Засіб захисту від DOS-атак

Основні запропоновані критерії класифікації наведено нижче (рис. 1. 1).

За кількістю задіяних пристроїв – за цією ознакою атаки можна поділити власне на: прості DoS-атаки; групові DDoS-атаки – з використанням невеликої кількості добровільно задіяних комп'ютерів (до 100 пристроїв) та масовані DDoS-атаки – більше 100 пристроїв.

Відповідно слід розрізняти методи боротьби з такими атаками. У разі простих, або групових атак достатнім може бути блокування пакетів з відповідних машин в ручному режимі за принципом чорного списку. У разі масованих атак проблематично заблокувати усі можливі джерела атаки у ручному режимі, а особливо відрізнити легальних користувачів від атакуючих.

За приналежністю джерел атаки до зловмисника атаки можна поділити на: добровільні атаки з машин зловмисників, атаки з використанням бот-мереж, атаки з використанням фізичних та віртуальних виділених серверів, атаки з використанням проміжних машин та засобів тунелювання та атаки з використанням випадкових користувачів [3].

Необхідно звернути увагу на те, що якщо атака виконується з виділених серверів, трафік може бути значним навіть при невеликій кількості пристроїв, оскільки подібні сервери зазвичай мають багатогігабітні канали. При забезпеченні захисту від атак з проміжних засобів тунелювання необхідно враховувати, що один засіб тунелювання може одночасно використовуватись як для атаки так і для легального доступу для сервісу, розпізнавання цієї різниці може викликати труднощі [4].

Атаки з використанням бот-мереж можна поділити на атаки з використанням заражених серверів, атаки з використанням заражених домашніх комп'ютерів та атаки з використанням заражених мобільних пристроїв.

За складом машин-джерел атаки DoS-атаки можна поділити на статичні (використовується фіксована кількість конкретних машин), динамічні з керуванням (кількість та розташування машин-джерел атаки може змінюватись з часом, при цьому існує конкретний перелік можливих джерел атаки – список IP-адрес, нод Tor або IP-адреси користувачів IRC-каналу) та динамічні без керування – відрізняються відсутністю технічної можливості встановити список машин-джерел атаки.

За засобом керування атаки можна поділити на: ручні (зловмисник вручну створює кожний необхідний пакет), керовані (розподілена атака керується віддалено) та автоматичні (атака виконується без втручання людини).

 

 

Відповідно засоби керування атакую можна розділити за засобом комунікації на пряме керування – централізоване керування з одного центра, машини мають відкритий порт, за яким можна ідентифікувати машини-джерела та непряме керування – машини не мають відкритого порта, керуються за допомогою реверс-з'єднань або додаткових протоколів (IRC, BitTorrent).

Керовані атаки з прямим керуванням можуть можна поділити за засобом включення у мережу: на випадкове сканування – зловмисник випадково сканує IP-адреси на наявність заражених машин, сканування за списком – зловмисник має список заражених машин та зворотній зв'язок – заражені машини приховано повідомляють про своє зараження.

За типом вразливості атаки можна поділити на семантичні – використання особливостей конкретного протоколу або сервісу та flood – спроби «тупого» перевантаження за допомогою величезної кількості або розміру пакетів.

За коректністю адреси джерела атаки можна поділити на: атаки з вказуванням коректного джерела – можливо чітко визначити адресу джерела атаки в пакеті даних, атаки з вказуванням підробленого джерела – адреса джерела в пакеті відсутня або вказана некоректно та реверс-атаки (amplification attack) – використання відповіді сервера для атаки (DNS, Google), відповідно складається враження, що атаку виконує легальний сервіс, який насправді просто відповідає на некоректно сформовані запити.

За динамікою потужності атаки можуть бути поділені на: атаки з постійною потужністю – атака виконується з фіксованою потужністю, атаки з випадковою змінною потужністю – потужність атаки змінюється випадковим чином, атаки з визначеною змінною потужністю – потужність змінюється за відомим алгоритмом, атаки з потужністю, що коливається – потужність атаки коливається або пульсує, атаки з потужністю, що збільшується – потужність атаки постійно збільшується.

За рівнем реалізації атаки можна поділити на атаки на фізичному рівні – фізичне втручання в комп'ютерну систему, таке як обрив кабелю, збільшення напруги, випромінювання, атаки на канальному рівні [5] – атака на рівні фізичної адресації та кадрів, атаки на мережному рівні – атака на рівні ІР-пакетів, атаки на транспортному рівні – атака на рівні сегментів та дейтаграм, атаки на сеансовому рівні – атака у межах логічних з'єднань, атаки на прикладному рівні – атака з використанням протоколів прикладного рівня та атаки на рівні сервісів – атака з використанням особливостей конкретного додатку або сервісу [6].

Необхідно враховувати, що чим вищий рівень атаки, тим менше сервісів вона вражає. Відповідно атака на фізичному рівні або мережному рівні може вивести з ладу всю мережу підприємства, атака на прикладному рівні – веб-сервер з усіма розміщеними сайтами, а атака на рівні сервісу лише заблокує використання конкретного сервісу, наприклад певного веб-сайту.

За впливом на жертву атаки можна поділити на атаки, що блокує доступ – результатом є блокування з'єднань сервісу з клієнтами, атаки, що збільшує споживання ресурсів – не блокує доступ повністю, а лише значно збільшує споживання ресурсів, атаки, що призводить до руйнування – наслідком атаки є руйнування компонентів системи – втрачання даних внаслідок переповнення жорсткого диску, перегрівання та вихід з ладу обладнання [7].

Блокуючи атаки можна поділити на атаки з можливістю відновлення – з’єднання клієнтів