Таблица 1. Анализ достоинств и недостатков подсистем Network IPS и Host IPS
Достоинства
Недостатки
Network IPS (NIPS)
Широта применения – целая сеть может быть покрыта одним сетевым сенсором.
Минимальные неудобства от установки обновлений сигнатур и обновлений ПО сенсоров.
Предотвращение DoS-атаки. Возможность обнаружения ошибок сетевого уровня в стеке TCP/IP. Независимость от ОС информационных узлов
Наряду с верными бывают и ложные срабатывания.
Не может анализировать зашифрованный поток данных. Новые виды или варианты атак не будут выявлены в случае отсутствия сигнатуры данной атаки.
Задержка во времени между моментом обнаружения атаки и моментом оповещения (тревоги).
Затруднен анализ пакетов в случае перегруженной сети.
Отсутствуют уведомления об успешности атаки
Host IPS (HIPS)
Возможность связывать пользователя с событием.
Может обнаруживать атаки,
не зафиксированные сенсорами NIPS.
Может проводить анализ данных, расшифрованных на узле.
Возможность предоставления информации об узле в течение атаки на него
Для защиты нескольких узлов сенсоры должны быть установлены на каждом из них.
Если ОС взломана в результате атаки, то перестает функционировать и сенсор, установленный на данном узле.
Сенсор не способен обнаруживать деятельность сетевых сканеров.
Сенсоры могут быть неэффективными в случае DoS-атаки на узел.
Для функционирования необходимы дополнительные ресурсы
Защита от DDoS-атак
Одним из наиболее критичных по последствиям классом компьютерных атак являются распределенные атаки типа «отказ в обслуживании» DDoS (Distributed Denial of Service), направленные на нарушение доступности информационных ресурсов.
Эти атаки осуществляются с использованием множества программных компонентов, размещаемых на хостах в сети Интернет.
Они могут привести не только к выходу из строя отдельных узлов и сервисов, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение функционирования сети.
Основная цель защиты против DDoS-атак заключается в предотвращении их реализации, точном обнаружении этих атак и быстром реагировании на них. При этом важно также эффективно распознавать легитимный трафик, который имеет признаки, схожие с трафиком вторжения, и обеспечивать надежную доставку легитимного трафика по назначению.
Общий подход к защите от атак DDoS включает реализацию следующих механизмов: