|
Tarmoq hujumlariga qarshi kurash usullari, masalan, "rad etish texnik xizmat ko'rsatish" yoqilgan Daraja L7 ilovalari
OSI modeli ilova sathida DDoS hujumlari ilovalar yoki veb-serverlarning zaifliklaridan foydalanishni maqsad qiladi. Ushbu turdagi hujumlarni aniqlash signatura va anomaliyaga, shuningdek, ushbu usullarni birgalikda ishlatishga bo'linishi mumkin. Signatura usuli nazoratlanuvvchi trafikka ega hujum signaturalarini solishtirishga asoslangan. Ushbu usul trafik holatidagi o'zgarishlarga yuqori sezuvchanlikka ega, ammo hujumning signaturasi tizimda tavsiflanmagan bo'lsa, bu turdagi hujumni aniqlash mumkin emas.
Tarmoq hujumlarini aniqlashning anomal usuliga kelsak, u zararli trafikni aniqlashda anomal trafikning xatti-harakatlarini avvalgi "normal" holat bilan solishtirishga asoslangan. Ushbu usulning kamchiliklari yolg’on ishga tushishlarni yuqori chastotasi hisoblanadi.
Kamchiliklarni to’ldirishning bir usuli - neyron tarmog'ini qurish orqali ikki usulni birlashtirish bo’lib, mualliflar tomonidan trafik xususiyatlariga asoslangan usul taklif qilinadi: kiruvchi yuklama va paketlar ketma-ketligi. Ko'p o'tmay, bu usul qo'shimcha vaqt belgilari va xotira klassifikatorlari yordamida o'zgartirildi, bu "tizimning holatini nazorat qilish imkonini beradi, bu esa suzuvchi oyna doirasida chegaralanmaydi. Qo'shimcha vaqt belgilari klassifikatorga o'xshash paketlarni qabul qilish vaqtida qonuniyatlarni aniqlashga imkon beradi".
Zamonaviy HTTP flud hujumlari mantiqan to'g'ri so'rovlar va paketlar sarlavhalarini o'z ichiga oladi. Bundan tashqari, ularni amalga oshirish uchun boshqa hujumlarga qaraganda kamroq o’tkazuvchanlik qobiliyati talab etiladi. Bunday hujumning flud so’rovlari har bir maqsadli ob'ekt uchun alohida yaratiladi. Bu HTTP hujumini aniqlash va blokirovka qilishni ancha qiyinlashtiradi.
Ba'zi hujumlar so'rovlarni keshlash orqali qaytarilishi mumkin. Shunday qilib, agar ma'lum bir vaqt oralig'ida bir xil so'rovlar soni ruxsat etilgan miqdordan oshib ketgan bo'lsa, so'rovchilarning IP-manzillari stop-listga tushadi. Biroq, hujum uchun har safar noyob so'rovlar ishlab chiqaradigan skript ishlatilishi mumkin. Bunday holda keshlash usuli foydasiz bo'ladi.
Ushbu turdagi hujumlarni aniqlash signatura spektral tahlil usuli yordamida amalga oshirilishi mumkin. Ushbu usul tizimning xatti-harakatlarini kuzatish, shuningdek miqdorlarning xarakterli qiymatlarini nazorat qilish imkonini beradi. Bir o'lchovli vaqt oralig'ini ko'p o'lchovli holga aylantirish orqali olingan komponentlarni asosiy komponent yordamida tekshirish mumkin. Ushbu usulning asosiy xususiyati shundaki, birinchi qarashda e'tiborga loyiq bo'lmagan qator tarkibiy qismlarining xususiyatlarini aniqlash mumkin. [97]. Aniqlash uchun kiruvchi va chiquvchi paketlar soniyasiga nisbati tahlil qilinadi. Hisoblash uchun formula quyidagi shaklga ega:
𝑅𝑖𝑝 = 𝑇𝑖𝑇0 , (1.1)
bu yerda 𝑇𝑖 - kiruvchi tarfik hajmi, 𝑇0 - chiquvchi trafik hajmi.
