Предмет:
Тип роботи:
Бакалаврська робота
К-сть сторінок:
57
Мова:
Українська
justify;"> (2. 1)
де n – кількість приладів в системі,
,
– інтенсиність потоку запитів,
– математическое сподівання часу обслуговування одного запиту.
– ймовірність знахождения в системі k запитів
(2. 2)
Наведені співвідношення дозволяють визначити середню кількість запитів, що знаходяться в системі масового обслуговування, що буде використано нижче при побудові методики виявлення даної атаки.
2.2. Потік запитів
Будемо розглядати безліч TCP SYN пакетів, що надходять до сервера, як вхідний потік запитів. Покажемо, що в певних умовах цей потік можна вважати пуассонівським.
Інтенсивність цього потоку може залежати від часу, якщо розглядати його протягом досить великих проміжків часу. Наприклад, протягом доби в денний час його інтенсивність може бути більше, ніж вночі. Проте, при зменшенні тривалості аналізованого проміжку інтенсивність надходження TCP SYN запитів стабілізується і може розглядатися як деяка постійна величина. Для різних мереж тривалість такого проміжку може бути різною (як правило, від декількох хвилин до декількох годин) і може бути встановлена експериментально.
У цьому випадку ймовірність надходження запитів в інтервалі часу (0, t) дорівнює ймовірності надходження запитів в будь-якому іншому інтервалі тієї ж тривалості (a, a + t) в межах заданого проміжку. Таким чином, розглянутий потік має властивість стаціонарності.
Далі будемо вважати, що користувачі звертаються до ресурсів сервера незалежно один від одного. Якщо при одному зверненні користувача до сервера встановлюється одне TCP з'єднання, то потік запитів має властивість відсутності наслідків. Однак деякі додатки прикладного рівня взаємодіють один з одним за допомогою паралельно встановлених TCP з'єднань. В цьому випадку вхідний потік так само має зазначену властивість.
Розглянемо вплив процесу звернення браузера до веб-сторінці як потік TCP SYN пакетів, що надходять до сервера. Як правило, більшість надісланих сервером сторінок містять гіперпосилання на інші ресурси, такі як зображення, апплети, флеш-анімації та інші елементи, що виводяться на HTML-сторінці у вікні браузера. Відповідно до специфікації протоколу HTTP, для отримання кожного з ресурсів браузер повинен зробити окремий запит до веб-сервера, і, отже, встановити TCP-з'єднання. Якщо веб-сторінка містить i елементів, що вимагають негайної завантаження, то при виконанні N звернень кількість TCP з'єднань дорівнюватиме (i+1) N. В цьому випадку можна розглядати в якості одного запиту відправлення i + 1 SYN пакетів. Очевидно, що кожне звернення до веб-сторінки можна розглядати як одну заявку, і інтенсивність потоку таких запитів буде в i + 1 разів менше. У запропонованій далі моделі можливе введення додаткового коефіцієнта для обліку об'єднання таких взаємопов'язаних SYN пакетів в одну заявку. Об'єднані заявки є незалежними, тому що користувачі звертаються до ресурсів сервера незалежно один від одного. З цього випливає, що вхідний потік вимог має властивість відсутності наслідків.
Покажемо, що потік запитів є ординарним. Розглянемо сервер з одним мережевим інтерфейсом. За таким принципом підключенню одночасно не можуть прийти відразу кілька IP-пакетів, тому що в блоці даних протоколів канального рівня (Ethernet, DSL-з'єднання, модемне підключення та ін.) може бути максимум один IP-пакет. Відповідно, існує деякий малий проміжок часу, протягом якого може надійти не більше однієї заявки. Отже, для сервера з одним мережевим інтерфейсом вхідний потік TCP SYN пакетів є ординарним.
Таким чином, потік запитів, що містять TCP SYN пакети, що надходять на сервер з одним мережевим інтерфейсом, має властивості стаціонарності, ординарности і відсутності наслідків, і відповідно до визначення, такий потік є пуассонівським
2.3. Сервер TCP як система масового обслуговування
Потік TCP SYN пакетів, що надходять на сервер в заданих умовах є пуассонівським. Це означає, що його можна розглядати як потік запитів, що надходять в СМО. Однак для побудови моделі зручніше в якості безлічі заявок розглядати еквівалентний йому потік. У нормальному режимі роботи у відповідь на кожен отриманий TCP SYN пакет сервер повинен відправити TCP SYN + ACK пакет. З того, що існує взаємооднозначна відповідність між вхідними та вихідними пакетами випливає еквівалентність потоків. Далі в якості вимог СМО будемо розглядати відправку сервером SYN + ACK пакетів. Безліччю обслуговуючих приладів вважатимемо ресурси сервера, призначені для зберігання параметрів TCP з'єднань. У такій інтерпретації обслуговування вимоги – це резервування відповідних ресурсів або до успішного встановлення TCP-з'єднання (ACK отримання пакету, який повинен бути отриманий), або до закінчення відведеного на сервері таймаута.
Для такої моделі ознакою TCP SYN атаки є різке збільшення кількості запитів в СМО. Перебуваючи під впливом атаки, сервер виділяє відповідні ресурси, які залишаються зайнятими протягом відведеного часу очікування. Для сучасних операційних систем та мережевих технологій часу таймаута (від десятків секунд до декількох хвилин) досить щоб зайняти всі доступні ресурси сервера, призначені для зберігання параметрів TCP з'єднань. Для розглянутої нами моделі це означає різке збільшення зайнятих обслуговуючих приладів.
Розглянемо більш детально ресурси сервера, що виступають в якості обслуговуючих приладів. Параметри TCP з'єднань зберігаються у відповідному буфері, який можна представити у вигляді масиву розмірності L, елементи якого зберігають параметри TCP з'єднань. Їх можна розділити на три типи: містять параметри встановлених з'єднань, напіввідкритих з'єднань і вільні. Нехай B – кількість відкритих в даний момент TCP з'єднань. Тоді