Система визначення та запобігання розподіленим мережевим атакам “відмова в обслуговуванні”

Номер патенту: 90555

Опубліковано: 26.05.2014

Автори: Тихий Владислав Ігорович, Снєжок Олександр Володимирович

Завантажити PDF файл.

Формула / Реферат

Система визначення та запобігання розподіленим мережевим атакам типу "відмова в обслуговуванні", яка містить керуючий вузол, яка відрізняється тим, що керуючий вузол призначений для балансування навантаження та керування проксуючими вузлами, серверами доменних імен і для зберігання та обміну інформацією про атакуючі пристрої та містить наступні елементи: систему керування, модуль балансування навантаження, модуль синхронізації серверів доменних імен, модуль синхронізації проксуючих вузлів, причому проксуючі вузли призначені для виявлення атакуючих пристроїв і фільтрації їх трафіку і зв'язані з WEB-сервером, WEB-сайтом, який захищається, і керуючим вузлом та містять наступні модулі: моніторингу стану навантаження, кешування WEB-сторінок, фільтрації мережевого трафіку, фільтрації WEB-запитів, а сервери доменних імен (DNS) з модулем керування DNS зв'язані з керуючим вузлом, який надає дані про WEB-сайт, а саме ІР-адресу проксуючого вузла, користувачеві.