Kiruvchi trafik miqdori ortib borishi trafik o'sishiga olib keladi, bu esa hujum qilish ehtimolini oshiradi.
1.9-rasm. HTTP flud hujumlar 𝑅𝑖𝑝 komponentlar
[98] da mualliflar qarshi kurashga yangi yondashuvni taklif qilishdi Yangi arxitekturani yaratishga hojat yo'q bo'lgan DNS hujumlari oqimi ta'minlash uchun yangi tarqalish mexanizmi yordamida DNS DNS ishi. U qo'shimcha va arzonroq yondashuvni tavsiflaydi DNS infratuzilmasiga DDoS hujumlaridan himoya qilish. dan iborat barcha elementlarning 100% mavjudligiga bo'lgan ehtiyojdan xalos bo'lish arxitektura. Kerak ichida foydalanish imkoniyati serverlar ismlar ichida mavjud tuzilishi DNS balki bolmoq kamayadi oddiygina orqali ahamiyatsiz
DNS-rezolyutsiyalarining keshlash xatti-harakatlarini o'zgartirish. Bugungi kunda hal qiluvchilar DNS kesh javoblar, qaysi ular qabul qilish dan serverlar ismlar, uchun yaxshilash ishlash qidirmoq Va kesish fakturalar xarajatlar. Resolver balki foydalanish keshlangan javoblar uchun Bormoq, uchun o'z-o'zidan javob bering ustida so'rovlar ichida oqim vaqt hayot (TTL) javob. IN maqola taklif qilingan usul, iborat hal qiluvchilarning ishini o'zgartirishda ular keshlangan yozuvlarni, TTL qiymatini o'chirmasliklari uchun muddati tugagan. Ushbu yozuvlarni keshdan olib tashlash va ularni saqlash taklif etiladi alohida "eskirgan kesh". IN hozirgi vaqt so'rov, ustida qaysi keshlangan ma'lumotlarga asoslanib javob berish mumkin emas, barchasini kesib o'tadi DNS zonalari ierarxiyasi va joriy uchun vakolatli nom serverlarini so'raydi har qadamda zonalar. Shu bilan birga, bu jarayon hammasi amalga oshirilmaydi serverlar ismlar ustida har qanday bosqich bu chetlab o'tish mavjud emas. IN shunday stsenariylar biz ruxsat berish foydalanish DNS serverlari ma `lumot saqlanadi ichida eskirgan kesh, uchun javob ustida so'rov uchun erishib bo'lmaydigan zonalari Va, shunday yo'l davom eting qidiruv jarayoni [64].
eng zo'r himoya qilish dan DHCP ochlik hisobga oladi to'g'ri sozlash almashtirish [99]. Ko'pchilik oddiy yo'l - cheklash raqamlar MAC manzillari ustida port almashtirish. Shunday qilib yo'l hujumchi oddiygina emas muvaffaqiyatga erishing marshrutizatorning butun manzillar hovuzini yo'q qiling, chunki hujum to'xtatiladi. IN maqola [100] ko'rsatadi o'sha biri mumkin qarorlar hisoblanadi imtihon haqiqiylik MAC manzillari old kelishuv IP manzillar. Bu balki bolmoq amalga oshirildi dan Yordam bering cheklar haqiqiylik mijoz [101] Va
kengaytirilgan konfiguratsiya almashtirish.
hujumlar ustida protokol FTP foydalanadi tizimi qo'l siqish tcp, mavzular eng axborot yoki xato xabarlari yetkazilishini ta'minlash. Binobarin, DDoS hujumlar ustida FTP serveri qisqartirildi uchun TCP hujum tarmoq qatlami [102].
Mavjud ko'rib chiqishdan ko'rinib turibdiki, bu yoki boshqasiga qarshi turish uchun boshqacha tarmoq hujumlar balki, lekin ichida hol qarshilik ko'rsatish hamma mumkin hujumlar, keyin zarur murojaat qiling algoritmlar mashina
ta'lim va neyron tarmoqlar, chunki u yechimlar uchun qo'llanilgan qarama-qarshilik DDoS hujumlari ustida tarmoq qatlami modeli OSI.
Do'stlaringiz bilan baham: |
