Анализ средств противодействия одному виду атак типа «Отказ в обслуживании» Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056.53

А. С. Родионов, В. В. Шахов

Институт вычислительной математики и математической геофизики СО РАН пр. Акад. Лаврентьева, б, Новосибирск, 630090, Россия

E-mail: alrod@sscc.ru

АНАЛИЗ СРЕДСТВ ПРОТИВОДЕЙСТВИЯ ОДНОМУ ВИДУ АТАК ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ» *

Распределенная атака на отказ в обслуживании, известная как TCP SYN flooding, является серьезнейшей проблемой обеспечения безопасности современных сетей связи. В данной статье мы представляем новые модели анализа живучести сервера в условиях указанной атаки. Полученный инструментарий, разработанный с использованием теории цепей Маркова, применен для анализа производительности механизмов противодействия атакам типа SYN flooding.

Ключевые слова: цепи Маркова, DDoS атака.

Введение

В современных сетях связи наиболее распространенным и эффективным типом разрушающего информационного воздействия является атака «отказ в обслуживании» [1; 2]. Наиболее распространенная схема реализации подобных атак - задействовать ресурсы атакуемого сервера выполнением фальшивых запросов на обслуживание, для создания которых несанкционированно используются несколько серверов, расположенных в самых разных участках глобальной сети. В результате легальные пользователи получают отказ в обслуживании, вследствие чего данные разрушающие воздействия получили название DDoS (Distributed Denial of Service). Жертвами подобных атак становились такие известные Web порталы, как Yahoo!, eBay, CNN.com, Amazon.com [3]. Современные системы защиты, обслуживаемые высококвалифицированными специалистами по сетевой безопасности, становились совершенно беспомощными перед DDoS атаками, и в результате серверы компаний полностью вышли из строя на продолжительное время. Эффективных и универсальных средств защиты от DDoS в настоящее время не существует. Кроме того, регулярно появляются все более изощренные DDoS атаки, использующие новые возможности для разрушающих воздействий. Следовательно, развитие методов противодействия конкретным типам DDoS атак является наиболее перспективным направлением повышения эффективности средств обеспечения сетевой безопасности.

Около 90 % DDoS атак используют уязвимость TCP протокола [4]. Широко известным примером подобного рода является атака, известная как затопление очереди полуоткрытых соединений атакуемого сервера пакетами с запросами на установление соединения (TCP SYN flooding). Исследования атак данного вида широко представлены в научно-технической литературе, разработано множество методов защиты от TCP SYN flooding. Однако вопрос их качества остается открытым. Некоторые схемы защиты, такие как SYN cookies и SYN cache, были рекомендованы Службой реагирования на компьютерные инциденты CERT (Computer Emergency Rresponse Team) [5], но не поддержаны другими экспертами, указывающими на нежелательность модификации протокола TCP/IP. Специалисты Европейского института сетевой безопасности делают упор на укрепление стека TCP/IP, соотвествующий инструментарий реализован, например, в операционных системах: Microsoft Windows 2000, RedHat

* Работа выполнена при финансовой поддержке президентской программы «Ведущие научные школы» (НШ-4774.2006.1, НШ-931.2008.9, НШ-2121.2008.9), РФФИ (проект № 06-07-89038а), комплексного интеграционного проекта СО РАН 1.7 и проекта Минобрнауки РФ 2007-4-1.4-15-04-004.

1818-7900. Вестник НГУ. Серия: Информационные технологии. 2008. Том 6, выпуск 2 © А. С. Родионов, В. В. Шахов, 2008

Linux 7.3, Sun Solaris 8 и HP-UX 11.00. В последнее время появилось несколько новых механизмов защиты от SYN flooding, основанных на фильтрации пакетов, отличающиеся методами получения информации для анализа трафика и критериями обнаружения фальшивых пакетов. Несмотря на то что в некторых условиях интеллектуальные фильтры позволяют эффективно противостоять DDoS атакам, эксперты отмечают их существенный недостаток -отсутствие четкой политики блокировки пакетов. В частности, создание базы легитимных IP адресов с привязкой к источнику и блокировка всех нелегитимных запросов на соединение нарушает работоспособность некоторых существующих протоколов, подобных Mobile IP, т. е. при определенных параметрах окружающей среды система защиты от DDoS атак сама становится причиной DDoS. Таким образом возникает вопрос об экономической целесообразности внедрения того или иного механизма защиты и его адекватной эксплуатации.

