УДК 004.7
Титов Федор Михайлович Titov Fyodor Mikhailovich
Студент Student
Санкт-Петербургский политехнический университет Петра Великого
Peter the Great St.Petersburg Polytechnic University
ИССЛЕДОВАНИЕ МЕТОДОВ ЗАЩИТЫ ОТ АТАКИ DDOS RESEARCH DEFENSE METHODS AGAINST DDOS ATTACK
Аннотация. В статье приводится описание проблемы DDoS-атак в современном мире, а также методы их предотвращения. Кроме того, рассматриваются основные виды DDoS-атак. Также приводится статистика DDoS-атак за первый квартал 2021-го года.
Abstract: The article describes the problem of DDoS attacks in the modern world, as well as modern methods to prevent them. In addition, the main types of DDoS attacks are discussed. It also provides statistics on DDoS attacks for the first quarter of 2021.
Ключевые слова: сети, хакерство, атака DDoS, HTTP-flood, SYN-flood, GRE-flood, ICMP(v6)-flood, Smurf-атака.
Keywords: networks, hacking, DDoS attack, HTTP-flood, SYN-flood, GRE-flood, ICMP(v6)-flood, Smurf attack.
За последние десятилетия интернет значительно повлиял на жизнь человека. Он не только изменил методы взаимодействия между людьми, но и в некоторой степени автоматизировал технологию работы многих предприятий и организаций. Сегодня является актуальной задача обеспечения безопасности средств носителей конфиденциальных данных компаний от внешних сетевых атак и угроз.
Сетевая атака - это нанесение злоумышленниками намеренного вреда некоторой программной системе [1]. Среди наиболее известных вредоносных сетевых программных средств можно выделить атаки DoS и DDoS.
Dos-атака - это хакерская атака, которая совершается с целью вывода из строя системы-жертвы, после чего к ней становится невозможно получить
«Научные междисциплинарные исследования» удаленный доступ [1]. Атака, которая выполняется одновременно с множества
компьютеров, называется распределенной атакой DoS или DDoS-атакой
(Distributed Denial of Service) [2].
Существуют различные виды DDoS-атак. Далее рассмотрим их подробнее.
HTTP-flood. В данном случае осуществляется попытка вызова отказа системы путем отправки множества HTTP-пакетов к целевому серверу. Множество нелегитимных HTTP-пакетов вызывают переполнение пропускающей полосы и, как следствие, сбой в работе системы [2].
SYN-flood. Атаки типа SYN-flood основываются на некоторых особенностях «тройственного рукопожатия» в результате установки соединения. На каждый входящий пакет программная системе необходимо зарезервировать ресурсы в памяти SYN, сгенерировать ответ SYN+ACK, осуществить поиск в таблицах сессий и т. д. На выполнение данных операций программная система расходует свои ресурсы. В результаты наступает отказ в обслуживании.
ICMP(v6)-flood. В данном виде атак задействуется механизм эхо-ответа. При атаке ICMP(v6)-flood злоумышленник осуществляет отправку системе-жертве большого количества пакетов с различными недействительными поддельными IP-адресами источника. Это приводит к неэффективной трате ресурсов системы жертвы. Атака значительно уменьшает пропускную способность сети, в результате чего настоящие пакеты данных не могут быть обработаны системой [3].
Smurf-атака. Большое количество пакетов протокола ЮМР с недействительным исходным адресом IP, который заменяется на адрес системы-жертвы, направляется по адресу широковещательной рассылки в некоторую компьютерную сеть [4]. Далее устройства, которые находятся в данной сети, направляют свой ответ на адрес жертвы, тем самым вызывая сбой работы целевой системы [4].
1,10%
1,43%, __п /
ф UDP ф TCP ф SYN ф GRE ф HTTP
Рис.1. Статистика DDoS-атак за первый квартал 2021-го года [5].
GRE-flood. GRE (Generic Routing Encapsulation, «универсальная инкапсуляция при маршрутизации») — это протокол туннелирования трафика, применяющийся, в частности, для создания виртуальных частных сетей (VPN). GRE в данном случае используется, как и любой другой сетевой протокол для перегрузки целевого сервера нежелательным сетевым трафиком. В отличие от других некоторых протоколов, источник пакетов GRE невозможно подделать. Для выполнения массированной атаки GRE злоумышленнику необходимо задействовать большое количество реальных вычислительных устройств.
Статистика по типам атак за первый квартал 2021-го года (рис. 1) показывает, что наиболее распространенным видом атаки является UDP-flood [5]. Кроме того, можно наблюдать, что SYN-flood оказался на третьем месте, однако данный вид атак ранее занимал первое место. Также незначительно выросли доли GRE-flood и HTTP-flood атак.
Рассмотрим механизмы противодействия атакам DDoS. Меры противодействия включают в себя две основные составляющие:
«Научные междисциплинарные исследования»
- предотвращение атаки;
- обнаружение атаки;
Главной целью предотвращения атаки является остановить атаку до фактического нанесения ущерба. Данный подход состоит из схем защиты, развернутых в маршрутизаторах для фильтрации вредоносного трафика и пропуска только легитимных пакетов [6].
