МЕТОДЫ ПРОТИВОДЕЙСТВИЯ УГРОЗАМ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ DDOS-АТАКАХ Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056.57

МЕТОДЫ ПРОТИВОДЕЙСТВИЯ УГРОЗАМ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ ПРИ DDOS-АТАКАХ

Кусаинова У.Б., Сарсенбаева Ж., Плескачев Д.В.

Кокшетауский университет им. Абая Мырзахметова (г. Кокшетау, Республика Казахстан)

Аннотация. Жертвой DDOS-атак может стать любая организация. Для оперативного восстановления работоспособности некоторые компании скорее предпочтут заплатить выкуп, нежели обратятся за помощью в правоохранительные органы. Ведь для крупных и средних компаний недоступность ресурсов порой означает если не остановку всего бизнеса, то значительные финансовые потери. DDoS-атаки - это распространенный инструмент недобросовестной конкуренции или маскировка взлома сайтов с целью кражи конфиденциальной информации. Защита от таких атак особенно актуальна для компаний, работающих в сети Интернет - в первую очередь, это банки, компании, работающие в сфере электронного бизнеса (интернет-магазины), ежедневно использующие системы платежей и заказов, контент-провайдеры, средства массовой информации. Рассматривается способы и алгоритмов обеспечивания защищенности сетевых ресурсов от DDoS-атак, позволяющих проводить интенсивное сопротивление именно на стороне атакуемого ресурса.

Ключевые слова: сервер, клиент, DDoS-атаки, сеть, интернет.

Цель статьи заключается в рассмотрении, анализе различных подходов противодействия угрозам нарушения информационной безопасности при DDoS-атаках.

Основная защита DDoS - атак нужно проводить с сервера данных. Выше говорилось что DDoS - атаки это отправка пустых запросов на сервер. На нынешний момент сервера не так уж защищены от угроз в виде DDoS - атаки.

Одним из нашумевшим данным можно назвать мощнейшие DDoS-атаки, достигавшие мощности 1,7 Тб/сек за счет Memcached-амплификации.

Теперь в сети были опубликованы PoC-утилиты для организации таких атак, а также IP-адреса 17 000 уязвимых серверов [1].

Но практически одновременно с этим специалисты компании Corero Network Security сообщили, что нашли способ защиты. Напомним, что злоумышленники научились использовать для амплификации DDoS-атак серверы Memcached, что позволяет усилить атаку более чем в 50 000 раз. Данный метод впервые был описан группой исследователей 0Kee Team из компании Qihoo 360 [2].

Тогда эксперты предрекали, что из-за эксплуатации Memcached-серверов мы увидим DDoS-атаки мощностью вплоть до 2 Тб/сек. Вновь о таком методе амплификации заговорили в конце февраля и начале марта 2018 года. Тогда компании Qrator Labs, Cloudflare, Arbor Networks и Qihoo 360 практически одновременно сообщили о том, что преступники действительно начали использовать Memcached для амплификации DDoS-атак, и отчитались от отражении атак мощностью 260-480 Гб/сек [3].

Затем на GitHub обрушилась атака мощностью 1,35 Тб/сек, а также были зафиксированы случаи вымогательских DDoS-атак, тоже усиленных при помощи Memcached. Эксплоиты Сразу три proof-of-concept утилиты для организации DDoS-атак с амплификацией посредством Memcached были опубликованы в сети.

Первая утилита — это написанный на Python скрипт Memcacrashed.py, который сканирует Shodan в поисках уязвимых Memcached-серверов. Скрипт позволяет пользователю сразу же использовать полученные IP-адреса для усиления DDoS-атаки [4]

Shodan можно найти сервера с открытым портом и копировать для атаки. И эти сервера выполняли атаку на определенный сервер. В этом случае ОкНиЬ. _ _

д1'" Янд| 1 © Stru 1 © disc 1 0 Misi 1 Qoc | © мо/i | © 201. 0 Kfo, 0 imi n 1 0 ,r f-t 1 © Mo; 1 0 until 1 ^Дио 1 E |И (25 0 тег + 0 X

<- -> С O fl shodan.¡o/search?query-SONY+Locat¡onFreeTV № Ъ Ф Q е Щ # -

Shodan а и«. иедовать ценообразование Корпоративный достуг I Новое ДЛЯ Шодана? Войдите нпк зарегистрируйтесь ^

бреши ^ Карты |

Новая услуга: отслеживать, что вы подключены к Интернету, Проверьте Шодан Монитор

СВЯЗАННЫЕ ТЕГИ:

HTTP / 1.1 200 OK

Сервер: SONY LocationFreeTV I LF-PK20JP HTTPD /1.1

MIHE-версия: 1.0

Тип контента: текст / HTML

Передача-кодировка: чанки

Cache-Control: без кеша

HTTP /1.1 20Й OK

Сервер: SONY LocatiorFreeTV / LF-PK20JP HTTPD /1.1

MIHE-версия: 1 .0

Тип контента: текст / HTML

Перелаза-кодировка: жанки

Cache-Control: без кеша

ЛУЧШИЕ СТРАНЫ

Корен, Республика

ЛУЧШИЕ ОРГАНИЗАЦИИ

@Home Network Japan СКП Малья рорсзаг

210.175.255.172 Ö"

210-175-256-172.BustM4Jme.ne.jp So-net Corporation

Добавлено 2020-04-20 21:58:13 GMT

60.42.240.206

■SO-42-240-206.541.B019.ap.plala.or.jp NTT

Добавлено 2020-04-26 18:01:49 CUT

27.137.193.160 ß1

27-137.1B3.160.rev.hame.nejp HTTP / ,

io 08.05.201010:03:54 GMT

Сервер: SONY LocatiorFreeTV ! LF-B1JP HTTPD /1.5 MIME-Крсия: 1.8

Рисунок 1. Главная страница выбора данных Shodan

[*| F11» urlTlrll

["I ОЧСЫ1Ч Sbudiin. If 1Í: ny: r'KEiPlcfWIC'IIlVLrfljrMO't)'

[г| 1ПЧГ- ] lid iSí h

[*] UiuiH yau llln tü ihiPi» API *r у Г <Wn>: Г_

niiiit <rí<r i¿ smujfr.iú [py:

[-] F[l* Krittln: ,/лр1_ЕхС

[-] ««ЦгМч íljtfar»! Pl»ífií üílt-

[II iPI Íry MJltftt futían MjfCfSi [") «Uta' uf ball: 1*H)T

[•) Entrr lirfit IP iWni:

[■] 1»глтг (jl) tP: läs. Í42.ÍB] ..: ¡ M: Ngní líf": iAKLÜA Int»rnit

M fwuht Jírvir (íí) IP: Iii. Sí .2Л .I'M I Нем IÍF: иагц:Ги*г ±ihti4iilrit Ce,,Litf. 1

f ■ 1 «Mci(h# i»rvtr (fiij 1 f: IU,I11.1M.1)5 | Oí: PK« I HP: ieftl»yi" T*flmjlceJ»t I

[»] n*«ici4 %*i'vti* i«' : IP- 1««. 14.341.lí I öS- тп* I ESP: 4! 1Mb* id^ftlilnj te.,LUÍ

[■] Пнсн1Ч S»rv»r- (At) ; IP: 45.Tt.ltl.lU Oí: Honr I [Sí: Choom. LLC I

í.j AtKichi Strvtr (etí 1 ]P: UI.I1I.U.U1 | Риш I IV: rmctnt (.¡end coeputing |

Г-] i»rver IP: Lü i. i í. |]fl. 1 i*. | □ Г|.:тр l^P: Sur. Netuarh . Kong i LUtM («ngknM^ НвскЪол |

Ы Н4ЧЕН1Ч lerrtr (ftil ! IP: ¡1.11I.1I.1H | Oí: Hen* | [5P- (ЩШ DÍ» Emlin Stajipn -

f.] l7J,ieí-5í-íl,- I Oí: Нщг* ISP; (^.^ch, '»tjjrk,

[■] i»rn»r (Ti) IP: 217.U.15 OS: í»n» i НГ: FfyíJH Nttka-ti |

[-] №t.r.(l4 *»rvfr (Ti) 1 IP: 1ÍB-!Í-I!l-1» I «: Neu» ( tíP: Hingjhpií Д! iaibi 4v<i4ilins Cí-.Hd. |

M*«cich4 ínwtr (73) I IP: m.i/ .ii.HJ Oft: Ken» i ISP: wjihou fiimbi ídn'tlilnj Со.ДН,

Ы »»««к» Í»i-Vfr (TJ) I 1С► : í04.71J.75.|1f I OS; №14 I5P: H»ng Тал« |

f.] rv.cuht ln-vtr (74) ; IF: ]«.t].a.*t | JS: líhuj 1 л i If: [imxi ícrvertUn»

Ff] $»nifr (TI) I IP: I «: wen» I I5P: Unuil. |

[>j NtlKlcht itrvtr (7t) ' IP 17«. 3Í.51.11» t»: l«nt I IH>: ЙН I

Ы n»«c((ht s»rvtr (TT) : ÍP: lJ)rieT.UT,#l | Ml r»nt " ti»; f»ncfni iJmio cwtini I

[>j М«Н1Ч »rvtr Í71) : IP: 42.62.1». к I us: чипе i hp (Mm wl№ Hl Jim i

[■] .'Vinn ¡«rvir (Tí) ¡ IP: и.ве.5». 114 ! OS: Muí» | ВУ: 11п(1лН4йр ,

í-i х#>ск:1ч Semer (Н) IF: 12».Í7.14S.S3 I DS: Hen! DF: Highen 4)lt»l9a MnrUalni b.,L1i). |

[-] "»nracH Urvir (Bl) I IP: I DS: Pdpr« | ISP: UBlqultf ipljtlcns La: n-gg^« I

M rte<tttci4 Server (в) I IP: 5Я.214.*.II: I OS: hh»it | ПР1 (hint irlntn jlmou dreHn« o^befi« I

[■] HiB.-i:M Strvrr (Ii) tP: 1B4. If;-ISI-IH I Oí: líprw I ISP; llDtd !

[4 NHiitM iervtr (14) . IP It.It.ЦТ. 171 »: Linio t.f.i I IIP: Amiíun.íe* ;

[F] Wrnr (tí) I TP 170,2$. Л.1Л OS VGHH- I [SP .ипцИди АЦЬйЬл MvfrtlllnK Co. , |_t d.

['] Strvtr (tt) IP- St.3rjt,T1,171 OS mnt I [Sir (hlf-ii UnUM Shtfito nttrig^H 1

If] PXicirhn í*rvpr (ВТ) I IP: Its. 5B. IS1.ÍÍ di' Hui I ist: WH №itinf |

I-] üruMlw Servtr (И) IP' tl.ll«.2U.|j ÖS' tow I [SP: CDNefherti

[.] ^lEicKf iffvpr . 1Ú: №474,11.1]; I 4qna 1-íP! ll.tcJlh jnlírnet v» Vjiilie Klrwtlarl rjc*rít L 1а |

1)1 НигиТм ttn»p CB«^ L IP: 11.1№.1Ц.1И I Д; Bw 1 HP; ЦМ-Mff'l

Рисунок 2.Скрипт для DDoS-атаки.

Автором данного решения является ИБ-специалист, ведущий блог Spuz.me. Вторая утилита была опубликована на Pastebin еще в начале текущей недели, ее автор неизвестен. Инструмент написан на C и комплектуется списком из 17 000 IP-адресов,

принадлежащих уязвимым Memcached-серверам. Скрипт запускает DDoS-атаку, используя адреса из списка для ее амплификации (усиления).

Третья представляет из себя эксплоит. DDoS — изначально тип сетевой атаки, основанной на небезграничности ресурсов атакуемой службы, к которой организуется масса запросов, с которыми она заведомо не сможет справиться, и будет вынуждена отказать в обслуживании, собственно, отсюда и название.

ф

V

Attacker

IP spoofed requests

"legitimate" responses

m

Victim

t

Рисунок З.Воздействие на UDP.

DDoS -атака через Memcached была популярна 2018 году. Статистика атаки выявлено в

рисунке 4.

Mil Trends of Protocols Used for Reflemon

eoo

гк>

T I I ■ I I I I ■ I ■ I I I I I I I I I I I I I I I I I I I I I I I I I I I I I

& ^ yfr _ j? <S> $ jk & ,s> jt> $ ^ > . j> j? „1?

^ ^ v ^ ^ & a* & SO1 Q1 Qv О" О1

i' -Л' А' А Л' Л1 А Л Л' A M Jg Jf M JT jr л? Af jr М А AS .♦>'

^ ^ ^' ^ ^ ^ ^ ^ ^ ^ ^ ^ ^

ИЕИЫСИЕ

Рисунок 4. График роста мемкашированных атак Примечание: [составлено автором]

50Gbps

В пике можно увидеть 260 Гбит/с на UDP-кэширование (рисунок 5)

Mem cached gbps

1

I 1 1 « || ,1, h 11 и lu

Рисунок 5. Пик мемкашированных атак

На это момент выглядел tcpdump: Основные пакеты имели размер 1400 байт. Если посчитать по формуле 23Mpps x 1400 байт выходит пропускная спсобность 257 Гбит/с, и эти данные указаны в рисунке 6.

$1 tcpcjmp -n -t -г memcrashed.рсгэ „ср and port 11211 -с 10 IP 87.93.235.10.11211 > 104.2В. 1.1.1635: UDPlength 13 IP 87.93.244.20.11211 > 104.28.1.1.41231: UDP, length 1400 IP 87.93.244.20.11211 > 104.28.1.1.41231: UDP, length 1400

IP 1S3.133.125.254,.11211 > 104.23.1.1.41231

IP 133.133.125.254,.11211 > 104.23.1.1.41231

IP 133.133.125. 254,, 11211 > 104.23.1.1.41231

IP 133.133.125.254,.11211 > 104.23.1.1.41231

IP 133.133.125.254,.11211 > 104.23.1.1.41231

IP 5.196.35.159.11211 > 104.28.1.1.1635: UDP, length 1400

IP 46.31.44.199.11211 > 104.28.1.1.6353: UDP, length 13

UDP; length 1400

UDP; length 1400

UDP, length 1400

UDP; length 1400

UDP; length 1400

Рисунок 6. Данные tcpdump

Уязвимые серверы memcached расположены по всему миру, и в основном в Северной Америке и Европе выше. Вот карта исходных ^-адресов, которые можно выделить 120+ точек присутствия:

Рисунок 7. Уязвимые серверы memcached Примечание: [составлено автором]

Даже сейчас можно посмотреть 8Ьоёап, там показывается о 88 000 открытых серверов шетсасЬеё:

memcached

Search for netum«) 87, S11 results on 26-02-201 &

Top Countries

m

S1 1

<

F

Г

; i-lBB

dir

1. United States

2. China

3. France

4. Japan

5. Hong Kong

6. Netherlands

7. Russian Federation

8. India

9. Canada 10. Germany

25,034 19,647 4,035 3,586 3,396 2,613 2,306 2,299 2,181 2,102

Рисунок 8. Открытые серверы в базе Memcached

Методы безопасности для Memcached сервера: отключить поддержку UDP. При запуске memcached вы можете указать —listen 127.0.0.1 просмотреть только localhost и -и 0 полностью отключить UDP. По умолчанию memcached прослушивает INADDR ANY и работает с поддержкой UDP ENABLED .