Текст

Реферат: Система визначення і запобігання розподіленим мережевим атакам типу "відмова в обслуговуванні" містить керуючий вузол, систему керування, модуль балансування навантаження, модуль синхронізації серверів доменних імен, модуль синхронізації проксуючих вузлів, зв'язані з WEB-сервером, WEB-сайтом, який захищається, і керуючим вузлом, та містять наступні модулі: моніторингу стану навантаження, кешування WEB-сторінок, фільтрації мережевого трафіку, фільтрації WEB-запитів. Сервери доменних імен (DNS) з модулем керування DNS зв'язані з керуючим вузлом, який надає дані про WEB-сайт, а саме ІР-адресу проксуючого вузла, користувачеві. UA 90555 U (12) UA 90555 U UA 90555 U 5 10 15 20 25 30 35 40 45 50 55 60 Корисна модель належить до систем, метою яких є визначення та запобігання розподіленим мережевим атакам типу "відмова в обслуговуванні" за рахунок переадресації користувачів WEB-сайту, що захищається, до збереженої в кеші одного з проксуючих вузлів HTML-копії даного WEB-сайту. "Атака на відмову в обслуговуванні, розподілена атака на відмову в обслуговуванні" (англ. DoS attack, DDoS attack, (Distributed) Denial-of-service attack) - напад на комп'ютерну систему з наміром зробити комп'ютерні ресурси недоступними до користувачів, для яких комп'ютерна система була призначена. Одним із найпоширеніших методів нападу є насичення атакованого комп'ютера або мережевого устаткування великою кількістю зовнішніх запитів (часто безглуздих або неправильно сформульованих), таким чином атаковане устаткування не може відповісти користувачам або відповідає настільки повільно, що стає фактично недоступним. Взагалі відмова сервісу здійснюється: примусом атакованого устаткування до зупинки роботи програмного забезпечення/устаткування або до витрат наявних ресурсів, внаслідок чого устаткування не може продовжувати роботу; заняттям комунікаційних каналів між користувачами і атакованим устаткуванням, внаслідок чого якість сполучення перестає відповідати вимогам. Якщо атака відбувається одночасно з великої кількості IP-адрес, то її називають розподіленою (DDoS). Див. матеріали сайту: http://uk.wikipedia.org/wiki/DoS-%D0 %BO%D 1 %82 %D0 %B0 %D0 %BA%D0 %B0. Найбільш типовими різновиди DDoS-атак є: Атаки із заповненням смуги пропускання. Ці DDoS-атаки виснажують ресурси мережевої смуги пропускання або мережевого устаткування, наповнюють смугу і/або обладнання великою кількістю пакетів. Вибрані як жертви маршрутизатори, сервери і міжмережеві екрани, кожен з яких має лише обмежені ресурси обробки, під дією атаки можуть стати недоступними для обробки коректних транзакцій або вийти з ладу під великим навантаженням. Найпоширеніша форма атаки із заповненням смуги пропускання - це лавинна атака з відправкою пакетів, при якій велика кількість зовні благонадійних пакетів протоколу TCP, протоколу користувацьких датаграм (UDP) або протоколу керування повідомленнями в мережі Інтернет (ІСМР) направляється в конкретну точку. Для того щоб ще більше ускладнити виявлення такої атаки, можна підробити вихідну адресу, тобто імітувати IP-адресу, з якої, ймовірно, надійшов запит, щоб зробити ідентифікацію неможливою. Атаки на додатки. У цих атаках DDoS хакери експлуатують очікувану поведінку протоколів, зокрема, TCP і HTTP. Вони захоплюють обчислювальні ресурси, не даючи їм можливості обробляти транзакції і запити. Приклад атак на додатки: це атаки з напіввідкритими сполуками HTTP і з помилковими сполуками HTTP. Див. матеріали сайту http://www.cisco.com/web/RU/products/ps5887/products_white_paper0900aecd 8011e927_.html. Як правило, DDoS-атака здійснюється з використанням бот-мережі, яку також називають мережею з атакуючих комп'ютерів. Бот-мережа (також ботнет) - це мережа комп'ютерів, заражених шкідливою програмою, яка дозволяє віддалено керувати комп'ютерами без відома їх користувачів. Програми які дозволяють виконувати подібні дії, називають ботами. На фіг. 1 наведено алгоритм подібних атак. З комп'ютера 1 власника бот-мережі розсилаються сигнали на комп'ютери 2 керування бот-мережами, кожен з яких відстежує значно більшу кількість комп'ютерів 3, на яких встановлені боти. Використання комп'ютерів 2 керування бот-мережами значно ускладнює визначення комп'ютера 1 власника бот-мережі, також збільшуючи потенційний розмір бот-мережі до мільйонів машин і більше. Далі, боти на комп'ютерах 3 починають DDoS-атаку на сервіс 4. Під сервісом розуміється будь-який WEBсервіс, що надає користувачам певні послуги або ресурси. Прикладами сервісів можуть бути онлайн-магазин або файловий сервер. З боку може здатися, що, наприклад, в певний момент часу