Разработка метода обнаружения удаленных атак
На основе приведенной систематизации можно построить метод обнаружения удаленных атак. Метод будет построен только для протоколов сетевого и транспортного уровня.
Для того чтобы предотвратить отдельные атаки, необходимо определить список тех Internet пакетов, которые не могут быть пропущены в систему, условно назовем его списком запрещенных пакетов. Это необходимо для предотвращения тех атак, которые используют определенного типа пакеты. Например, можно сделать так, чтобы инициатором соединения мог выступать только защищаемый хост, а извне к нему доступ запретить, не пропуская пакеты TCP SYN – запросы на установку TCP соединения.
Для того чтобы обнаружить удаленную атаку, необходимо:
· определить все заголовки пакета, построить их иерархию в соответствии с моделью протоколов сети Internet. Проверка осуществляется, начиная с сетевого уровня (IP-, ARP-заголовки);
· проверяются на корректность данные в полях заголовка. Если будут обнаружены ошибки в этих данных, то, значит, пакет не прошел проверку и, возможно, осуществляется удаленная атака. Если ошибок нет, то переходим к п. 3), в противном случае, пакет не допускается к дальнейшей обработке;
· проверяется корректность последовательности пакетов, если приходящий пакет в ней участвует. Если он не участвует ни в какой последовательности, то он проходит эту проверку и осуществляется проверка №4. Если же он участвует в такой последовательности, то он запоминается и проверяется вся последовательность пакетов, к которой принадлежит пришедший, на предмет того, может ли . Если заголовок корректен с этой точки зрения, то осуществляется проверка №4, если нет, то пакет не допускается к дальнейшей обработке;
· проверяется тот факт, не приведет ли пакет к нарушению ограничений на ресурсы системы. Например, известно, что в сетевых ОС существуют ограничения на количество соединений, которые можно открыть на определенном порте. Тогда под нарушением ограничения на этот ресурс будет пониматься попытка открыть большее количество соединений, чем позволяет ограничение. В этом случае такой пакет не проходит проверку и отбрасывается, в противном случае переход к п. 5);
· проверка того, входит ли пакет в список запрещенных. В основном, это касается таких пакетов, как ICMP Redirect, который, потенциально может привести к нарушению данных маршрутизации. Если пришедший пакет попадает в этот список, то он не пропускается в систему и отбрасывается;
· если заголовок пакета успешно прошел проверки, обозначенные в пунктах 2) – 5), то выбирается следующий по уровню модели протоколов сети Internet заголовок. При этом существует ограничение, что уровень анализируемого заголовка не должен быть выше транспортного. Если требуемый заголовок присутствует, то переход к п. 2), если нет, то все заголовки прошли проверку и пакет в целом считается корректным.
Блок-схема описанного алгоритма представлена в приложении 1.
Необходимо отметить тот факт, что настоящий метод предлагается для обнаружения атак для протоколов по уровню не выше транспортного, поэтому в рассмотрение не попадают такие протоколы как DNS, FTP, Telnet и другие протоколы прикладного уровня.
ЗАКЛЮЧЕНИЕ
Бурный количественный рост пользователей Internet и увеличение предоставляемых пользователям возможностей сдерживается опасностью удаленных атак. Атаки осуществляются как на отдельных пользователей, так и на организации, нанося при этом громадный моральный и материальный ущерб. Это обуславливает необходимость разработки средств защиты, которые обнаруживали бы атаки и препятствовали бы их осуществлению.
В настоящее время механизмы обнаружения удаленных атак разрабатываются только после анализа осуществленных атак. Основное достоинство этого подхода – выявление всех тонкостей атаки, а недостаток – атака, хотя бы раз, будет реализована. В настоящей работе предложен иной подход решения проблемы обнаружения удаленных атак, в основе которого лежит систематизация причин успеха удаленных атак.
Предложенная систематизация показывает, что причины успеха удаленных атак сводятся к трем основным причинам. Необходимо отметить, что предложенная систематизация не является полной, поскольку не рассматривает, например, атаки, направленные на соединения между хостами. Несмотря на этот недостаток, данная систематизация позволяет разработать метод обнаружения удаленных воздействий, который применим к атакам, осуществляемым на сетевом и транспортном уровнях модели протоколов.
В качестве примера практического использования метода реализован алгоритм обнаружения удаленной атаки TCP flooding. В соответствии с предложенным методом были выявлены причины успеха этой атаки, набор параметров, которые необходимо контролировать, и разработан алгоритм обнаружения атаки TCP flooding.
Таким образом в настоящей работе построена систематизация удаленных атак, на основании которой был разработан метод обнаружения удаленных атак и практически реализован алгоритм обнаружения одной из удаленных атак.
В дальнейшем необходимо дополнить систематизацию успеха удаленных атак и распространить разработанный метод на атаки, которые осуществляются на прикладном уровне модели протоколов сети Internet.