Анализ техник противодействия низкоинтенсивным атакам

РефератПомощь в написанииУзнать стоимостьмоей работы

Правила ограничивают число соединений пятью с одного узла. При превышении этого лимита попытка соединения запрещается. Если у атакующего достаточно большой ботнет, он всё равно может успешно атаковать. Также значение connlimit должно быть очень низким, чтобы защитить web-сервер. Это может существенно затруднить использование сервера легитимными клиентами и вызывает большое число ложных… Читать ещё >

Анализ техник противодействия низкоинтенсивным атакам (реферат, курсовая, диплом, контрольная)

Рассмотрим техники, применяемые сегодня для обнаружения и противодействия low-rate DDoS атакам. Для этого используют конфигурирование правил межсетевых экранов и систем обнаружения вторжений (IDS). Правила межсетевого экранирования рассматриваются на примере iptables [21], правила систем обнаружения вторжений — на примере Snort [22].

1) Статический лимит соединений.

iptablesI INPUTp tcp —syn —dport 80 -m connlimit.

—connlimit-above 5 —connlimit-mask 32 -j DROP.

iptablesI INPUTp tcp —dport 80 -j ACCEPT.

2) Динамический лимит соединений.

iptablesI INPUTp tcpm state —state NEW —dport 80.

— m recent —name slowloris —set.

iptablesI INPUTp tcpm state —state NEW —dport 80.

-m recent —name slowloris —update
—seconds 15 —hitcount 10 -j DROP

iptablesA INPUTp tcp —dport 80 -j ACCEPT.

Первые два правила проверяют новые соединения и число соединений с одного ip-адреса. Если с одного ip-адреса создаётся более 10 соединений в течение 15 секунд, то такие пакеты блокируется. Для такого набора правил характерно неприемлемо большое число ложных срабатываний [23]. Легитимные подключения хостов через один NAT и proxy-сервер также будут удовлетворять этим правилам и будут блокироваться межсетевым экраном.

3) Применение правил IDS.

Правила Snort, входящие в состав набора правил по умолчанию [24], основаны на поиске строковых шаблонов, специфичных для определённых сценариев атак, и контроле пороговых значений пакетов в единицу времени.

alert tcp any any -> any any (msg:" low-rate DDoS" ;

flow:to_server, established; content:"some DoS tool user-agent specific content".

detection_filter:track by_src, count 20, seconds 20;

metadata:service http; classtype: attempted-dos; sid:1 234 572; rev:2;).

Такие правила легко обходятся, поскольку параметры сценария и user-агента легко реконфигурируются. Кроме того, как и в случае правил межсетевого экрана, основанных на контроле числа соединений, эти правила IDS генерируют много ложных срабатываний.

Показать весь текст

Заполнить форму текущей работой

Другие работы

Принцип вычислений. Процессор персонального компьютера

Принцип работы процессора состоит в следующем. Данные, с которыми работает процессор, размещаются в его регистрах (память процессора) или микрокоманде, в оперативной памяти ПК. Если информация хранится в устройствах внешней памяти, например на жестком диске, она должна быть считана в оперативную память, из нее — в кэш процессора, а уже потом в регистры процессора. Микрокоманды процессора заносят…

Реферат