Інтернет-магазин відчуває наплив покупців, з яким він не в силах впоратися. При DDoSатаці на сервіс 4 в першу чергу страждають як його власники, так і його потенційні клієнти. Основна складність для власників сервісів 4 полягає в тому, що величезна частина методів боротьби з DDoS - практично неефективні, адже запити надходять з різних сторін, і перекрити будь-який вузол, з якого надходять запити - недостатньо. Зазвичай атака проводиться за допомогою вірусних троянських програм, які залучають до цього процесу мільйони користувачів без їх на те згоди і повідомлення. Трояни заражають недостатньо захищені комп'ютери 3 і можуть досить довгий час діяти, взагалі ніяк себе не виявляючи. Зона охоплення таким чином стає неймовірно широкою, а запити можуть йти з самих різних сторін світу. У заявці на патент US 12/779,121 ("Комунікаційний протокол захисту атак", МПК G06F21/00, опубл. 17. 11. 2011 p.), запропоновано використовувати поділ потоку переданих даних між 1 UA 90555 U 5 10 15 20 25 30 35 40 45 50 55 60 двома системами, з'єднаними через пакетну мережу, на два послідовних сегменти в рамках TCP протоколу і порівняння ключів поточного і наступного сегментів з метою детектування наявності сегмента "чужого" атакуючого джерела. При виявленні сегментів, які не належать легальному джерелу, прийом даних блокується, запобігаючи загрозі атаки. У відомому рішенні застосовують додаткові засоби, що дозволяють відрізняти пакети атакуючих ботів від пакетів, що йдуть від клієнтів на рівні додатків, і не забезпечують стійкість системи відносно до атак на IP адреса сервера "грубої сили" (тобто з великою інтенсивністю), що призводить у результаті, до відмови в обслуговувані клієнтів на WEB-pecypci. В заявці на патент US 12/148,786 ("SYSTEMS AND METHODS FOR PROTECTING AGAINST DENIAL OF SERVICE ATTACKS", МПК G06F15/16, опубл. 04.02.2010p.) представлено рішення на рівні додатків. Відповідно до опису винаходу процес роботи системи включає наступні основні етапи. Спочатку термінальний пристрій клієнта направляє перший запит на доступ до серверного ресурсу. Сервером створюється запит доказу роботи, який передається клієнтові. Далі цей запит обробляється для вироблення нового URL (текстової адреси запиту), направляється другий запит по виробленому URL, при цьому сервер виробляє значення, засноване на точності збігу отриманої відповіді і зробленого запиту доказу роботи. При попаданні виробленого значення у задані порогові значення навантаження на сервер, присвоюється рівень пріоритету другого запиту клієнта, і запит обробляється сервером. Таким чином, пропоноване рішення засноване на застосуванні на стороні сервера верифікаційного фільтра, який керує установкою пріоритету для клієнтських запитів залежно від рівня навантаження на сервер до моменту отримання запиту від нового термінального пристрою клієнта. Проте дані технічні рішення реалізують захист від DDoS атак на рівні прикладного протоколу і не забезпечують можливість "приховати" WEB-сервер, що атакується, від розподілених мережевих атак типу "відмова в обслуговування". Відома система фільтрації зв'язку для захисту сервісу від мережевих атак (Патент на винахід РФ №2480937, МПК G06F 12/14, G06F 12/16, G06F 21/00, G06F 11/00), що містить наступні модулі: керуючий модуль, призначений для зберігання статистики попередніх мережевих атак для коригування правил фільтрації для центрів очищення; колектори, призначені для складання правил фільтрації на підставі інформації про трафік від центрів очищення і сенсорів; центри очищення, призначені для фільтрації трафіку на підставі правил фільтрації; сенсори, призначені для агрегування інформації про трафік для подальшої передачі на колектори. Використання відомої системи забезпечує зменшення помилкових спрацьовувань при визначенні мережевої атаки за рахунок аналізу фільтрації трафіку користувачів. Проте, дане рішення не забезпечує стійкість системи відносно до атак з великою інтенсивністю, не дає можливість "приховати" WEB-сервер, який атакується, від розподілених мережевих атак типу "відмова в обслуговуванні", що призводить у результаті, до відмови в обслуговувані клієнтів на WEB-pecypci. Задача корисної моделі є запобігання розподіленим мережевим атакам типу "відмова в обслуговуванні" на WEB-сервер шляхом поділу трафіку, що надходить на WEB-сервер, який атакується, між проксуючими вузлами. Поставлена задача вирішується тим, що запропонована система визначення і запобігання розподіленим мережевим атакам типу "відмова в обслуговуванні", яка містить керуючий вузол, в якій, згідно з корисною моделлю, керуючий вузол призначений для балансування навантаження та керування проксуючими вузлами, серверами доменних імен і для зберігання та обміну інформацією про атакуючі пристрої, та містить наступні елементи: систему керування, модуль балансування навантаження, модуль синхронізації серверів доменних імен, модуль синхронізації проксуючих вузлів, причому проксуючі вузли, призначені для виявлення атакуючих пристроїв і фільтрації їх трафіку, і зв'язані з WEB-сервером, WEB-сайту, який захищається, і керуючим вузлом, та містять наступні модулі: моніторингу стану навантаження, кешування WEB-сторінок, фільтрації мережевого трафіку, фільтрації WEB-запитів, а сервери доменних імен (DNS) з модулем керування DNS зв'язані з керуючим вузлом, який надає дані про WEBсайт, а саме ІР-адресу проксуючого вузла, користувачеві. Суть корисної моделі полягає в тому, що в даному технічному рішенні використовуються сервери-клони, які мають зв'язок з сервером на якому розташований WEB-сайт, який атакується, і в результаті DDoS-атаки навантаження розподіляється між серверами, що дозволяє користувачам мати доступ до WEB-pecypcy. Корисна модель пояснюється кресленнями, де на фіг. 1 наведена схема DDoS атаки, на фіг. 2 наведена схема побудови запропонованої системи, а на фіг. 3 - структурна схема даної системи. 2 UA 90555 U 5 10 15 20 25 30 35 40 45 50 55 Запропонована система визначення та запобігання розподіленим мережевим атакам "відмова в обслуговуванні", метою якої є можливість надати законним користувачам WEBpecypc під час мережевих атак, містить (див. фіг. 2): керуючий вузол 6, який призначений для балансування навантаження та керування проксуючими вузлами 7, серверами доменних імен 8 і для зберігання та обміну інформацією про атакуючі пристрої; проксуючі вузли 7 - для виявлення атакуючих пристроїв і фільтрації їх трафіку, сервера доменних імен (DNS) 8, в даному випадку призначені для отримання IP-адреси по імені хоста. Як варіант реалізації, пропонується використовувати проксуючі 7, керуючі 6 вузли і сервера доменних імен 8, що містять наступний функціональний набір: фільтрація мережевого трафіку; фільтрація мережевих запитів; розподіл трафіку між проксуючими вузлами; кешування веб-сторінок; зберігання інформації про атакуючі пристрої. Для доступу користувачів - як комп'ютерів 3, на яких встановлені боти (ними керує власник бот-мережі 1, через середовище керування 2), так і легітимних 5, спрямований трафік отримують проксуючі вузли 7, які повертають HTML копію WEB-сайту 4, який захищається. Для захисту від розподілених мережевих атак на смугу пропускання, трафік до доменного імені WEB-сайту 4, який захищається, буде направлений, засобами серверів доменних імен (DNS) 8, на проксуючі вузли 7, які повинні бути підключені максимально близько до магістральних каналів зв'язку по каналах з високою пропускною здатністю. В запропонованій системі кількість проксуючих вузлів 7 та кількість серверів доменних імен (DNS) 8 є необмеженою - від 1 до N. Можлива реалізація системи по географічно розподілу трафіку, залежно від приналежності трафіку від користувача до різних локальних мереж, АС (автономних системах) або країнах. За рахунок цього трафік буде очищений максимально ефективно, не перевантажуючи канали зв'язку, які ведуть до проксуючих вузлів 7, розташованим географічно-адаптивно по світу. Для захисту від атак на WEB-сайт 4, система буде використовувати "чорні списки", які заповнюються даними про користувачів WEB-pecypcy, які не проходять по заданих фільтрам, останні в свою чергу мають можливість змінюватися в ручному або в автоматичному режимі, під час атаки та/або в звичайному режимі, буде відсікати на основі такої моделі нелегітимний трафік. Далі під нелегітимним трафіком буде матися на увазі трафік, генерований ботами на комп'ютерах 3. Легітимним трафіком є потік даних від звичайних користувачів 5. На фіг. 3 наведена структурна схема даної системи. Вона складається з керуючого вузла 6 з модулем керування системи 6.1, модулем балансування навантаження 6.2, модулем синхронізації серверів доменних імен 6.3, модулем синхронізації проксуючих вузлів 6.4; проксуючих вузлів 7 з модулем моніторингу стану навантаження 7.1, модулем кешування WEBсайту 7.2, модулем фільтрації мережевого трафіку 7.3, модулем фільтрації WEB-запитів 7.4; серверів доменних імен 8 з модулем керування серверів доменних імен 8.1. Трафік до проксуючого вузла 7 може йти як від комп'ютерів 3, на яких встановлені боти, так і від звичайних користувачів 5. Наступним кроком буде аналіз та/або очищення мережевих запитів засобами модуля фільтрації зв'язку 7.3, після чого можливий аналіз трафіку на легітимність