Kvasov Mikhail Nikolaevich, adjunct faculty, kvasov_mn@mail. ru, Russia, St. Petersburg, Mozhaisky Military Space Academy
УДК 519.872.8; 004.75; 004.056.5
МОДЕЛИРОВАНИЕ НАРУШЕНИЯ ДОСТУПНОСТИ ИНФОРМАЦИОННЫХ ОБЪЕКТОВ НА ОСНОВЕ НИЗКОИНТЕНСИВНЫХ СОЕДИНЕНИЙ
В. А. Гончаренко, А.Н. Соколовский, А.С. Швецов, А.Ф. Шинкаренко
Предлагается подход к моделированию нарушения доступности информационных объектов на основе низкоинтенсивных соединений. Для этого моделируется работа веб-сервера при низкоинтенсивной атаке на удержание каналов в открытом состоянии с учетом работы средств защиты. Для описания этой модели используется система массового обслуживания с n каналами обслуживания и специальным классом отрицательных заявок, моделирующих работу системы защиты веб-сервера. Для аналитического расчета модели используется гиперэкспоненциальная аппроксимация второго порядка распределения времени обслуживания. Отличительной особенностью модели является отсутствие требований высокой интенсивности атаки.
Ключевые слова: система массового обслуживания, отрицательные заявки, отказ в обслуживании, веб-сервер, гиперэкспоненциальное распределение, низкоинтенсивные DDoS-атаки, доступность, нагрузочное зондирование.
В эпоху глобальной информатизации общества одними из важнейших информационных ресурсов являются веб-сайты государственного, военного, делового и корпоративного значения. Доступность и популярность этих ресурсов обеспечивают соответствующим кругам сильное влияние на общественное сознание. Информационные услуги, новости и пропаганда, реализуемые через известные сайты, рассматриваются в современном обществе как мощный информационный ресурс государства [1].
В настоящее время известны различные технологии программного подавления веб-сайтов сетевыми информационно-техническими воздействиями (ИТВ) на соответствующие веб-серверы провайдеров [2]. Наиболее известный способ ИТВ - проведение DDoS-атак на серверы. Такие воздействия нацелены как на серверные кластеры и сети в целом, так и на конечные хосты. Их задачей является максимальное потребление предоставляемых ресурсов с целью нарушения или значительного ухудшения
245
доступности сервиса легальным пользователям. Такими ресурсами могут быть ширина канала, процессорное время серверов и роутеров и др. Например, SYN-атака нацелена на переполнение стека TCP операционной системы веб-сервера, ICMP-атака забивает полосу пропускания служебными ICMP-пакетами.
Для обнаружения подобных атак необходимо построение контрольных характеристик трафика при работе сети в штатных условиях с последующим поиском аномалий в структуре трафика (отклонения от контрольных характеристик) [3]. Аномалией сетевого трафика называют событие или условие в сети, характеризуемое статистическим отклонением от стандартной структуры трафика, полученной на основе ранее собранной информации [4, 5]. При любом отличии в структуре трафика, превышающем определенное пороговое значение, срабатывают средства защиты.
Вместе с тем, существующие методы обнаружения DDoS-атак, позволяющие эффективно распознавать DDoS-атаки транспортного уровня (SYN-flood, UDP-flood) малоэффективны для обнаружения низкоинтенсивных DDoS-атак прикладного уровня (HTTP GET-flood и HTTP POST-flood). Атаки типа HTTP-flood основаны на посылке HTTP-запросов на атакуемый веб-сервер с целью занять место в очереди на выполнение запроса и не допустить полезный трафик или увеличить время его обработки. Вредоносный трафик от этих атак трудно отличить от легального HTTP-трафика пользователей, к тому же каналы передачи данных практически не перегружаются. Все это приводит к потерям запросов и ответов, т.е. к фактическому отказу веб-серверов, что представляет серьезную угрозу доступности информации в компьютерных сетях [6, 7].
Данные факты обуславливают актуальность и необходимость изучения механизмов низкоинтенсивных DDoS-атак прикладного уровня.
1. Модель воздействия на информационный объект низкоинтенсивными соединениями
Рассмотрим модель работы веб-сервера [8]. Основной задачей вебсервера является ожидание запросов от пользователей и отправка им ответов на них. Взаимодействие с клиентами происходит по протоколу HTTP. Пользователь через веб-браузер запрашивает HTML-страницу или какой-либо файл. Веб-сервер связывает запрос с файлом или направляет запрос программе для генерации необходимых данных. Затем веб-сервер отсылает ответ пользователю [8, 9].
