Портал освітньо-інформаційних послуг «Студентська консультація»

  
Телефон +3 8(066) 185-39-18
Телефон +3 8(093) 202-63-01
 (093) 202-63-01
 studscon@gmail.com
 facebook.com/studcons

<script>

  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){

  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),

  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)

  })(window,document,'script','//www.google-analytics.com/analytics.js','ga');

 

  ga('create', 'UA-53007750-1', 'auto');

  ga('send', 'pageview');

 

</script>

Засіб захисту від DOS-атак

Тип роботи: 
Бакалаврська робота
К-сть сторінок: 
57
Мова: 
Українська
Оцінка: 

justify;"> 

1.4. Відомі методи протидії TCP SYN-атакам
 
У цьому розділі розглядаються існуючі методи виявлення і протидії TCP SYN атаці, описуються їхні переваги і недоліки.
 
1.4.1. Метод протидії TCP SYN Cookies
 
Цей метод захисту від даної атаки був запропонований в 1996 році [4], незабаром після перших TCP SYN атак, що викликали великий резонанс. В основі цього методу лежить зміна ідентифікатора послідовності TCP TCP. Значення цього параметра визначається наступним чином:
‒5 старших бітів: значення т по модулю 32, де т – 32-розрядний лічильник часових інтервалів, значення якого збільшується на 1 кожні 64 секунди;
‒наступні 3 біта: кодоване значення MSS, вбрання сервером у відповідь на MSS клієнта;
‒молодші 24 біта: обрані сервером на основі IP-адрес і номерів портів відправника і одержувача, а також величини т значення секретної функції.
Такий алгоритм вибору початкового порядкового номера відповідає основним вимогам протоколу TCP, відповідно до яких номери повинні збільшуватися досить повільно і початкові порядкові номери для серверів ростуть трохи швидше, ніж порядкові номери для клієнтів.
Сервери, що використовують функції SY-cookie не відкидають з'єднання при заповненні черзі SYN. Натомість вони передають ініціатору з'єднання пакет SYN + ACK, в точності відповідний пакету, який був би переданий при більшому розмірі черзі SYN (виключення: сервер повинен відкидати (відхилити) TCP такі опції, як велике вікно, і повинен використовувати 1/8 значення MSS, яке він може кодувати). При отриманні пакету ACK, сервер переконується в роботі секретної функції для останнього значення т і перебудовує запис черзі SYN відповідно до значення MSS.
Варто зазначити, що цей метод реалізований в ОС сімейства Linux і FreeBSD. До переваг цього методу можна віднести його достатню ефективність. Недоліком методу є необхідність модифікації реалізації стека TCP / IP, яка, на думку деяких фахівців в області мережевих технологій, суперечить специфікації протоколу TCP.
 
1.4.2. Метод протидії TCP RST Cookies
 
Цей метод полягає в тому, що клієнту, що надіслав запит на з'єднання, SYN + відправляється ACK пакет, з невірними параметрами. Відповідно до специфікації протоколу TCP клієнт повинен надіслати RST пакет. Якщо такий пакет приходить до сервера, то сервер додає клієнта в список довірених клієнтів. Перевагою цього методу є перевірка клієнта, при цьому до недоліків можна віднести недосконалість механізму такої перевірки. По-перше, ця перевірка вимагає додаткового часу на відправку некоректного SYN + ACK і отримання RST пакетів. У доступній літературі недостатньо інформації про цей метод, що ускладнює аналіз його переваг та недоліків. Зокрема, виникає питання, за яким критерієм сервер ідентифікує клієнтів. Якщо це тільки IP-адреса, то зловмисник може при організації атаки встановлювати в якості адреси відправника адресу вже перевіреного сервером клієнта.
 
1.4.3. Метод протидії Floodgate
 
Метод полягає в тому, що в умовах атаки сервер обробляє не всі SYN пакети, а тільки їх частину. Зазвичай ця частина вибирається випадковим чином. Перевагою цього методу є простота реалізації, однак це виливається в його ж основний недолік – низьку ефективність, тому що заявки легальних користувачів будуть фільтруватися системою нарівні з шкідливим трафіком.
 
1.4.4. Метод протидії на рівні маршрутизатора
 
Цей метод полягає в тому, що кожен маршрутизатор в мережі контролює IP-адреси відправників в трафіку, що їм обробляється, виявляє пакети з помилковими адресами і знищує їх. Головною перевагою цього методу є те, що він повністю виключає можливість атаки з підроблених адрес, що є головною перешкодою для її ефективного виявлення і блокування. Недоліком методу є його ціна, обумовлена необхідністю заміни величезного числа діючих в даний час в мережі Інтернет маршрутизаторів.
 
1.4.5. Метод протидії Random Drop
 
Метод заснований на тому, що деякі з напіввідкритих з'єднань закриваються сервером. Перевагою такого методу є простота реалізації, а головним недоліком – низька ефективність фільтрації трафіку, при якій з високою ймовірністю будуть закриті з'єднання з легальними клієнтами.
 
1.4.6. Метод протидії SYN-проксі
 
Цей метод вимагає додатковий проксі-сервер, призначенням якого є обробка SYN-пакетів. Він служить посередником між клієнтом і сервером. Якщо проксі-сервера вдалося встановити з'єднання з клієнтом, то клієнт допускається до ресурсів головного сервера. Перевагою даного методу є те, що ресурси основного сервера використовуються з більшою ефективністю, а недоліки полягають в незахищеності проксі-сервера від атаки і складність реалізації.
 
1.4.7. Метод протидії за допомогою налаштування мережевого стека
 
Полягає в змінах налаштування параметрів протоколу TCP на сервері. Як правило, цими параметрами є: таймаут перед закриттям напіввідкритого з'єднання, максимально можливу кількість напіввідкритих з'єднань і час очікування відповідного ACK-пакета. Перевагою методу є можливість підвищення ефективності роботи сервера за рахунок урахування параметрів сервера і мережі. Недоліки полягають в тому, що це метод не працює проти інтенсивної атаки і вимагає високої кваліфікації адміністратора.
 
1.4.8. Метод протидії Blacklisting
 
Полягає в тому, що сервер не обслуговує заявки, що надходять від клієнтів, внесених до «чорного списку». Цей метод малоефективний, враховуючи те, що зазвичай атаки проводяться з фальшивих адрес. Цей метод був
Фото Капча