К методам защиты относят:
- Входящая/исходящая фильтрация. В данном случае разрешаются входящий и исходящий трафик только в том случае, если исходные адреса трафика находятся в пределах ожидаемых IP-адресов.
- Фильтрация пакетов на уровне маршрутизатора. Маршрутизатор определяет, прибыл ли текущий пакет в соответствии с его адресами источника и назначения, при этом учитывая ограничения достижимости, накладываемыми топологией сети и маршрутизацией [6].
- SAVE-протокол. Промежуточные маршрутизаторы с помощью функции SAVE создают таблицу, содержащую блоки входящих действительных адресов источника для каждого из своих каналов [6]. На основе этой таблицы маршрутизатор определяет, приходит ли пакет с правильного направления или нет.
- Фильтрация пакетов с подсчетом переходов (Hop count packet filtering, HCF). Маршрутизаторы сети ведут таблицы переходов для каждых легитимных пользователей. Таким образом, вредоносная атака обнаруживается несоответствием реального количества переходов в сети с ожидаемым [6].
Следующая группа включает в себя методы, связанные с обнаружением атак [6]. К данной группе относятся:
- Обнаружение на основе шаблонов. Этот механизм определяет уникальные шаблоны известных DDoS-атак и отличает их от обычных шаблонов. На основе этой дифференциации создается база данных известных шаблонов атак. Шаблоны затем используются для выявления вредоносных действий в сети [6].
XVI Международная научно-практическая конференция
- Спектральный анализ. В спектральном анализе сигнал извлекается на основе количества поступивших пакетов за фиксированный интервал времени. Спектральная плотность мощности этого сигнала будет демонстрировать сильную периодичность вокруг времени обхода в обоих направлениях потока при нормальных условиях, тогда как атакующий поток отклоняется от этого поведения [6]. Таким образом, на основе этого анализа можно идентифицировать потоки DDoS-атак.
- Механизм обнаружения аномалий. Статистическое обнаружение аномалий состоит из двух основных частей: определение эффективных параметров (например, длина 1Р-пакета, скорость) для генерации показателей сходства, вычисление сходства между предопределенным нормальным профилем трафика и новым трафиком [6].
- Нейронные сети. На сегодняшний день происходит повсеместное внедрение нейросетей в различные сферы для решения самых разнообразных задач. Сфера защиты информации в этом плане не исключение. Существует множество алгоритмов, построенных с использованием нейросетей, которые используются для обнаружения DDoS-атак. Например, в работе [7] представлен способ обнаружения атаки типа SYN-flood с использованием математического аппарата нечетких нейронных сетей. В работе [8] описан еще один способ обнаружения DDoS-атак на основе глубоких нейросетей с легковесной архитектурой.
В заключение можно сказать, что атаки DDoS - все еще одна из основных угроз как для крупных компаний, так и для рядовых пользователей. Злоумышленники постоянно стараются исследовать новые уязвимости для нанесения ущерба. Таким образом, необходимо постоянно работать над улучшением методов эффективного и комплексного противодействия атакам DDoS.
«Научные междисциплинарные исследования» Библиографический список:
1. Басканов А.Н. Способы противодействия и средства раннего выявления DDoS-атак. // Экономика и качество систем связи. - 2019. - Режим доступа: https://cyberleninka.ru/article/n/sposoby-protivodeystviya-i-sredstva-rannego-vyyavleniya-ddos-atak (дата обращения: 2021-06-24).
2. Gu Q., Liu P. Denial of Service Attacks. // Handbook of Computer Networks: Distributed Networks, Network Planning, Control, Management, and New Trends and Applications, Volume 3. - 2012.
3. Tripathi N., Mehtre B.M. DoS and DDoS Attacks: Impact, Analysis and Countermeasures. // Conference: Advances in Computing, Networking and Security, 2013 TEQIP II National Conference. - 2014. - Access Mode: https://www.researchgate.net/publication/259941506_DoS_and_DDoS_Attacks_Imp act_Analysis_and_Countermeasures (online; accessed: 2021-06-15).
4. Афанасьева Д.В. Проблема DDoS-атак. // Наука, образование и культура. - 2019. - Режим доступа: https://cyberlenmka.ru/artide/n/problema-ddos-atak (дата обращения: 2021-06-23).
5. securelist - DDoS-атаки в I квартале 2021 года. - 2021. - Режим доступа: https://securelist.ru/ddos-attacks-in-q1-2021/101390/ (дата обращения: 2021-06-24).
6. Zeb K., Baig O., Asif M.K. DDoS Attacks and Countermeasures in Cyberspace. // IEEE 2nd World Symposium on Web Applications and Networking (WSWAN). - 2015. - Mar. - P.1-6.
7. Слеповичев И.И. Обнаружение DDoS атак нечеткой нейронной сетью. // Известия Саратовского университета. Новая серия. Серия Математика. Механика. Информатика. - 2009. - Режим доступа: https://cyberleninka.ru/article/n7obnaruzhenie-ddos-atak-nechetkoy-neyronnoy-setyu (дата обращения: 2021-06-21).
8. Doriguzzi-Corin R. Lucid: A Practical, Lightweight Deep Learning Solution for DDoS Attack Detectionn. // IEEE Transactions on Network and Service Management. - 2020. - Feb. - P.1-14.