На рис. 1, а изображена упрощенная структура описанного процесса: пользователь взаимодействует с браузером, а браузер отсылает запросы HTTP-серверу, который, в свою очередь, читает файлы из хранилища. На данной схеме изображено только одно соединение, хотя браузер может соединиться с множеством серверов и ресурсов одновременно.
На рис. 1, б изображены процессы, происходящие в системе. Сначала пользователь вводит URL (Uniform Resource Locator) в браузере или переходит по гиперссылке. Затем веб-браузер получает IP-адрес сервера от
DNS-сервера по его URL и устанавливает с ним TCP/IP-соединение. Используя это соединение, браузер отсылает GET-запросы веб-серверу. Вебсервер читает и обрабатывает запрос. Затем он отсылает данные запрошенного ресурса, используя установленное соединение, и завершает его
а
б
Рис.1. Общая структура и поведение веб-сервера
Процесс обслуживания HTTP-запросов начинается с установления соединения с веб-сервером. После установления соединения начинается процесс обработки заголовка запроса (обработки метаданных) и формирования URI (Uniform Resource Identifier). В зависимости от типа запросов их обработка может пойти по одному из нескольких направлений - обработка выдачи файлов, вызов (основываясь на URI) одного из обработчиков запросов на скриптовых языках (PHP, Java, Perl, Python) или CGI. Обращение к базе данных и получение ответа является наиболее трудоемкой частью обработки HTTP-запросов. После обработки и выполнения запроса производится выдача результата ее выполнения.
Низкоинтенсивные атаки представляют собой периодический трафик малого объема, то есть всплески [5]. В момент, когда открытая сессия подключения должна закрыться по таймауту, посылается новый всплеск для поддержания данной сессии в открытом состоянии. Постепенно буфер сервера будет переполняться, что приведет к отказу обработки легитимного трафика. Отличительной особенностью такого подхода является то, что не требуется большой пропускной способности и вычислительной мощности у атакующей стороны. Кроме того, системе защиты атакуемой стороны довольно сложно отличить вредоносный трафик от легитимного.
Модель функционирования веб-сервера при потоке запросов на соединение представлена на рис. 2.
Мониторинг системы защиты
Рис. 2. Модель сервера с п каналами обслуживания при низкоинтенсивной атаке на удержание каналов в открытом состоянии с учетом работы средств защиты
Периодический трафик атаки Латаки, схема которого показана на рис.3, вместе с потоком легальных запросов поступает на веб-сервер, который имеет п каналов обслуживания. Каждый канал может обслуживать одного пользователя. Поток реакции системы защиты сервера на перегрузку каналов установленных соединенийЛ-защ работает следующим образом: при заполнении большого числа каналов обслуживания (в зависимости от настроек системы защиты, среднее значение около 70 %) происходит сброс «долгих» соединений. Интенсивность сброса соединений Л-(к) показана на рис. 4, где к - процент занятых каналов.
Рис. 3. Интенсивность атаки с одного источника воздействия
Особенностью проведения низкоинтенсивной атаки является управление периодом атаки Татаки, показанным на рис. 3. Основной целью воздействия является длительное удержание каналов обслуживания медленными пакетами, которые имитируют работу легального пользователя. Стратегия и общая схема таких атак представлены на рис. 5.
248
Рис. 4. Интенсивность сброса соединений
Клиент Сервер
Неполный НТТР-запрос
ТО ТО
Продолжение НТТР-запроса
Продолжение НТТР-запроса
Продолжение НТТР-запроса
Продолжение НТТР-запроса
Клиент Сервер
Запрос на большой файл
ТО ТО
Чтение пакетами
малого размера
Чтение пакетами
малого размера
Чтение пакетами
малого размера
Чтение пакетами малого размера
С
Сообщение таймаута сервера
I
Последний запрашиваемый пакет
Рис. 5. Стратегия и общая схема атаки на длительное удержание каналов обслуживания сервера медленными пакетами
Низкоинтенсивная атака из одного источника воздействия представляет собой произвольный поток. При моделировании низкоинтенсивной атаки из нескольких источников суммарный поток можно считать близким к пуассоновскому. Чтобы доказать это, необходимо просуммировать произвольные потоки в терминах начальных моментов или семиинвариантов [10]. Сходимость результирующего потока к простейшему может быть довольно медленной, что зависит от параметров суммируемых потоков. Показатель, характеризующий близость суммарного потока атаки к простейшему (пуассоновскому), называется коэффициентом немарковости суммарного потока^:
Х = ЫЯ -2,
(1)
где fl и ^ - соответственно первый и второй начальные моменты распределения интервалов между пакетами суммарного потока атаки.