При достаточно большом количестве публикаций по вопросам противодействия SYN flooding имеется всего несколько исследований аналитических моделей данной DDoS атаки [6; 7; 8]. Хотя указанные модели позволяют получить некоторые количественные оценки рассматриваемого разрушающего информационного воздействия, они обладают, помимо частных, общим существенным недостатком: особенности функционирования средств противодействия SYN flooding не принимаются во внимание, что ограничивает их практическое использование лишь оценками структурной надежности атакуемого сервера. В данной работе, обобщая и развивая результаты, опубликованные в [9; 10; 11], используя общепринятые модели случайных процессов в сетях передачи данных [6; 7; 8; 12], мы значительно расширим область применения аналитических методов анализа средств противодействия DDoS атакам типа TCP SYN flooding. Предлагаемые нами модели, разработанные с использованием теории цепей Маркова, позволяют не только снизить вычислительные затраты на оценку структурной надежности сервера, но и анализировать его функциональную живучесть.

Основные сведения о TCP SYN flooding

Реализация TCP SYN flooding. В основу реализации атаки TCP SYN flooding положена схема установления TCP-соединения, называемая тройным рукопожатием [13], которая упрощенно выглядит следующим образом. Клиент, инициализируя соединение, высылает серверу специальный пакет (SYN пакет). Сервер в ответ посылает SYN-ACK пакет, тем самым сигнализируя клиенту, что его запрос принят и сервер ожидает от клиента подтверждения для установления соединения. При этом делается запись о заявке на соединение в специальной очереди сервера, называемой очередью полуоткрытых соединений (ОПС). Клиент, получив SYN-ACK пакет, высылает подтверждение (ACK пакет), после чего начинает пересылать данные. Сервер, получив ACK пакет, удаляет соответствующую запись из ОПС. Соединение успешно установлено, приложения на соответствующих узлах могут обмениваться данными, все пакеты сессии нумеруются, получение каждого пакета подтверждается, потерянные или поврежденные пакеты пересылаются повторно и т. д. Заметим, что запись удаляется из ОПС и в случае, если сервер не получил соответствующий ACK пакет в течение некоторого максимально допустимого времени ожидания (тайм-аут). В этом случае соединение не установлено, пакеты клиента будут заблокированы.

Под ОПС отводится некоторый конечный объем памяти, размер очереди зависит от операционной системы. Если сервер получает SYN пакет, а очередь заполнена, этот пакет отбрасывается. В условиях атаки, называемой TCP SYN flooding, организуется огромное количество инициализаций соединения с атакуемым сервером, который отвечает SYN-ACK пакетами, но не получает на них ответа. ОПС сервера перегружена записями о фальшивых SYN пакетах, легальные пользователи не могут получить доступ к серверу. Однако атака должна быть продолжительной, иначе сервер будет доступен через время, не превышающее тайм-аут.

Средства противодействия TCP SYN flooding. Обычно на подготовительном этапе хорошо подготовленной DDoS атаки инфицируется относительно небольшое число компьютеров, которые не используются для генерации фальшивых запросов на соединение, но, в свою очередь, вынуждают другие серверы (не обязательно инфицируя их), устанавливать контакт с атакуемым сервером. Таким образом, злоумышленники не принимают непосредственного

участия в финальной стадии атаки, что делает их обнаружение маловероятным. Но в то же время организаторы SYN flooding имеют ограниченные возможности реагирования на оперативные меры противодействия атаке. Подобной очевидной мерой, например, может быть укрепление стека TCP/IP путем наращивания ОПС и уменьшения времени ожидания SYN-ACK пакета. Так, установленное по умолчанию значение тайм-аут может быть уменьшено до минимально допустимого или динамически определяться в зависимости от расстояния до источника SYN пакета [14]. Как уже отмечалось, большинство современных операционных систем располагает встроенными средствами динамического изменения режима работы стека TCP/IP, позволяющими противостоять SYN flooding.