засобами модуля фільтрації WEB-запитів 7.4 для запобігання виходу з ладу WEBсервера шляхом експлуатації помилки програмного коду WEB-сайту. У подальшому дані про нелегітимних користувачів зберігаються в "чорних списках", які в свою чергу будуть використовуватися в модулі фільтрації мережевих запитів 7.4. Величезним плюсом можна вважати можливість масштабування проксуючих вузлів 7, що призведе до реалізації блокування будь-яких розподілених мережевих атак типу "відмова в обслуговуванні". У разі виходу з експлуатації одного з проксуючих вузлів 7, модуль моніторингу стану навантаження 7.1, відправить дані на керуючий вузол 6, засобами балансування 6.2 трафік від всіх користувачів буде надходити на інші вузли у яких коефіцієнт навантаження буде меншим. Для мінімізації навантаження на проксуючий вузол 7, так само і на WEB-сервер 4, що захищається, засобами модуля кешування WEB-сторінок 7.2, користувачам буде видаватися HTML-копія WEB-сайту 4, яка буде зберігатися на проксуючому вузлі 7. У разі використання унікального запиту користувача проксуючий вузол 7 відправить запит на WEB-сервер 7, який захищається. Керуючий вузол 6 збирає статистику про коефіцієнт навантаження на проксуючі вузли 7, в результаті аналізу яких визначає найменш перевантажені, в свою чергу автоматично передаються показники для видачі IP-адреси користувачам засобами серверів доменних імен (DNS) 8. 3 UA 90555 U 5 10 15 Аналогічно можливий розподіл навантаження на серверах доменних імен 8. При побудові системи враховувалася можливість фільтрувати трафік шляхом блокування підмереж або АС. При використанні "чорних списків" IP-адрес, вони є переважними над правилами фільтрації. Це означає, що якщо IP-адреса комп'ютера знаходиться в "чорному списку", то весь трафік блокується. Приклади формування та корекції даних списків розглядаються, наприклад, в патенті US 12/487,713 (опубл. 29.12. 2009). Під поведінковими критеріями можна розглядати аналіз кількості запитів і сесій, встановлюваних з однієї IP-адреси, кількості запитів без підтвердження з однієї IP-адреси, кількості запитів однотипних даних з однієї ІР-адреси, кількості з'єднань без продовження інформаційного обміну. Запропонована система може працювати як під час розподілених мережевих атак типу "відмова в обслуговуванні", так і поза них. Поза атак робота системи спрямована на поліпшення тимчасових і швидкісних показників WEB-сайту. Здійснення корисної моделі, проілюстроване і описане вище, слід розглядати як переважний приклад здійснення, і що можуть бути внесені різні зміни, що стосуються формули, виду апаратних пристроїв, в межах суті, а також обсягу даної корисної моделі. Використання запропонованої системи дозволяє вирішити актуальну задачу захисту серверів від DDoS атак, тим самим збільшити рівень надійності роботи WEB-серверів та інформаційної безпеки в мережі. 20 ФОРМУЛА КОРИСНОЇ МОДЕЛІ 25 30 Система визначення та запобігання розподіленим мережевим атакам типу "відмова в обслуговуванні", яка містить керуючий вузол, яка відрізняється тим, що керуючий вузол призначений для балансування навантаження та керування проксуючими вузлами, серверами доменних імен і для зберігання та обміну інформацією про атакуючі пристрої та містить наступні елементи: систему керування, модуль балансування навантаження, модуль синхронізації серверів доменних імен, модуль синхронізації проксуючих вузлів, причому проксуючі вузли призначені для виявлення атакуючих пристроїв і фільтрації їх трафіку і зв'язані з WEBсервером, WEB-сайтом, який захищається, і керуючим вузлом та містять наступні модулі: моніторингу стану навантаження, кешування WEB-сторінок, фільтрації мережевого трафіку, фільтрації WEB-запитів, а сервери доменних імен (DNS) з модулем керування DNS зв'язані з керуючим вузлом, який надає дані про WEB-сайт, а саме ІР-адресу проксуючого вузла, користувачеві. 4 UA 90555 U Комп’ютерна верстка Л. Ціхановська Державна служба інтелектуальної власності України, вул. Урицького, 45, м. Київ, МСП, 03680, Україна ДП “Український інститут промислової власності”, вул. Глазунова, 1, м. Київ – 42, 01601 5

Дивитися

Додаткова інформація

МПК / Мітки

МПК: H04W 16/00, G06F 21/00, G06F 12/14

Мітки: атакам, обслуговуванні, мережевим, запобігання, визначення, розподіленим, система, відмова

Код посилання

<a href="https://ua.patents.su/7-90555-sistema-viznachennya-ta-zapobigannya-rozpodilenim-merezhevim-atakam-vidmova-v-obslugovuvanni.html" target="_blank" rel="follow" title="База патентів України">Система визначення та запобігання розподіленим мережевим атакам “відмова в обслуговуванні”</a>

Подібні патенти