Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност
бр. 6, 2013

Защита от компютърните атаки тип „отказ на услуга”

Ефективната защита против DoS атаки включва редица аспекти - от стила на писане на код, до компетентността, както на атакуващата, така и на атакуваната страна

от , 18 юни 2013 0 5888 прочитания,

Инж. Васил Лаков

Всички компании с Интернет присъствие са еднакво застрашени от този тип атаки, без значение от техния мащаб. Малките не могат да инвестират в скъпи решения за защита и дори малка DoS (denial-of-service) атака може да влоши качеството на предлаганите услуги. Големите компании разчитащи на облачни услуги и ресурси също са много зависими от Интернет свързаността. При тях, една DoS атака за препълване на каналите ще възпрепятства изпълнението на обичайни задачи.

Ефективната защита против DoS атаки включва аспекти започващи от стила на писане на компютърни програми, минава през тяхното конфигуриране, физическото изграждане на компютърните мрежи и избора на сървърно оборудване и стига до компетентността, както на атакуващата, така и на атакуваната страна. Тъй като няколко компютърни системи могат да ползват обща мрежова инфраструктура, освен атакуваната система и други могат да бъдат засегнати, въпреки че не са прекият обект на атаката.

Защита

Щетите от такива атаки, могат да бъдат от забавяне на отварянето на WEB сайтове, напълно неработещи програми разчитащи на комуникация с други компютри до незаконни действия, които остават прикрити и др. При този вид атаки не се изтриват, променят или крадат файлове от системата, нито се придобива достъп до нея, но въпреки това те могат да са причина за съществени финансови загуби за компании зависещи в голяма степен от присъствието си в Интернет или от наличието на информация в реално време.

С развитието на мрежовото оборудване и техниките за управление на Интернет трафика се усъвършенстваха и начините за осигуряване на отказоустойчивост, висока ефективност и разпределение на натоварването за да може нарасналият брой Интернет потребители да получава качествени Интернет услуги. Разрастването на доставчиците на свързаност и съдържание върху няколко континента и изграждането на собствени високоскоростни мрежи, осигурява по-къс път на трафика между две произволни точки. По този начин една компания може да контролира по-голяма част от пътя на трафика и да реагира по-ефективно при възникване на проблеми.

Мрежови техники

Конкретен пример са мрежите за доставка на съдържание (content delivery networks, CDN) и доставчиците на свързаност от ниво 1 и 2 (Tier 1 и 2 ISP). CDN мрежите създават няколко копия на статичното съдържание, разположени в различни точки на света, намалявайки закъснението при достъпа до него, като клиентите биват препращани към най-близкия до тях сървър. В този случай една разпределена DoS атака ще се разклони към различни сървъри и ефективността й ще намалее.

Виртуализацията и изолацията на сървърите в облачният компютърен модел, дават възможност за миграция на услугите и ресурсите от едно физическо място на друго без да е нужно клиентите да променят работата си. В този случай е трудно за атакуващия да разбере къде физически се изпълнява услугата.

Дори и атаката да е насочена към конкретен IP адрес, това не означава, че тя ще удари точно този адрес. Това се постига чрез използване на BGP протокола в маршрутизаторите и anycast (от точка до точка от няколко възможни) IP адреси на системите. Трафикът към такъв адрес се пренасочва към някой от вторичните адреси в групата. Изборът на конкретен адрес може да зависи от критерии като географско разположение, натоварване на подсистемите, закъснение и др.

В крайна сметка обработката на заявка и връщането на отговор на клиента се извършва от система с конкретен IP адрес. Зад този адрес обаче може да стои компютърен клъстер. Тук отново натоварването се разпределя върху няколко сървъра. Избирането на конкретен сървър зависи от различни фактори, което смекчава допълнително негативните ефекти от DoS атаката. Комбинирането на няколко мрежови техники на различните нива в една голяма система увеличава допълнително устойчивостта й на DoS атаки.

Осигуряването на няколко комуникационни канала през различни доставчици за нашите системи, т.е. създаването на multihomed сървъри или мрежи и използването на Multipath TCP протокола, позволява при отпадане или претоварване на една от връзките, останалия трафик да се насочи през другите канали и изобщо маршрути. Така евентуалните задръствания могат да се заобиколят или поне ефектите от тях да се намалят. Тук сървърите трябва да са свързани чрез отделни мрежови интерфейси, всеки със собствен маршрутизатор или комутатор, за да се избегне създаването на една точка, сриването на която да предизвика отказ на цялата система.

Локални техники

Като стандартно решение може да се посочи осигуряването на няколко пъти повече ресурси, отколкото са нужни за нормалното функциониране на системата, които ще осигурят работоспособността й дори и при атака. Какви ресурси обаче можем да си позволим!