Большинство известных средств противодействия SYN flooding в той или иной степени использует политику фильтрования трафика. В работе [15] предложено использовать шлюз на участке между клиентом и сервером, который имитирует установление соединения с сервером и высылает SYN-ACK клиенту. Если ACK пакет не получен, то клиент считается нелегитимным и все последующие пакеты с данного адреса отфильтровываются. Если ACK пакет получен, то шлюз инициирует соединение с сервером. Недостатком данного подхода является существенное снижение производительности сети в нормальном режиме. Кроме того, генерируя фальшивые IP адреса в широком диапазоне можно заблокировать и сам шлюз. Использование баз данных легитимных адресов представляется непрактичным, злоумышленник может генерировать фальшивые SYN пакеты, используя множество легитимных адресов отправителя. Широко используются статистические методы фильтрации, когда при подозрении на SYN flooding весь трафик из определенного источника блокируется, при этом не делается различий между легальными и нелегальными пакетами [16]. Критерием такой блокировки может быть, например, отношение числа SYN пакетов к числу ACK пакетов. Если оно существенно превышает единицу, то фиксируется атака [17].

Фильтрацию пакетов можно проводить посредством некоторого секретного кода, которым обмениваются легитимный клиент и атакуемый сервер, хотя такой способ потребует модификации протокола TCP/IP. Подобный механизм реализован в механизме SYN cookies [18; 19], где секретное сообщение (cookies) является функцией адреса отправителя, исходящего порта, адреса получателя, входящего порта и сгенерированного случайного числа. Особенность SYN cookies проявляется в том, что отправляя SYN-ACK пакет, содержащий cookies, сервер не делает запись в ОПС. Ни один SYN пакет не блокируется, но у сервера нет возможности ретрансляции SYN-ACK пакета в случае его утраты. Кроме того, секретный код в защитных схемах, подобный SYN cookies, может быть взломан, и сервер становится уязвимым для DDoS атаки фальшивыми ACK пакетами, последствия которой более тяжелые по сравнению с обычной атакой типа SYN flooding [20].

SYN пакеты также не блокируются при использовании схемы SYN cache [21]: в специальном разделе памяти сервера (cache) делается запись для каждого нового пакета, но если память переполнена, то самая старая запись удаляется. В некотором смысле и здесь реализована идея фильтрации - критерием легитимности источника служит время получения от него ACK пакета.

В последнее время было предложено несколько методов верификации легитимности пакетов с использованием маркировки пакетов на удаленных узлах между клиентом и сервером [1; 22; 23]. Однако полностью проблему это не решает, маркеры могут быть подделаны, кроме того, при некоторых способах реализации SYN flooding, пакеты, участвующие в атаке, получают легальные маркеры.

При описании того или иного метода противодействия SYN flooding авторы, как правило, фокусируют внимание на его плюсах, не уделяя достаточного внимания минусам. Например, использование любого из вышеперечисленных механизмов защиты в отсутствие атаки влечет снижение производительности сети, рекомендуется их активировать только в случае наличия вторжения, для обнаружения которого используются статистические методы обнаружения разладки случайного процесса [24; 25]. Точность обнаружения разладки может быть повышена, если известна оценка времени отсутствия потерь в наблюдаемой системе [26]. Для всестороннего анализа средств противодействия SYN flooding необходимы математические модели атаки, учитывающие специфику функционирования защитных средств.

Показатели качества защиты от SYN flooding. В условиях TCP SYN flooding атакуемый сервер не получает никаких аппаратно-программных повреждений, после окончания атаки быстро восстанавливает нормальное состояние ОПС. Реальный ущерб состоит в том, что легальный пользователь не может получить доступ к атакуемому серверу. Таким образом, имеет смысл рассмотреть подробно причины отбраковки SYN пакета. Перечислим их.