При количестве источников воздействий £>10 поток атаки можно считать пуассоновским (рис.6).
Рис. 6. Коэффициент немарковости суммарного потока распределенной низкоинтенсивной атаки
2. Метод оценивания доступности веб-сервера при низкоинтенсивных информационно-технических воздействиях
При моделировании ИТВ на информационные объекты необходимо формализовать сам объект. Выше была представлена модель, описывающая работу веб-сервера в условиях низкоинтенсивных воздействий.
Ключевым свойством информационного-технического объекта, комплексно характеризующим его способность качественно выполнять свои функции, является доступность (англ. availability). В теории защиты информации доступность информации - это одно из свойств защищенности информации, характеризующее возможность информационного ресурса быть доступным и используемым по запросу со стороны уполномоченного пользователя. Для оценивания предельных характеристик доступности веб-сервера в условиях воздействий (т.е. нагрузоустойчивости сервера) определяется количество источников воздействия, необходимых для проведения низкоинтенсивной атаки с заданной вероятностью отказа в обслуживании сервера. При этом воздействие должно преодолевать существующие системы защиты. Для формализации информационного объекта используем в качестве модели веб-сервера систему массового обслуживания (СМО) типа M/G/M-/n с отрицательными заявками, где M - пуассонов-ский входной поток, включая вредоносный трафик, G - поток обслуживания заявок веб-сервером, M - пуассоновский поток сброса заявок средствами защиты, n - количество каналов обслуживания.
В дальнейшем для определения показателей доступности информационного объекта предлагается применить метод нагрузочного зондирования (load probing), предложенный В.А. Гончаренко и С.И. Фоминым [11 - 13] и состоящий в формировании внешнего анонимного потока запросов (рабочей нагрузки) к информационному объекту для оценивания его реакции на эти запросы и последующего расчета предельных нагрузочных характеристик объекта с учетом срабатывания его средств защиты.
250
Нагрузочное зондирование включает следующие этапы (рис. 7):
- определение числа свободных каналов обслуживания (рис. 7, а);
- оценивание интенсивности обслуживания заявок (рис. 7, б);
- определение порога срабатывания средств защиты информационного объекта (рис. 7, в).
а
Отправка к запросов на ИР
Определяем п — коли1 тветов, полученных з.
п — число каналов обслуживания ИР
Конец
Тестирующий
узел
Информационный Тестирующий ресурс узел
Информационный ресурс
t \
запр Н
Время обслуживания
запрос
запрос
2 запроса
wзапросов
б
в
Рис. 7. Оценивание параметров СМО на основе проведения нагрузочного зондирования: а - определение количества каналов обслуживания СМО; б - определение интенсивности обслуживания заявок; в - определение порога срабатывания средств защиты объекта
Для расчета количества каналов обслуживания необходимо:
- провести измерение времени обслуживания заявки в нормальном режиме;
- отправить одновременно «шторм» заявок с заранее известным временем обслуживания;
- определить среднее время обслуживания первых заявок;
- определить число свободных каналов обслуживания (номер первой заявки, чье время обслуживания будет отличаться в два раза от среднего времени обслуживания предыдущих заявок за вычетом единицы).
Измерение времени обслуживания заявки в нормальном режиме осуществляется средствами сетевого мониторинга путем фиксации времени между отсылкой однократного запроса к серверу и приходом ответа от сервера, за вычетом времени прохождения заявки через сеть.
Первичная отправка одновременного «шторма» заявок планируется из предполагаемого количества каналов обслуживания веб-сервера по умолчанию, заполнения этих каналов посылаемыми запросами и возможного незначительного увеличения времени ответа на запросы при появле-
251
1
t
^ = г - /
обс запр юпв
1
нии очереди запросов. Повторные «штормы» запросов выполняются для уточнения реакции сервера и в случае отсутствия изменений во времени ответа по сравнению с одиночным запросом.
