Засіб захисту від DOS-атак

 

У цьому розділі розглядаються існуючі методи виявлення і протидії TCP SYN атаці, описуються їхні переваги і недоліки.

 

 

Цей метод захисту від даної атаки був запропонований в 1996 році [4], незабаром після перших TCP SYN атак, що викликали великий резонанс. В основі цього методу лежить зміна ідентифікатора послідовності TCP TCP. Значення цього параметра визначається наступним чином:

‒5 старших бітів: значення т по модулю 32, де т – 32-розрядний лічильник часових інтервалів, значення якого збільшується на 1 кожні 64 секунди;

‒наступні 3 біта: кодоване значення MSS, вбрання сервером у відповідь на MSS клієнта;

‒молодші 24 біта: обрані сервером на основі IP-адрес і номерів портів відправника і одержувача, а також величини т значення секретної функції.

Такий алгоритм вибору початкового порядкового номера відповідає основним вимогам протоколу TCP, відповідно до яких номери повинні збільшуватися досить повільно і початкові порядкові номери для серверів ростуть трохи швидше, ніж порядкові номери для клієнтів.

Сервери, що використовують функції SY-cookie не відкидають з'єднання при заповненні черзі SYN. Натомість вони передають ініціатору з'єднання пакет SYN + ACK, в точності відповідний пакету, який був би переданий при більшому розмірі черзі SYN (виключення: сервер повинен відкидати (відхилити) TCP такі опції, як велике вікно, і повинен використовувати 1/8 значення MSS, яке він може кодувати). При отриманні пакету ACK, сервер переконується в роботі секретної функції для останнього значення т і перебудовує запис черзі SYN відповідно до значення MSS.

Варто зазначити, що цей метод реалізований в ОС сімейства Linux і FreeBSD. До переваг цього методу можна віднести його достатню ефективність. Недоліком методу є необхідність модифікації реалізації стека TCP / IP, яка, на думку деяких фахівців в області мережевих технологій, суперечить специфікації протоколу TCP.

 

 

Цей метод полягає в тому, що клієнту, що надіслав запит на з'єднання, SYN + відправляється ACK пакет, з невірними параметрами. Відповідно до специфікації протоколу TCP клієнт повинен надіслати RST пакет. Якщо такий пакет приходить до сервера, то сервер додає клієнта в список довірених клієнтів. Перевагою цього методу є перевірка клієнта, при цьому до недоліків можна віднести недосконалість механізму такої перевірки. По-перше, ця перевірка вимагає додаткового часу на відправку некоректного SYN + ACK і отримання RST пакетів. У доступній літературі недостатньо інформації про цей метод, що ускладнює аналіз його переваг та недоліків. Зокрема, виникає питання, за яким критерієм сервер ідентифікує клієнтів. Якщо це тільки IP-адреса, то зловмисник може при організації атаки встановлювати в якості адреси відправника адресу вже перевіреного сервером клієнта.

 

 

Метод полягає в тому, що в умовах атаки сервер обробляє не всі SYN пакети, а тільки їх частину. Зазвичай ця частина вибирається випадковим чином. Перевагою цього методу є простота реалізації, однак це виливається в його ж основний недолік – низьку ефективність, тому що заявки легальних користувачів будуть фільтруватися системою нарівні з шкідливим трафіком.

 

 

Цей метод полягає в тому, що кожен маршрутизатор в мережі контролює IP-адреси відправників в трафіку, що їм обробляється, виявляє пакети з помилковими адресами і знищує їх. Головною перевагою цього методу є те, що він повністю виключає можливість атаки з підроблених адрес, що є головною перешкодою для її ефективного виявлення і блокування. Недоліком методу є його ціна, обумовлена необхідністю заміни величезного числа діючих в даний час в мережі Інтернет маршрутизаторів.

 

 

Метод заснований на тому, що деякі з напіввідкритих з'єднань закриваються сервером. Перевагою такого методу є простота реалізації, а головним недоліком – низька ефективність фільтрації трафіку, при якій з високою ймовірністю будуть закриті з'єднання з легальними клієнтами.

 

 

Цей метод вимагає додатковий проксі-сервер, призначенням якого є обробка SYN-пакетів. Він служить посередником між клієнтом і сервером. Якщо проксі-сервера вдалося встановити з'єднання з клієнтом, то клієнт допускається до ресурсів головного сервера. Перевагою даного методу є те, що ресурси основного сервера використовуються з більшою ефективністю, а недоліки полягають в незахищеності проксі-сервера від атаки і складність реалізації.

 

 

Полягає в змінах налаштування параметрів протоколу TCP на сервері. Як правило, цими параметрами є: таймаут перед закриттям напіввідкритого з'єднання, максимально можливу кількість напіввідкритих з'єднань і час очікування відповідного ACK-пакета. Перевагою методу є можливість підвищення ефективності роботи сервера за рахунок урахування параметрів сервера і мережі. Недоліки полягають в тому, що це метод не працює проти інтенсивної атаки і вимагає високої кваліфікації адміністратора.

 

 

Полягає в тому, що сервер не обслуговує заявки, що надходять від клієнтів, внесених до «чорного списку». Цей метод малоефективний, враховуючи те, що зазвичай атаки проводяться з фальшивих адрес. Цей метод був