Защитата на даден сървър се състои от три компонента. Първият компонент включва подобряване на общата сигурност, надеждност и производителност на машината. Това е превантивна мярка намаляваща вероятността за успешна атака и евентуалните щети. Вторият компонент включва блокирането на фалшивия трафик първо на входа на нашата мрежа, за да се възстанови нормалната й работа и да не се затрудняват следващите действия на персонала. След това фалшивият трафик трябва да се блокира, колкото се може по-далеч от периметъра ни, за да изчистим и комуникационните канали и да възстановим нормалния достъп на потребителите до услугите ни. Третият компонент е провеждането на задълбочен анализ върху записания фалшив трафик за да разберем къде е бил проблема и да отстраним евентуално причините за успешната атака.

Превантивни действия

Превантивните дейности трябва да включват оценка и следващо измерване на натоварването на мрежата и сървърите при нормална работа, както и максималното натоварване без смущения. При установяване на недостатъчен резерв от производителност, следва увеличаване на съответния ресурс, като процедурата може да се повтори. Допълнителен подход е оптимизиране на комуникационните канали, т.нар. пасивна защита. Това означава капацитета на каналите да се разпредели съобразно натоварването в двете посоки. Ако услугите, които предоставяме не изискват голям капацитет в едната посока и особено в посока към нас, може да го намалим за сметка на обратния канал. Така ще ограничим броя входящи заявки, които ще бъдат обработвани, дори и при много голяма атака още при доставчика. Балансирането на комуникационните канали може да е и динамично.

Следващата стъпка е оптимизиране на софтуера и мрежовата инфраструктура. Настройките по подразбиране в операционната система и приложния софтуер не са съобразени с нашите условия и тяхната адаптация ще осигури още по-добри производителност, надеждност и сигурност. Постигането на най-добрите резултати включва и експериментиране с различни комплекти параметри.

Въпреки гаранциите, че дори и по-време на DoS атака системите ни няма да се претоварят, е добре да поставим ограничения на ресурсите, които даден процес или потребител могат да използват. Така на още едно ниво гарантираме, че системите няма да използват повече ресурси от колкото разполагат. Това увеличава надеждността на системата дори и да сме пропуснали да коригираме някакъв проблем.

За да повишим сигурността на системите трябва и да деинсталираме всички софтуерни продукти, които няма да се ползват. Знаейки какви услуги ще предоставяме и техните изисквания разрешаваме само тези протоколи и портове, които са необходими за тяхната работа. Допълнително е добре да блокираме заявки и действия, които не са очаквани при нормална работа на системата. Това могат да бъдат заявки дошли на външен мрежов интерфейс, но с адрес на източника, който не се маршрутизира в Интернет или такъв от вътрешната мрежа, заявки с необичайно голям размер и др.

Блокиране на трафика

Вторият компонент се активира при регистриране на DoS атака. Тук се използват различни комбинации от чисто филтриращи до извършващи сложни времеви анализи върху трафика системи. Те следят натоварването на отделните компоненти в сървърите и мрежовата инфраструктура и генерират аларми при установяване на нередности. Тези системи попадат основно в две категории: използващи сигнатури (за добре изучени атаки) и откриващи аномалии в трафика или натоварването (за непознати или сложни атаки). Откриването на аномалии разчита на надхвърлянето на прагови стойности за даден параметър. Праговата стойност може да се определи на база типични стойности за дадена задача или протокол или чрез статистически методи при нормално натоварване. Често рязкото увеличаване на броя потребители или заявките за секунда са признак за DoS атака.

Каквито и системи да се използват, генерираните правила за филтриране на трафика е добре да съдържат минимален брой параметри. Така се намаляват проверките извършвани върху всеки постъпил в системата пакет, което позволява да се анализира по-голям трафик. Допълнителен подход е използването на списъци с известни и доказани вече източници на зловредни действия, т.н. черни списъци.

Добра защита се постига, когато се проверяват всички възможни признаци за наличие на DoS атака, включително и статистическите параметри. Поради големият им брой обаче, тази дейност трябва да се поеме от отделни устройства поставени на входа и изхода на мрежата, за да не се товарят със странична дейност основните системи.

Анализ на трафика

Третият компонент включва записване на част от трафика за по-късен анализ с цел установяване на точния вид атака и начина за нейното избягване, което ще помогне за откриване на съществуващите пропуски в системата. Поради широкия спектър на възможностите за осъществяване на DoS атаки, винаги има пропуски в защитата на компютърните системи и мрежи.

Контра мерки

Доставчиците на Интернет свързаност могат да ограничат злоупотребата на своите клиенти чрез изпращане на мрежови пакети с фалшифициран адрес, като ги блокират още преди да са напуснали техните мрежи. Допълнителна мярка може да бъде ограничаването на TTL параметъра на изходящите пакети до по-разумни граници, за да се намали вероятността за мрежови задръствания. Друг параметър, който може да бъде ограничен е броя едновременни връзки, които един клиент може да създава, разбира се отново в разумни граници.