Собственно блокировка пакета - SYN пакет заблокирован сервером по причине переполнения ОПС. В предложенных ранее математических моделях атаки [6; 7; 8] рассматривалась только эта причина. Вероятность блокировки pB повышается с ростом предложенной нагрузки, снижается при увеличении емкости ОПС и уменьшении тайм-аута.

Короткий тайм-аут - SYN пакет удаляется из ОПС, если соответствующий SYN ACK пакет не получен до истечения тайм-аута. В нормальном состоянии при грамотных настройках сервера вероятностью данного события можно пренебречь. Однако при уменьшении тайм-аута в условиях атаки практически все удаленные пользователи будут заблокированы.

Ошибка фильтра - существует ненулевая вероятность того, что SYN пакет легального пользователя будет заблокирован фильтром (ошибка 1-го рода, E1). Это может быть обусловлено неэффективностью алгоритма распознавания, стратегией отбраковки, сохраняющей только многократно повторенный запрос и т. д.

Выше мы показали, что любой из методов защиты, кроме укрепления стека TCP/IP, в той или иной степени является фильтром. Рассмотрим характеристики фильтра, влияющие на перечисленные причины потери SYN пакета:

• уже упомянутая ошибка 1-го рода может полностью аннулировать эффект от использования фильтра;

• ошибка 2-го рода, E2 - вероятность не распознать фальшивый SYN пакет, что влечет увеличение pB ;

• коэффициент замедления, Z - проверка SYN пакета на соответствие правилам легитимности снижает производительность сервера, уменьшает интенсивность освобождения ОПС, что также приводит к увеличению pB .

Можно рассмотреть в качестве характеристики фильтра такой параметр, как запаздывание с активированием фильтра, если фильтр был деактивирован. Но аналитические вычисления и имитационные эксперименты показывают его несущественное влияние на эффективность защиты. В качестве модели сервера в условиях TCP SYN flooding обоснованно использование СМО вида M / M / n / n, где n - объем ОПС [6; 9; 11]. В качестве метрики атаки использовалась вероятность блокировки pB [6; 7; 8]. Очевидно, что при блокировке вообще

всех пакетов pB =0 и E2 =0, однако получаем неоправданно высокое значение E1 =1,

т. е. все легальные клиенты заблокированы, ситуация еще хуже, чем при отключенном фильтре. В [6] предложено еще и рассмотреть в качестве метрики отношения числа легальных и фальшивых SYN пакетов, записанных в ОПС: чем выше значения данного параметра, тем лучше переносятся последствия атаки. Но высоким значениям упомянутого отношения могут соответствовать и высокие значения E1. Кроме того, если для верификации пакета используется очень трудоемкая вычислительная процедура, перепроверяемая многократно по независимым каналам, гарантирующая E1 =0, E2 =0, но существенно замедляющая освобождение ОПС, то значение pB будет неоправданно высоким. Таким образом, при моделировании TCP SYN flooding, необходимо принимать во внимание все вышеперечисленные параметры.

Моделирование TCP SYN flooding

Общая модель защитного фильтра. Не привязываясь к конкретным программноаппаратным средствам верификации трафика, модифицируем систему M / M / n / n для ана-

лиза производительности средств противодействия SYN flooding с учетом критических параметров защиты.

Введем следующие обозначения. Пусть ОПС освобождается с интенсивностью д, которая зависит от расстояния до отправителя SYN пакета. Пусть интенсивность поступающей нагрузки будет X; XL - интенсивность нагрузки, создаваемой легальными пользователями;

S - интенсивность фальсифицированного трафика. Тогда состояние ОПС описывается Марковской цепью с конечным числом состояний n +1, где состояние j, j = 0,..., n соответствует j записям в ОПС, при этом возможны переходы только в соседние состояния, т. е. поведение ОПС соответствует процессу гибели и размножения. При деактивированном фильтре интенсивность размножения

X = X L + S,

при аквтивированном -

x* = X lE+S (1 - e2).

Интенсивность гибели при активированном фильтре: Zд . Предположим, фильтр активируется при наличии K записей в ОПС, K е {0,..., n} . Тогда уравнения равновесия для стационарных вероятностей pt, i = 0,..., n состояний ОПС выглядят следующим образом:

Р0Х = №

(X + i Д)Рг = XPi-1 + (i + 1) ДР;+1, i =1. K - 2

(X + (К — 1)д)pK-1 = XpK-2 + К^Дрк ,

(x* + K%) Рк = хРк-1 + КЫдРк+1,

(x* + гд*)Рг = x*Рг-1 + (; +1)Д*Р;+1, г = к +1. N - L

Отсюда, воспользовавшись условием нормирования

N

ЁРг =1,

г=1

найдем вероятность блокировки 8УК пакета, вызванной переполнением ОПС:

l^BLK

1

N!

д;

А

*

д

*

д

K-1

X

i-K

^ V^ + x^11 X

;=0 i! i=K i! W д ^д ;

Выживаемость SYN пакета (вероятность прохождения запроса на соединение) можно оценить следующим образом:

R = (1-E1)(1-Рв >

Полученные результаты позволяют вычислять производительность любых средств защиты, спроектированных по принципу фильтра, независимо от конкретной технологии сбора информации для отбраковки пакетов и критерия верификации легальности пакета. Предложенная метрика живучести включает в себя все рекомендованные критические параметры защиты в их взаимосвязи.

SYN cookies. В случае отсутствия у злоумышленника возможности перехватывать и взламывать cookies поведение ОПС также можно описать процессом гибели и размножения. Соответствующая цепь Маркова имеет те же состояния, что и модель потерь Эрланга [12], и еще одно дополнительное состояние g , смежное с n , отвечающее за генерирование cookies. В этом случае уравнение равновесия для состояния g имеет вид

Р.g д g = хРп ,

где дg - интенсивность вычисления cookies. Эффективность защиты оценивается по формуле

О - 1 Р Х р Х

R ID/ \ , Р ,

1 + B(p, n)pg |д |д g

где B(p, n) - B-формула Эрланга.

Укрепление стека TCP/IP. С ростом производительности аппаратного обеспечения сетевых узлов данный подход становится весьма эффективным. Этот способ защиты подразумевает:

• увеличение ОПС в случае обнаружения SYN flooding (например, в ОС Windows 2000 конфигурирование очереди выполняется через драйвер AFD.SYS, в ОС Sun Solaris 8 для этого служит команда ndd, в Linux RedHat 7.3 - команда sysctl);

• уменьшение времени хранения незавершенных подключений (например, уменьшение количества повторных передач SYN-ACK пакета и замена принятого по умолчанию фиксированного тайм-аута динамически определяемым по расстоянию до источника поступившего SYN пакета).

В данном случае E1 — E2 — 0, и метрикой ущерба от атаки является вероятность переполнения ОПС, которая определяется согласно B-формуле Эрланга:

B(P,N) —-/L (1)

i—0 i!

Здесь N расширенный объем ОПС. Формула (1) является ресурсоемкой, для больших значений N, ее использование затруднительно. На практике используют рекурсивные формулы, которые хотя и снижают стоимость вычислений, но также требуют временных затрат и затрудняют анализ. Заметим, что в случае атаки значение р является высоким и р >> N. Для снижения вычислительных затрат будет полезно следующее утверждение, которое мы приведем без доказательства:

для любой заданной точности se (0,1), если

р > n - 2 + —, s

тогда

1 - — < B(р, n) < 1 - — + s.

Р Р

Таким образом, имеет место приближенная формула для эффективности защиты:

B(p, N) * 1 (2)

Р V ^

Аппроксимация (2) позволяет находить и приближенное значение обратной функции Эрланга. Так, если задана допустимая вероятность блокировки пакета BSYN в условиях SYN

flooding, то расширенная емкость ОПС, необходимая для сохранения потерь на требуемом уровне, вычисляется как

N — P(1 - BSYN).

Нет необходимости задействовать большую память сервера.

SYN cache. В случае использования механизма защиты SYN cache любой поступающий SYN пакет не блокируется, но может быть удален из ОПС со временем, если до получения соответствующего ACK пакета поступило n и более новых SYN пакетов. Поведение ОПС можно также описать цепью Маркова с поглощающим состоянием, получить систему дифференциальных уравнений для вероятностей состояний (здесь имеет место процесс чистой гибели), решая которую, можно определить показатель эффективности защиты. Но есть более простой способ. Из начальных предположений следует, что вероятность отбраковки легального SYN пакета равна вероятности поступления n или более пакетов в течение экспоненциально

распределенного времени ^, с математическим ожиданием, равным среднему времени между отправкой 8УК-ЛСК пакета и получением АСК пакета (1/ д). Количество поступивших пакетов имеет распределение Пуассона с параметром X. Отсюда

= 1 - «-» ]Г-(ХгУ

Pb = у М.

i!

Показатель эффективности защиты:

R = 1- Pb = У n і:

n=0

n!

n=0

x e

-(к+^) xdx = ■

-1f

к

n

-У

Д + к n=0 ^к + Д.

Принимая во внимание свойства геометрической прогрессии, получаем

R=1-

к

n

к + д

= 1-

n

p+1

Очевидно, что для одних и тех же параметров сетевого окружения и емкости ОПС, в условиях противодействия атаке SYN flooding предпочтительнее укреплять стек TCP/IP, чем задействовать механизм SYN cache.

Заключение

Несмотря на обилие публикаций, посвященных DDoS атакам типа TCP SYN flooding, наблюдается дефицит методов анализа производительности защитных средств. Предложенные ранее немногочисленные модели SYN flooding не учитывают особенности функционирования защитных механизмов, таким образом, некоторые важнейшие показатели эффективности защиты не принимаются во внимание. В данной работе предложены модели, охватывающие все важнейшие показатели эффективности механизмов защиты от SYN flooding. Получены теоретические основы для разработки методики оценки целесообразности внедрения и модификации той или иной защитной схемы. Представленные результаты позволяют также проводить сравнение механизмов противодействия TCP SYN flooding и выбирать оптимальные настройки защиты в режиме реального времени.

Список литературы

1. Duan Z, Yuan X., Chandrashekar J. Controlling IP Spoofing Through Inter-Domain Packet Filters // IEEE Trans. on Dependable Secur. Computing. 2008. Vol. 5. Is. 1. P. 22-36.

2. Богдель Д. Е., Грязнов Е. С, Панасенко С. П. DDoS: механизм атаки и методы защиты // Вопр. защиты информ. 2006. № 3. С. 58-62.

3. GarberL. Denial-of-Service Attack Rip the Internet // Computer. 2000. Vol. 33. No. 4. P. 17-22.

4. Moore D, Voelker G., Savage S., Inferring Internet Denial of Service Activity // Proc. of USENIX Security Symposium '2001. Washington, DC, 2001.

5. CERT Advisory CA-1996-21 TCP SYN flooding and IP Spoofing Attacks. Available at http://www.cert.org/advisories/CA-1996-21.html, September, 1996.

6. Wang Y., Lin C., Li Q, Fang Y. A Queueing Analysis for the Denial of Service (DoS) Attacks in Computer Networks // Computer Networks. 2007. Vol. 51. Is. 12. P. 3564-3573

7. Khan S, Traore I. Queue-Based Analysis of DoS Attacks // Proc. of the 2005 IEEE Workshop on Information Assurance and Security. West Point, NY, 2005. P. 266-273.

8. Chang R. K. C. Defending against Flooding-Based Distributed Denial-of-Service Attacks: a Tutorial // IEEE Communications Magazine. 2002. Vol. 40 (10). P. 42-51.

9. Shakhov V. V., Choo H. On Modeling Counteraction against TCP SYN flooding // Springer Lecture Notes in Computer Science, ICOIN 2007 - LNCS. 2008 (in print). Vol. 4883.

10. Shakhov V. V. Performance Evaluation of Defence Mechanism based on Cookies // Proc. of the First International Conference on Ubiquitous Information Management and Communication, 8-9 February 2007, SKKU. Suwon, Korea, 2007. P. 159-165.

11. Shakhov V. V., Choo H. Analysis of SYN flooding Defense Mechanism // Материалы IX Междунар. конф. «Проблемы функционирования информационных сетей». Новосибирск,

2006. С.293-296.

12. Бертсекас Д., Галлагер Р. Сети передачи данных. М.: Мир, 1989.

13. Stevens W. TCP/IP Illustrated. Addison-Wesley Publishing Company, 1994. Vol. 1.

14. Fan M., Jun-yan Z, Wan-pei L., Guo-wei Y. Tradeoffs of DDoS Solutions // Proc. of the Fourth International Conference on Parallel and Distributed Computing, Applications and Technologies. Chengdu, China, 2003. P. 198-200.

15. Wang H., Zhang D., Shin K. SYN-Dog: Sniffing SYN flooding Sources // Proc. of the 22nd International Conference on Distributed Computing Systems. Vienna, Austria, 2002. P. 421-428.

16. Chen S., Ling Y., Chow R., Xia Y. AID: A Global Anti-DoS Service // Computer Networks.

2007. Vol. 51. Is. 15. P. 4252-4269.

17. Wang H., Zhang D., Shin K. G. SYN-Dog: Sniffing SYN Flooding Sources // Proc. of the 22nd International Conference on Distributed Computing Systems (ICDCS'02). N. Y., 2002. P. 1530-1539.

18. Schuba C, Krsul I., Kuhn M., Spafford G., Sundaram A., Zamboni D. Analysis of Denial of Service Attack on TCP // Proc. 1997 IEEE Symp. Security and Privacy. Oakland, CA, 1997. P.208-223.

19. Zuquete A. Improving the Functionality of SYN Cookies // Proc. of 6th IFIP Communications and Multimedia Security Conference. Portoroz, Slovenia, 2002. P. 57-77.

20. Chen S., Tang Y., Du W. Stateful DDoS Attacks and Targeted Filtering // Journal of Network and Computer Applications. 2007. Vol. 30. Issue 3. P. 823-840.

21. Lemon J. Resisting SYN Flooding DoS Attacks with a SYN Cache // Proc. USENIX BSDCon2002. San Francisco, CA, 2002. P. 89-98.

22. Kim Y., Lau W., Chuah M., Chao H. StackPi: New Packet Marking and Filtering Mechanisms for DDoS and IP Spoofing Defense // IEEE Journal on Selected Areas in Communications. 2006. Vol. 24. No. 10. P. 141-155.

23. Wang H, Jin C, Shin K. Defense against Spoofed IP Traffic Using Hop-Count Filtering Networking // IEEE/ACM Transactions. 2007. Vol. 15. Issue 1. P. 40-53.

24. Wang H, Jin C, Shin K. Change-Point Monitoring for the Detection of DoS Attacks // IEEE Trans. on Dependable Secur. Computing. 2004. Vol. 1. Issue 4. P. 193-208.

25. Tartakovsky A. G., Rozovskii B. L., Blazek R., Kim H. A Novel Approach to Detection of Intrusions in Computer Networks via Adaptive Sequential and Batch-Sequential Change-Point Detection Methods // IEEE Trans. on Signal Processing. 2006. Vol. 54. No 9. P. 3372-3382.

26. Rodionov A. S., Shakhov V. V. Point-of-Change Problem in the Information Systems with Exponential Distribution // International Conference Distributed Computer Communication Network (Theory and Applications). Tel-Aviv, 1999. P. 141-145.

Материал поступил в редколлегию 13.07.2008

A. S. Rodionov, V. V. Shakhov

Performance Evaluation of Defense Mechanisms against SYN Flooding DDoS Attacks

One of the main problems of network security is distributed denial of service caused by TCP SYN packets floods. In this paper we provide new analytical models for server survivability under SYN flooding. The models are based on the theory of Markov chains. We consider some well-known and wide-used defense mechanisms and evaluate their performance.

Keywords: TCP SYN flooding.