Выявление DoS и DdoS атак

Существует мнение, что специальные средства для выявления DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто наблюдались удачные DoS-атаки, которые были замечены жертвами лишь спустя 2−3 суток. Бывало, что негативные последствия атаки выливались в излишние расходы на оплату избыточного Internet-трафика, что выяснялось лишь при получении счета от Internet-провайдера. Кроме того, многие методы обнаружения атак неэффективны вблизи объекта атаки, но эффективны на сетевых магистральных каналах. В таком случае целесообразно ставить системы обнаружения именно там, а не ждать, пока пользователь, подвергшийся атаке, сам ее заметит и обратится за помощью. К тому же для эффективного противодействия DoS-атакам необходимо знать тип, характер и другие характеристики DoS-атак, а оперативно получить эти сведения как раз и позволяют службы обеспечения безопасности. Но определить, была ли данная атака произведена злоумышленником, либо отказ в обслуживании был следствием нештатного события, они не могут.

При обнаружении DoS или DdoS-атаки потребуется ее регистрация для дальнейшего аудита. После того, как атака была зафиксирована, могут потребоваться службы обеспечения безопасности для некоторых корректировок в системе и для ее возвращения к прежнему уровню работы. Также для обнаружения DdoS-атаки могут использоваться службы, не связанные с безопасностью, например, перенаправление трафика по другим каналам связи, включение резервных серверов для копирования информации. Таким образом, средства для обнаружения и предотвращения DdoS-атак могут сильно различаться в зависимости от вида защищаемой системы.

Методы обнаружения DoS-атак можно разделить на несколько больших групп:

сигнатурные — основанные на качественном анализе трафика.

статистические — основанные на количественном анализе трафика.

гибридные (комбинированные) — сочетающие в себе достоинства обоих вышеназванных методов.