходящих пакетов в секунду. Формула для расчета имеет следующий вид:
𝑅𝑖𝑝 = 𝑇𝑖𝑇0, (1.1)
где 𝑇𝑖 – объем входящего трафика, 𝑇0 – объем исходящего трафика.
Повышение количества входящего трафика приводит к росту исходящего трафика, что повышает вероятность наличия атаки.
Рисунок 1.9. Компоненты 𝑅𝑖𝑝 атаки HTTP-флуд
В статье [98] авторами предложен новый подход к противодействию DNS-флуд атак, в котором нет необходимости создания новой архитектуры DNS с использованием нового механизма распространения для обеспечения работы DNS. В ней описывается дополнительный и менее затратный подход для защиты от DDoS атак на инфраструктуру DNS. Он заключается в том, чтобы избавиться от потребности в 100% -ной доступности всех элементов архитектуре. Потребность в доступности сервера имен в существующей структуре DNS может быть уменьшена просто путем незначительной
модификации поведения кэширования DNS-резолверов. Сегодня резолверы DNS кэшируют ответы, которые они получают от серверов имен, чтобы улучшить производительность поиска и сократить накладные расходы. Резолвер может использовать кешированные ответы для того, чтобы самостоятельно отвечать на запросы в течение времени жизни (TTL) ответа. В статье предложен метод, заключающийся в изменении работы резолверов таким образом, чтобы они не удаляли кэшированные записи, значение TTL которых истекло. Данные записи предложено выгружать из кеша и хранить в отдельном «устаревшем кеше». В настоящее время запрос, на который невозможно ответить на основе кэшированной информации, пересекает всю иерархию зон DNS, и запрашивает авторитетные серверы имен для текущей зоны на каждом шаге. В тоже время этот процесс не выполняется, если все серверы имен на любом этапе этого обхода недоступны. В таком сценарии мы разрешаем использовать DNS-серверам информацию, хранящуюся в устаревшем кеше, для ответа на запрос для недоступной зоны и, таким образом, продолжить процесса поиска [64].
Лучшей защитой от DHCP Starvation считается корректная настройка коммутатора [99]. Самый простой способ – ограничение числа MAC-адресов на порту коммутатора. Таким образом злоумышленнику просто не удастся исчерпать весь пул адресов маршрутизатора, поскольку атака будет прервана. В статье [100] указывается, что одним из возможных решений является проверка подлинности MAC-адресов перед согласованием IP-адреса. Это может быть реализовано с помощью проверки подлинности клиента [101] и
расширенной конфигурации коммутатора.
Атаки на протокол FTP использует систему рукопожатия TCP, тем самым гарантируя доставку информации или сообщения об ошибке. Как следствие, DDoS атаки на FTP-сервер сводятся к TCP атаке сетевого уровня [102].
Как можно видеть из имеющегося обзора, противодействовать той или иной сетевой атаки возможно, но в случае противодействовать всем возможным атакам, то необходимо применить алгоритмы машинного
обучения и нейронных сетей, как это было применено для решений противодействия DDoS атакам на сетевом уровне модели OSI.
Do'stlaringiz bilan baham: |