При заполнении всех каналов обслуживания последующие заявки становятся в очередь и ожидают освобождения одного из каналов. Поэтому измеренное время ответа на эти запросы, состоящее из времени ожидания и времени обслуживания, будет отличаться примерно в два раза от среднего времени обслуживания первых. Номер данной заявки, уменьшенный на единицу, будет являться числом свободных каналов обслуживания информационного объекта.
Для оценивания интенсивности обслуживания заявок необходимо:
- зная количество свободных каналов обслуживания и имея список наиболее трудоемких запросов, отправить «шторм» запросов на сервер таким образом, чтобы заявки не находились в очереди, используя все типы запросов, отобранных для проведения ИТВ;
- получив время обслуживания каждой заявки в отдельности, рассчитать среднее время обслуживания и, взяв обратное значение от последнего, получить интенсивность обслуживания одной заявки.
На третьем этапе метода для формирования потока низкоинтенсивного воздействия необходимо для каждого источника воздействия знать период атаки Татаки, который напрямую зависит от времени обслуживания сервера Т. Исследовав эту характеристику веб-сервера, можно случайным образом постоянно изменять период атаки с целью имитации поведения легального пользователя. Для этого необходимо ввести равномерно распределенную случайную величину хе [0, 1], такую, что с учетом начала периода атаки 1 (т <Т)
Татаки — 'С + (Т — Т)Х. (2)
Графическая интерпретация случайного распределения периода атаки представлена на рис.8.
Случайная
Рис. 8. Выбор периода атаки
В связи с тем, что общий поток запросов, составляющих атаку, как было отмечено выше, близок к пуассоновскому, начальные моменты суммарной случайной величины
ак = (т + Татаки)к, к= 1,2,...,. (3)
252
Таким образом, первый и второй начальные моменты рассчитываются следующим образом:
аг = т Н--, а2 = т* + 2т--1- -1-—\н)
1 2 2 З(Т-т)
3. Расчет характеристик доступности веб-сервера в условиях воздействий на основе модели М1Н21М~1п
Для моделирования нарушения доступности веб-сервера и расчета его временных характеристик предлагается использовать аппроксимацию распределения времени обслуживания гиперэкспоненциальным распределением. Диаграмма переходов между микросостояниями системы М1Н21М~1п с пуассоновским входящим потоком, гиперэкспоненциальным распределением второго порядка времени обслуживания и экспоненциальным распределением времени срабатывания средств защиты приведена на рис.9. При этом распределение времени обслуживания Н2 имеет параметры {уи |1/}, где {уг}, 1=1,2 - вероятности выбора фаз, {ц/},./ 1,2 - интенсивности показательного распределения времени обслуживания в них. Интенсивность простейшего входящего потока X, интенсивность потока срабатывания средств защиты Х~, число каналов п.
При поступлении заявки в систему необходимо зафиксировать фазу /^-распределения. Каждое микросостояние цепи характеризуется ключом (/,/), где (/, /) - расстановка заявок по фазам Н2-распределения обслуживания, причем / + у = и число каналов.
Наглядно микросостояния системы удобно представить с помощью разбиения ярусов, отражающих распределение заявок по фазам обслуживания, на слои (рис.9).
о
к+1
п
О к
п О
(п-1)1 (п-2)2 (п-3)3
^УОО X"" • С™ 2 (п-2) 1 (/7-1) О п
Рис. 9. Диаграмма переходов с отображением отрицательных заявок в качестве освобождения заявок из канала обслуживания
253
На основе диаграмм переходов строятся матрицы интенсивностей переходов. Например, матрицы интенсивностей для яруса ]=2 имеют вид
кУг ^2 0 0 " >1 0 " 2т+1 0 0
А2 = 0 1У1 0 , В 2 = т 2 т , в2 = 0 т+т 2+1 0
0 0 1У1 1У 2 _ 0 2т 2 _ 0 0 2т +1
При программной реализации автоматическое построение матриц оказывается нетривиальной задачей. Далее составляются линейные уравнения баланса переходов между состояниями системы в стационарном режиме:
ро А) = ЖВ1;
= Ж; _1, А] _1 + Ж; +1 В} +1 , ] = 1 П (5)
где ж} = {ж;д,ж;2,..,ж;^ } - вектор вероятностей микросостояний у-го яруса.
Для их решения применен итерационный метод, впервые предложенный японскими учеными Такахаси и Таками [6]. Основная идея данного метода заключается в переходе к условным вероятностям микросостояний ярусов диаграмм. Решение систем линейных алгебраических уравнений необходимо для дальнейшего расчета р; - стационарного распределения числа заявок в системе, где ;=0,п.
На заключительном этапе моделирования необходимо определить нагрузоустойчивосшъ сервера, т.е. количество источников воздействий, достаточных для нарушения доступности информационного объекта с требуемой вероятностью отказа в обслуживании Ротк. Отказ в обслуживании для легальных или иных запросов к системе будет происходить в том случае, когда все каналы обслуживания будут заняты, таким образом,
Р = Р (6)
отк п 5
где Рп - вероятность занятости всех каналов обслуживания.
Для формирования вероятности сброса соединения Рсбр необходимо обратиться к закону сохранения заявок [7]
Л- V рг1 (О
Р = ■
сбр
1=к
Л V
, I = 1, п
(7)
где /(/) - функция интенсивности сброса соединений системой защиты сервера; Л- - интенсивность сброса соединений; Л Ё - интенсивность суммарного входящего потока; рг - стационарное распределение числа заявок в системе.
В результате расчета с использованием предложенных подходов для веб-сервера при п=100 и количестве атакующих узлов К от 10 до 50 были получены результаты, представленные в таблице.
254
Результаты расчета Ротк и Рсбр
Количество узлов, K Вероятность отказа, Ротк Вероятность сброса, Рсбр
10 0,41 0,34
20 0,64 0,38
30 0,77 0,49
40 0,91 0,62
50 0,98 0,92
Заключение
Приведенные расчеты показали, что показатели нарушения доступности серверов возможно определить исходя из их нагрузоустойчивости, а также из параметров настройки срабатывания средств защиты. Данный метод может найти практическое применение при проведении тестирования веб-серверов на проникновение с целью повышения защитных свойств систем обнаружения вторжений.
Дальнейшие исследования предполагается продолжить в направлении разработки моделей с немарковскими потоками, а также сетевых моделей оценки доступности информационных объектов.
Список литературы
1. Гаврилов В. Взгляды Министерства обороны США на обеспечение национальной безопасности в кибернетическом пространстве // Зарубежное военное обозрение. 2012. №7. С.3-9.
2. Петренко С. А. Методы информационно-технического воздействия на киберсистемы и возможные способы противодействия // Труды ИСА РАН, 2009. Т. 41. С. 104-146.
3. Лобанов В.Е., Оныкий Б.Н., Станкевичус А. А. Архитектура системы защиты Грид от атак типа «отказ в обслуживании» и «распределенный отказ в обслуживании» // Безопасность информационных технологий. 2010. № 3. С. 136-139.
4. Щерба Е.В., Щерба М.В. Разработка архитектуры системы обнаружения распределенных сетевых атак типа «отказ в обслуживании» // Омский научный вестник. 2012. № 3 (113). С.280-283.
5. Тарасов Я.В., Макаревич О.Б. Моделирование и исследование низкоинтенсивных DoS-атак на BGP-инфраструктуру // Известия ЮФУ. Технические науки. 2014. №12(149). С.101-111.
6. Chee W.O., Brennan T. OWASP AppSec DC 2010. HTTP POST DDoS. [Электронный ресурс]. URL: https://www.owasp.org/ im-ages/4/43/Layer 7 DDOS.pdf (дата обращения: 03.12.2017).
255
7. Aleksandar Kuzmanovic, Edward W. Knightly. Low-rate TCP-targeted denial of service attacks and counter strategies // IEEE/ACM Trans. Netw. 2006. № 14 (4). С. 683-696.
8. The Apache Modeling Project. Глава 2. HTTP серверы [Электронный ресурс]. URL: http://apachedev.ru/2006/03/12/the-apache-modeling-project-glava-2-chast-l (дата обращения 03.12.2017 года).
9. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: учебник для вузов. 5-е изд. СПб.: Питер, 2016. 992 с.
10. Гончаренко В. А. Методика одновременного суммирования нескольких рекуррентных потоков заявок в сетях массового обслуживания // Труды Военно-космической академии им. А.Ф. Можайского. 2014. Вып. 645. С. 13 - 17.
11. Гончаренко В. А., Фомин С.И. Оценивание доступности информационных ресурсов компьютерных сетей в условиях дестабилизирующей рабочей нагрузки // Перспективы развития науки и образования: сб. науч. тр. по мат. международной НПК. 28 сентября 2012 г. Тамбов. 2012. Ч. 9. С.42-43.
12. Гончаренко В.А., Фомин С.И., Суржанов О.В. Модели и методы оценивания устойчивости критически важных информационных систем к информационно-техническим воздействиям // Современные тенденции в образовании и науке: сб. науч. тр. по мат. международной НПК. 28 декабря 2012 г. Тамбов. 2012. Ч. 3. С. 49 - 50.
13. Свидетельство о государственной регистрации программы для ЭВМ № 2017617341 Российская Федерация. Программный комплекс оценивания нагрузоустойчивости критических информационных систем методом нагрузочного зондирования / В.А. Гончаренко, С.И. Фомин, К.А. Эсаулов; правообладатели В. А. Гончаренко, С.И. Фомин, К. А. Эсаулов (RU). № 2017614309; поступл. 10.05.17; опубл. 04.07.17. Реестр программ для ЭВМ. 1 с.
14. Takahashi Y., Takami Y. A Numerical Method for the Steady-State Probabilities of a GI/G/c Queuing System in a General Class // J. of the Operat. Res. Soc. of Japan. 1976. Vol. 19. N. 2. P. 147-157.
15. Гончаренко В. А. Моделирование и оценивание характеристик случайных потоков событий в компьютерных сетях при параметрической неопределенности // Труды Военно-космической академии им. А.Ф. Можайского. 2015. Вып. 649. С. 16-22.
Гончаренко Владимир Анатольевич, канд. техн. наук, доц., проф., [email protected], Россия, Санкт-Петербург, Военно-космическая академия имени А. Ф. Можайского,
Соколовский Алексей Николаевич, канд. техн. наук, ст. преподаватель, soko-lovskij arambler. ru, Россия, Санкт-Петербург, Военно-космическая академия имени А. Ф. Можайского,
Швецов Александр Сергеевич, канд. техн. наук, доц., mysasha,yandex.ru, Россия, Санкт-Петербург, Военно-космическая академия имени А. Ф.Можайского,
Шинкаренко Антон Федорович, канд. техн. наук, ст. науч. сотрудник, tonio8 7 aramhler. ru, Россия, Санкт-Петербург, Военно-космическая академия имени А. Ф.Можайского
MODELLING OF A VAILABILITY VIOLA TION TO INFORMA TION OBJECTS ON THE BASIS OF LO W-RA TECONNECTIONS
V.A.Goncharenko, A.N. Sokolovskij, A.S. Shvecov, A.F. Shinkarenko
The approach to modeling the violation of the availability of information objects based on low- rate connections is proposed. Work of a Weh server in case of the low-rate attack to holding of channels abroach taking into account work of means of protection is modelled for this purpose. The queuing system with n channels of service and a special class of the negative requests modeling system operation ofprotection of a Web server is used for the description of this model. For analytical calculation of model the hyperexponential approximation of the second order of distribution of holding time is used. Distinctive feature of model is absence of requirements of high intensity of the attack.
Key words: queuing system, negative requests, denial of service, web server, hyperexponential distribution, low-rate DDoS-attacks, availability, load probing.
Goncharenko Vladimir Anatolievich, candidate of technical sciences, docent, vlan-goayandex.ru, Russia, St. Petersburg, Mozhaisky Military Space Academy,
Sokolovskij Aleksej Nikolaevich, candidate of technical sciences, senior lecturer, so-kolovskiiaramhler.ru, Russia, St. Petersburg, Mozhaisky Military Space Academy,
Shvecov Alexandr Sergeevich, candidate of technical sciences, docent, my-sashayandex. ru, Russia, St. Petersburg, Mozhaisky Military Space Academy,
Shinkarenko Anton Fedorovich, candidate of technical sciences, senior researcher, tonio8 7a ramhler. ru, Russia, St. Petersburg, Mozhaisky Military Space Academy