Анализ техник противодействия низкоинтенсивным атакам
Правила ограничивают число соединений пятью с одного узла. При превышении этого лимита попытка соединения запрещается. Если у атакующего достаточно большой ботнет, он всё равно может успешно атаковать. Также значение connlimit должно быть очень низким, чтобы защитить web-сервер. Это может существенно затруднить использование сервера легитимными клиентами и вызывает большое число ложных… Читать ещё >
Анализ техник противодействия низкоинтенсивным атакам (реферат, курсовая, диплом, контрольная)
Рассмотрим техники, применяемые сегодня для обнаружения и противодействия low-rate DDoS атакам. Для этого используют конфигурирование правил межсетевых экранов и систем обнаружения вторжений (IDS). Правила межсетевого экранирования рассматриваются на примере iptables [21], правила систем обнаружения вторжений — на примере Snort [22].
1) Статический лимит соединений.
iptablesI INPUTp tcp —syn —dport 80 -m connlimit.
—connlimit-above 5 —connlimit-mask 32 -j DROP.
iptablesI INPUTp tcp —dport 80 -j ACCEPT.
Правила ограничивают число соединений пятью с одного узла. При превышении этого лимита попытка соединения запрещается. Если у атакующего достаточно большой ботнет, он всё равно может успешно атаковать. Также значение connlimit должно быть очень низким, чтобы защитить web-сервер. Это может существенно затруднить использование сервера легитимными клиентами и вызывает большое число ложных срабатываний (false positives). Такие правила затрудняют или исключают использование NAT и proxy-серверов.
2) Динамический лимит соединений.
iptablesI INPUTp tcpm state —state NEW —dport 80.
— m recent —name slowloris —set.
iptablesI INPUTp tcpm state —state NEW —dport 80.
- -m recent —name slowloris —update
- —seconds 15 —hitcount 10 -j DROP
iptablesA INPUTp tcp —dport 80 -j ACCEPT.
Первые два правила проверяют новые соединения и число соединений с одного ip-адреса. Если с одного ip-адреса создаётся более 10 соединений в течение 15 секунд, то такие пакеты блокируется. Для такого набора правил характерно неприемлемо большое число ложных срабатываний [23]. Легитимные подключения хостов через один NAT и proxy-сервер также будут удовлетворять этим правилам и будут блокироваться межсетевым экраном.
3) Применение правил IDS.
Правила Snort, входящие в состав набора правил по умолчанию [24], основаны на поиске строковых шаблонов, специфичных для определённых сценариев атак, и контроле пороговых значений пакетов в единицу времени.
alert tcp any any -> any any (msg:" low-rate DDoS" ;
flow:to_server, established; content:"some DoS tool user-agent specific content".
detection_filter:track by_src, count 20, seconds 20;
metadata:service http; classtype: attempted-dos; sid:1 234 572; rev:2;).
Такие правила легко обходятся, поскольку параметры сценария и user-агента легко реконфигурируются. Кроме того, как и в случае правил межсетевого экрана, основанных на контроле числа соединений, эти правила IDS генерируют много ложных срабатываний.