Контра мерките, които бихме могли да предприемем зависят от местата където е регистрирана атаката. Това са: доставчиците на атакуващата или атакуваната страна или самата атакувана система. За да са ефективни контра мерките, те трябва да се предприемат веднага след регистриране на атаката. След като се установи входният мрежов интерфейс на фалшивия трафик, той трябва да се филтрира още при отсрещния доставчик по посочени параметри. Той от своя страна, може да проследи трафика в своята мрежа и да го блокира на входа й. При желание или съществуваща договорка, той може да се свърже със следващия доставчик и да поиска блокиране на трафика още по-близо до източника му.

При разпределена DoS атака обаче, бързо ще се достигне до точка, в която лошият трафик идва по няколко интерфейса. Ако атаката все още продължава, блокирането на няколко по-малки потока ще освободи комуникационен капацитет за легитимния трафик. За жалост и MAC и IP адресите се подправят лесно. При разпределена DoS атака броят им ще е много голям и натоварването на филтриращите системи ще се увеличи, което пак може да доведе до изгубване на легитимните пакети. Ако при анализа на атаката се открият други общи параметри на по-ниско ниво в TCP/IP стека на лошите пакети е по-добре да се филтрира по тях, за да има по-малко правила за проверка при филтрирането.

Преодоляването на тези атаки се усложнява значително в случаите, когато протичат няколко различни DoS атаки. Тогава се налага филтрирането на различни видове мрежови пакети насочени към различни услуги. При недостатъчна подготовка за подобни ситуации е възможно усилията на персонала за възстановяване на нормалната работа на системите да не са достатъчно ефективни. Ето защо е много важно да има внедрени автоматични програми следящи трафика и натоварването на различните системни компоненти.

Връщането на фалшивия трафик на източника му с цел да го принудим да се откаже, трябва задължително да се избягва, защото подобно е действието на огледалните DoS атаки. Така ние ще станем източник на атака и нашите адреси могат да бъдат блокирани, което ще доведе до отрязване на достъпа ни до мрежата, както и изразходване на ресурсите ни не по предназначение.

Тенденцията за осъществяване на все по-сложни атаки изисква предварително проучване на инфраструктурата в целевата мрежа или система. Това включва съставяне на списък с наличните компютри в мрежата и търсене на уязвими места в тях. Обикновено тези действия остават незабелязани, което позволява на злонамерените хакери да съберат богата информация за системите. За да бъдат надхитрени се инсталират виртуални фалшиви сървъри наподобяващи нормални услуги, които обаче не се използват от никой т.нар. honeypots. Така при сканиране на локалната мрежа от външен адрес, фалшивият сървър ще отговори по приемлив начин, но освен това ще запише различни данни за отсрещната страна. Симулирането на услуга, която е лесна за пробиване, ще отвлече вниманието на хакера от действителните производствени системи. Така ще сме сигурни, че сме обект на проучване.

Разполагайки със събраните данни за атакуващия, можем да конфигурираме предварително системите за филтриране на трафика от неговия адрес. Освен това ще разполагаме с време за подготовка за евентуална атака.

Възможен вариант за справяне с DoS атака е промяната на IP адресите и уведомяване на потребителите ни за промяната. Тази стратегия обаче е приложима за системи с малко на брой предварително известни потребители. Тяхното уведомяване отнема време, но по този начин се избягват напълно негативите от атаката.

В заключение

Достъпните инструменти за DoS атаки, занижената сигурност при стандартното конфигуриране на софтуера и недостатъчната компетентност на ИТ персонала, създават съвсем реална опасност и са често прилагана тактика за причиняване на загуби на различни компании. За да се намали изложеният на външни атаки периметър трябва да изтеглим защитната линия, колкото се може по-навън, т.е. при доставчика на свързаност. Това може да се постигне чрез договорка с него или ако имаме контрол на параметрите на каналите от страната на доставчика в предварително договорени диапазони. Подборът на услуги премествани в облака трябва да е максимално обоснован, за да не се превърне в точка сриваща цялата дейност на компанията.

Колкото повече възможности за DoS атаки отстраним, толкова успешните атаки ще са по-малко. Важно е да се отбележи, че прилаганите методи трябва да се оптимизират спрямо конкретните системи, услуги, тип на трафика и др, за да са максимално ефективни. Наличието на методология за действие при засичане на атака и адекватната подготовка на ИТ персонала допълнително ще улеснят преодоляването на този тип компютърни атаки.

Васил Лаков е завършил ТУ-София, през 2006 г., Факултет Автоматика, спец. Автоматика Информационна и управляваща техника, степен магистър, с дипломна работа в областта на видеонаблюдението на пътния трафик. Работил е в областта на сградната автоматизация.

КОМЕНТАРИ ОТ  

КОМЕНТАРИ

Трябва да сте регистриран потребител, за да коментирате статията
"Защита от компютърните атаки тип „отказ на услуга”"



    

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов