CC BY
185
Имитационное моделирование аномалий трафика в локальной компьютерной сети
Ключевые слова: имитационная модель, аномалии трафика, локальная сеть, доступ к информационным ресурсам, атаки, системыI обнаружения вторжений.
Приводится описание имитационной модели локальной сели, состоящей из нескольких рабочих станций и портативных устройств. В целях изучения воздействия аномалий трафика на качество обслуживания сети, имитационная локальная сеть (в частности узел, выбранный в качестве жертвы) была подвергнута воздействию атак различного типа (DoS и Flash Crowd). В результате преднамеренных атак субъективно оценено ухудшение пропускной способности канала передачи информации, а также оценены возможности функционирования сети путем оценки количества попыток запросов информационных ресурсов (HTML-страниц) пользователями, находящимися внутри атакуемой сети. Приводятся примеры (с детальным описанием производимых действий) осуществленных атак в локальной сети, которые, по существу, могут представлять большую угрозу не только отдельным пользователям, использующим компьютерную сеть в личных целях, но и многим крупным организациям. Аномалии, вызванные проводимыми в сети атаками, выражались в резких скачках сетевого трафика, что являлось основной причиной замедления работы сетевого оборудования, в результате чего нарушался доступ к удаленным ресурсам.
Шелухин О.И., Савелов А.В., МТУСИ
Структура имитационного комплекса
и условия эксперимент
Для демонстрации и оценки последствий вредного воздействия аномалий на качество передачи информации в локальной сети, был создан имитационный макет состоящей из двух рабочих станций и двух портативных устройств, объединенных R сеть с помощью беспроводного маршрутизатора (рис. 1).
Имитировались тестовые DoS-атаки, осуществляемые с атакующей машины [1, 4,5] работающей пол управлением операционной системы GNU/Linux Debian 6.0 (IP 192.168,1,207) на машину, работающую под управлением ОС Windows ХР (1Р 192.168,1.191). Маршрутизатором обрабатывалось множество пакетов с данными (нулевою размера) за короткие промежутки времени, тем самым перегружая сеть. В момент проведения атаки, пользователи пытались осуществить доступ в глобальную сеть Интернет с портативных устройств, работающих под управлением ОС Windows Mobile 6.0 {IP 192.168.1.9) и Android 2.2.2 (IP 192.168.1.7). Запись о проходящих по сети пакетах велась па атакуемой машине с помощью анализатора пакетов Wireshark. Продолжительность тестовых атак каждого типа - одна минута (общее время сбора временных последовательностей сетевого трафика - пять минут). За это время пользователями портативных устройств визуально оценивалось качество работы канала связи по скорости загрузки запрашиваемых HTML-страниц.
Рабочая станция-жертва (IP 192.168.1,191, Windows ХР) была защищена по умолчанию от DoS-атак на уровне ОС с помощью стандартного брандмауэра, не позволяющего пропускать пакеты с большой скоростью (как это обычно происходит при DoS- и DDoS-атаках). ОС Linux пропускала DoS-атаки, если межсетевой экран вручную не пастроеЕ! системным администратором. Эта уязвимость присутствует и во многих других операционных системах, особенно а мини-ОС, что делает их более привлекательными для злоумышленников.
Портативное устройство ОС Android v.2.2.2 IP 192,168 1 7
Портативное устройство ОС Windows Mobile 6,0 IP 192.168.1.9
Атакуемая рабочая станция ОС Windows ХР IP 192.168.1.191
Атакующий компьютер ОС Debian GNU/ Linux v,6.Q IP 192,168,1.207
Рис. 1. Имитационная модель испытательной локальной сети
Для успешного проведения атаки на атакуемой машине-жертве был отключен межсетевой экран, а также были приостановлены антивирусные программы,
В имитационной модели локальной сети было выполнено три различных вида DoS агак - ICMP-flooding, UDP-storm и SYN-flooding, а также произведено моделирование атаки FlashCrowd, заключающейся в частых запросах удаленного ресурса на машине-жертве.
DoS-атака ICMP-flooding вызывает истощение ресурсов сети отправкой огромного числа ICMP эхо-запросов. При реализации этой атаки необходимо отправлять пакеты на машину-жертву как можно чаще, при этом принимать ответные пакеты не требуется. ICMP-flooding относится к атаке, направленной на истощение ресурсов сети.
DoS-атака UDP-storm (другое название - Chargen или Echo-Chargen) использует службы с данными названиями. UDP-служба chargen (порт 19) в ответ на UDP-запрос выдает пакет с набором символов, а UDP-служба echo (порт 1) возвращает пришедший пакет обратно. Таким образом, отосланные пакеты с порта 19 на порт 7 приводят к зацикливанию UDP-пакетов. UDP-Storm относится к типу DoS атак, направленных также на истощение ресурсов сети.