Если ответ как на рисунке 9, тогда сервер уязвим.

$ echo -en "\.х00\.х00\х00\к00\х00\х01\x00\.x00stats\rVT | ne -ql -u 127.0.0.1 11211

STAT pic 21357

STAT uptÏK 41557034

STAT time 1519734962

Рисунок 9. Уязвимость сервера

Надо убедиться memcached серверы защищены ли брандмауэром из Интернета. Типы DDoS - атак:

- TCP Flooding (SYN, SYN-ACK, ACK, RST);

- UDP Flooding;

- SMURF;

- HTTP Flooding;

- NTP monlist;

- ECHO;

- Chargen.

Для методологи безопасности от DDoS - атак, рассмотрен вариант облачную вычислительную систему.

Внешняя сеть

Рисунок 10. DDoS-атаки на Cloud Пути решения для магистерского проекта можно выделить два вида это: через реальные лаборатории и имитационное моделирование. В моей работе объединил два подхода в одну.

Наш подход

Real services Virtual Network

Рисунок 11. Пути решения

Функционал системы:

1. Создание топологий.

2. Настройка алгоритма поведения пользовательских компьютеров.

3. Подключение к реальным сетям.

Программное обеспечение для моделирование использовались:

DDOSIM предполагает собою сферу прогнозирования DDoS-атак также обладает вероятность имитировать ряд хостов «зомби», обладающих неожиданные IP-адреса, но кроме того целиком моделировать объединения TCP данных хостов со целевым сервером. Площадка DDOSIM выполнена в стиле С++ также функционирует в операторной концепции Linux. Возлюбленная дает возможность осуществлять атаки вида HTTP DDoS, SMTP DDoS также атаки, базирующиеся в протоколе TCP (к примеру, SYN-flooding) [5].

Комплект Trin00 предполагает собою план, дозволяющую осуществить атаки, базирующиеся в протоколе UDP. Нападающий модуль обладает вероятность регулировать некоторыми узлами, втянутыми во атаку, также менять характеристики передаваемых пакетов. Проект прописана в стиле Со также функционирует в операторных концепциях Linux также Solaris [97].

Площадка BoNeSi изобретена с целью балла влияния DDoS-атак также формует траффик ботик-узы. Дает Возможность производить атаки вида ICMPflooding, UDP-flooding, HTTP-flooding, TCP-flooding, реализовывать замену IP-адресов ключа, адаптировать подобные характеристики, равно как темп размена сведениями, размер передаваемых сведений, URL также др. Функционирует в операторных концепциях Linux, Ubuntu [6].

Проект Tribe Flood Network, сочиненная в стиле Со, дает возможность осуществить атаки вида ICMPflooding, SYN-flooding, UDP-flooding, но кроме того атаки вида Smurf [9]. Предполагает собою бинарную концепцию, один с частей каковой считается специалист, дающий указания представителям, но другим - процедура осуществлении атаки, исполняемый представителями. Проект функционирует в операторных концепциях Windows, Linux, Solaris [7].

Во труде предполагается сфера прогнозирования компьютерных сеток, DDoS-атак также элементов охраны. Во частности, был предложен система выявления DDoS-атак, указанный Distack. Сфера существовала создана в базе пакета прогнозирования OMNeT++, библиотеки INET также ReaSE. Кроме Того в базе OMNeT++ существовала предложена концепция прогнозирования ботик-сеток также элементов охраны с их.

|g OHN*T4 4/T*j*!W - HHt

№ Edit Sj.i'Maio пзрвсг уечг QpGons Hoi!'

. □ <

(inCtUSCfHDlt) IrEt.L.lSS hDStO?

га о щ ь.ч «л^ -ф

: t>.¡»¡¡а ц. f at ^: tq

Hun*:: lofti HiennafwiiM r-дэ¡>1ы?ам!а«яз м*»г

Megs stiiedJeci msii;-ггооги Bsjg¿¿»ипс r^eeS

Etfsec tfa Slnww/sec; rva Etfsimw;: nfa

л ее Eoji; лл^-ф ^

((inet.examples.Inettolnet.lneGJsefHoBt) lna(.5asS.host&7 (id-:I

u.]p HElJ^i

и Inst (1 -il) (id-

□ in

:n aeemedfon

□ Diiarncrion. f (TASi ИЙШ1 |TAS

HHsasS jSAS MsassjsAS

m I ГА&:

фНия^ЙАЗ Ш Вяэзй |SAS Ш В?1эя7 ¡GAS.

□ 1®зэзй ;SAS

а ;QAS

П dimeter I fE ■ jchedulfd-e^

i£OulYi(teH liWt.tmettH.iUl

Л ii

[COiJlVeCtCf) 1гЧ1!гг№Вг1 Out.viC (p-VOrbC

ТГЖТ77Й?ПГЕГ

Mvalue Mi' yAie= 64390 OplionE

[r,|1-.1 LT.r-j l.-^.nji.lv-j'.'-J.piiK^T n™ 't

[rMtnllilng^Otl.ili- l^i.^jrt.haitj М11Й». Vi^f H

Initial nine PKrtil* . 11Л4Ч1 ini-I ,«>

[uli-sliiine w isnsii ineLami

EnLthfeLkcJltfi ■ Jul:-:■■,. LJ.: . .■., hoiIJLE I'll L_-s!.: i: ■■ lull

l'ii I . jI :ич. n'<Nh ■

[ni I . '¡I: 7 ira ■ +|! p ГП|1 nl ' f M'L. MMi hit .AILII'1? ! nit I z |. j ««iuLi i Ti I tt|| l ~1 ^z-i'.i l-'ll.-sl.Jll Mil 11 [AitlllkllnC L . J i!: IniL-tli/ir, KAIII Гц L ill l: il- _ н ft i! ■

EnltlllkCbV "f^M» htnlklic "«ill» C*i1t]*LiZjns lOjub Lnit^l :zi> s t Initial LLII^ haJult [fdtnHUni nOduLc [■nL-4i..-nv ■ JuLi l'ii .h!: : ii". MiLlr

BflttnffiSi ■

Рисунок 13. ПО для моделирования Примечание: [составлено автором]

Рассмотрим модель DDoS-атаки:

DDoSn = (I ddos, TDD , AG, f , NP, Mspoof, PPk),

где IDDoS - идентификатор атаки;

TDD - тип атаки;

AG - цель атаки;

f - частота;

NP - число пакетов;

Mspoof - методы подмены IP-адреса;

PPk - параметры пакета.

Проанализируем исследование согласно прогнозированию атаки вида NTP. Во заключительное период подобные атаки вербуют значительную известность из-за результат увеличения, что выходит присутствие ее осуществлении. Сущность атаки заключается во последующем. Нападающие участки отправляют требование, включающий особую указание get_monlist, в NTP-компьютер, заменяя присутствие данном местоположение отправителя в местоположение потерпевшие. Во результат в данную указание NTP-компьютер отправляет комплект, включающий перечень с 600 IP-адресов, обращавшихся к нему прежде [8].

Таким Образом, отправление со нападающего участка запроса величиной 234 байт приводит ко этому, то что результат NTP-сервера, что попадет в атаковываемый компьютер, станет обладать объем 48 Кбайт, то что дает возможность повысить размер трафика примерно в 200 раз. Во проложенном опыте линия заключается с 1-го NTP-сервера, 8 маршрутизаторов также 12 конструкций, 7 с каковых получают содействие в атаке. Атаковываемый компьютер никак не оборудован приспособлениями охраны. Замена IP-адреса ключа введена. Местоположение ключа подменяется в Г?адрес сервера-потерпевшие. Отправление пакетов совершается согласно протоколу UDP, порт 123. NTP-компьютер во этом опыте посылает перечень с 100 адресовавшихся к нему IP-адресов, т. е. повышение представлено никак не наибольшее. В 200-кругленькой секунде узлы приступают к атаке.

В рис. 14 представлен траффик, прибывающий в атаковыванный компьютер: а - единый вступающий траффик, б - законный общепользовательский траффик также вредный траффик.

400

^350

у 300

= 250

£200 г

„ 150

§100 * 50

________________________________JVy4 ArrfwJI

................j..................1......

- .....A---J .. ,1. 1

1 50 100 150 200 250 300 350 400 450 500 550

с

400 .у 350 ззоо = 250 ¡200 ¡150

3 100 50

i

V 1

;

1' 1 1

. ....... j., 1.......1

I 50 100 150 200 250 300 350 400 450 500 550 б

Рисунок 14. Трафик при атаке.

Современные защитные решения обеспечивают мониторинг трафика, его фильтрацию, способствуют обнаружению сетевых атак различного типа. Они очищают трафик от паразитных пакетов, не препятствуя доступу легитимных пользователей, отслеживают наличие аномалий, а в случае их выявления информируют клиента о возможной DDoS-атаке. Использование подобного программно-аппаратного комплекса позволяет оператору связи или владельцу ЦОДа поддерживать качество предоставляемых услуг, непрерывность бизнес-процессов, а также снизить риски для клиентов.

Поведение сетей в данных опытах соответствовало действию настоящих сетей, приобретенные итоги адекватны результатам, которые существовали бы получены присутствие проведении опыта во подобной настоящей сети. Во последующем намечается создать система введения во имитируемую линия настоящих компьютеров с целью увеличения правильности исполнения определенных DDoS-атак.

Таким образом, в данной работе описана система имитационного моделирования DDoS-атак и механизмов защиты от них[9].

Библиографический список

1. Максименко В.Н., Даричева А.Н. Методические подходы к оценке качества услуг контакт-центра // Экономика и качество систем связи, 2017. - № 1 (3). - С. 79-88.

2. Гамаюнов Д. Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов: дисс. ... канд. физико-математических наук / Моск. гос. ун-т им. М.В. Ломоносова. - М., 2007.

3. Peng Liu. Denial of Service Attacks. School of Information Sciences and Technology. University Park, 2004.

4. OMNeT++ simulation system. URL: http:// omnetpp.org/.

5. Спецификация программы DDOSIM. URL: http://stormsecurity.wordpress.com/2009/03/03/application-layer-ddos-simulator/.

6. Спецификация программы Trin00. URL: http:// www.iss.net/security_center/reference/vuln/Trin00_Dae mon_Request.htm.

7. Спецификация программы BoNeSi. URL: https:// code.google.com/p/bonesi/.

8. Спецификация программы Tribe Flood Network. URL: http://packetstormsecurity.com/di stributed/TFN2k_ Analysi s-1.3.txt.

9. Gamer T., Mayer C. Large-scale Evaluation of Distributed Attack Detection // 2nd Intern. Workshop on OMNeT++, Rome, Italy, 2009.

Кусаинова Улжан Болатовна, магистр технических наук, старший преподаватель кафедры Информационные системы и Информатика, Кокшетауский университет им.Абая Мырзахметова (Республика Казахстан, г. Кокшетау).

Сарсенбаева Жаныл, магистр техники и технологии, преподаватель кафедры Информационные системы и Информатика, Кокшетауский университет им.Абая Мырзахметова (Республика Казахстан, г. Кокшетау).

Плескачев Денис Владимирович, магистр технических наук, преподаватель кафедры Информационные системы и Информатика, Кокшетауский университет им.Абая Мырзахметова (Республика Казахстан, г. Кокшетау). e-mail: ulzhan-92-92@mail.ru.

Дата поступления статьи: 16.09.2020

© Кусаинова У.Б., Сарсенбаева Ж., Плескачев Д.В.