DoS-атака SYN-flooding направлена на истощение ресурсов узла. Иместо попыток исчерпать пропускную способность сети, атака пытается превысить очередь состояний в стеке TCP/IP, Когда на открытый порт сервера поступает TCP-пакет с установленным флагом SYN, сервер высылает в ответ пакет с флагами SYN/ACK и жлет ответа АСК. I [ри ЭТОМ в стеке TCP/IP сервера в очередь незавершенного открытия сеансов добавляется новая запись. Так как и очередь может быть поставлено только ограниченное количество запросов па соединение, то при превышении этого количества она переполняется, и сервер прекращает принимать новые запросы. И качестве сервера-жертвы может выступать любая рабочая станция, находящаяся в локальной сети, доступ к которой необходим для обеспечения рабочего процесса.
При проведении DoS атаки на рабочую станцию ICMP-flooding, портативные устройства с низкой производительностью, работающие под операционной системой Windows Mobile 6.0 и Android 2.2.2, с которых была совершена попытка выхода в Интернет через перегруженный маршрутизатор, либо очень медленно загружали HTTP-страницы, либо соединение завершалось, и выход в Интернет становился невозможен. На рабочей станции-жертве в этот момент наблюдались «зависания» ОС, доступ к информационным ресурсам происходил с большими задержками, наблюдались потери пакетов. Все это подтверждает анализ результатов утилиты ping, запущенной для тестирования соединения между атакуемой машиной и удаленной рабочей станцией, в качестве которой был выбран один из множества серверов Google с IP адресом 74.125.143.94. Утилита ping выполнялась два раза е интервалом в 30 секунд (до начала DoS атаки, а затем во время нее). Результаты выполнения команды ping представлены ниже.
Без DoS атак:
Обмен пакетами с 74,125.143.94 по 32 байт:
Ответ от 74.125.! 43.94: число байт=32 прими-118мсТТ1.=44 Ответ от 74.125.143.94: число байт=32 время=152мс TTL=47 Ответ от 74.125.143.94: число байт=32 время=388мс TTL=47 Ответ от 74.125.143.94: число байг=32 время=243мс TTL=47
Статистика Pingjyin 74.125.143,94:
Пакетов: отправлено = 4, получено = 4. потеряно = 0 (0% потерь),
Приблизительное время приема-передачи и мс: Минимальное = I 18мсек, Максимальное = 388 мсек, Среднее =225 мсек
При DoS атаке ICMP-flooding:
Обмен пакетами с 74.125.143.94 гю 32 бай т:
Превышен интервал ожидания для запроса.
Ответ от 74.125.143.94: число байт=32 время=1417мс TTL=48
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Статистика Ping для 74.125.143.94:
Пакетов: отправлено = 4, получено = 1, потеряно 3 (75% потерь).
Приблизительное время приема-передачи в мс: Минимальное 1417мсек, Максимальное = 1417 мсек. Среднее = 1417 мсек
Следующий тип DoS атаки, испытанный на имитационной модели локальной сети - UDP-storm, показал меньшее негативное воздействие, чем первый вариант
DoS атаки. При выполнении данной атаки наблюдалось уменьшение скорости доступа к удаленным ресурсам, однако атака не привела к потерям пакетов и к зависанию ОС машины-жертвы. Переход по страницам сайтов с портативных устройств осуществлялся без сбоев, но е некоторой задержкой в получении пакетов, Результаты выполнения команды ping представлены ниже.
При DoS атаке UDP-storm:
Обмен пакетами с 74.125.143.94 по 32 байт:
Ответ от 74.125.143.94: число байт=32 время=640мс Г! L 48 Ответ от 74,125.143.94: число байт=32 время=1092мс l'l'L=4S Ответ от 74.125.143.94: число байт=32 время=432мс TTL=48 Ответ от 74.125.143.94: число байт=32 время=723мс TTL=44
Статистика Ping для 74.125.143.94:
Пакетов; отправлено = 4, получено = 4, потеряно = 0 (0% потерь).
Приблизительное время прнема-псрсдачи в мс: Минимальное = 432мсек, Максимальное — 1092 мсек, Среднее =721 мсек
DoS атака SYN-flooding, также как и предыдущие DOS атаки, привела к увеличению трафика, поступающего на маршрутизатор. Однако воздействие ее на скорость передачи данных оказалось са-мым минимальным. Она не привела к потерям пакетов, более того, результаты выполнения утилиты ping показали, что скорость доступа к удаленной машине осталась на прежнем уровне.
При DoS атаке SYN-flooding:
Обмен пакетами с 74.125.143,94 по 32 байт:
Ответ от 74.125.143.94: число байт=32 время=139мс TTL=48 Ответ от 74.125.143.94: число йайт=32 время=191мс TTL=48 Ответ от 74.125.143.94: число бзйт=32 время=315мс TTL=4R Ответ от 74.125.143.94: число байт=32 время=241мс TTL=44
Статистика Ping для 74.125.143.94:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь).
Приблизительное время приема-передачи в мс: Минимальное = 139мсек, Максимальное = 315 мсек, Среднее “ 221 мсек
Трассы пакетов сетевого графика, захваченные на атакуемой машине с помощью ПО с открытым исходным кодом - анализатором сетевых пакетов Wircshark - рассмотрены ниже.
Статистические характеристики трафика с DoS-атакой
DoS-атака ICMP-flooding
На рис. 1 показаны временные последовательности пакетов, наблюдаемые в канате связи (в случае DoS-атаки ICMP-flooding) при различном времени агрегирования.
Процесс агрегирования производился по формуле
| к-т УГ=_ £ у* т
где Y - номер отсчета в полученном профиле, т - размер блока или интервал времени агрегирования, к - номер блока.
При времени агрегирования 0,1 с произведено 2468 измерений. Минимальное значение числа пакетов, наблюдаемых в канале связи 0, а максимальное - 148. Количество нулевых значений 174, а ненулевых- 2294, Число интервалов для построения гистограммы равно мак-
В табл. 3 приведет.! статистические характеристики трафика с аномалией Flash Crowd, а в табл,4 - критерии согласия Пирсон;: и случае аппроксимации скоплений пакетов стандартными распределениями при различном времени агрегирования (жирным шрифтом выделено наилучптее соответствие).
Исследования показывают, что в случае рассмотрения пакетов трафика (при аномалии Flash Crowd) для всех времен агрегирования (0,1 с, 0,5 е и 1 с) ПРВ логнормального распределения выражает лучшее соответствие.
На рис. 6 изображены нормированные корреляционные функции, соответствующие рассматриваемым экспериментальным данным, для времени агрегирования
0,1 с, 0,5 о и 1 с, а на рис.7 - периодограммы для этих экспериментальных последовательностей.
Вычисление автокорреляционной функции производилось с помозщью выражения
I N-k
r{k) =—YJ(x>-x){x,+k-х)
где к - лаг (временной сдвиг исходного ряда), 1 JL
Вы воды
В статье описан программ но-аппаратный комплекс для имитации агак типа DoS и Flash Crowd в локальной сети, состоящей из нескольких рабочих станций и портативных устройств.
Статистический анализ полученных реализаций при различном уровне агрегации 0,1 с; 0,5 с; 1 с показал что IIPB полученных реализаций отличается от гауссовского и описывается логнормальным распределением в случае аномалии Flash Crowd, и Гамма-распределением в случае DoS-атаки ICMP-flooding.
Сетевой трафик в условиях атак рассмотренного типа является самоподобным на рассмотренных временных масштабах.
Литература
1. Нестеренко В. А. Статистические методы обнаружения нарушений безопасности в сети. Информационные процессы, Том 6,№3, 2006.-С. 208-217.
2. Шелухин О.И. Мультифракталы, Инфокоммукикацион-ные приложения. - М.: Горячая линия - Телеком, 2011. - 576 с.
3. Кобзарь А И Прикладная математическая статистика. Для инженеров и научных работников. - М.: Физматлит, 2006.
4. Шеяухин О.И.. Гармашев А.В. Обнаружение DoS и DDoS атак методом дискретного вейвлет-анализа П T-Comm - Телекоммуникации и транспорт. Спецвыпуск по информационной безопасности, 2011, - С, 44-47.
5. Шелухин O.K. Гармашев А,В, Обнаружение аномальных выбросов телекоммуникационного трафика методами дискретного вейвлет-анализа Н Электромагнитные волны и электронные системы, 2012. №2. — С. 15-26.
6. Sheluhin О./. Atayern A.A., Garmashev А.В. Detection of Teletrafftc Anomalies Using Multifractal Analysis. International Journal of Advancements in Computing Technology, Vol. 3, No 4, May 2011. pp. 174-182.
Imitative modeling of traffic anomaly into local computer network Sheluhin O.I., Savelov A.V., MTUCI, Russia
Abstract
This paper describe imitative model of local network which including some workstations and portable devces. Imitative local network (in particular node which was chosen as the v'ctim) was tested on impact of attack different types (DoS and Flash Crowd) to studying of impact traffic anomaly on QoS of network. The estimation of decline conducting ability of information transmission channel was performed. And also the estimation of network operation possibility was performed by an assessment number of attempts to request information resource by users (HTML pages), using attacked network. This document including examples (with detail description of actions) of realized attacks into local network, which could have a big threat no only for certain users who use local network in personal interest, but also for many big companies. The traffic anomalies which was made by network attacks, was shown as sharp changes of network traffic value. This sharp changes was main reason of network equipment operation delay and access failure to remote resources.
Keywords: imiatiye model, traffic anomaly, local network, access to information resource, attack, intrusion detection system.
