Содержание к диссертации
Введение
1 Флуд-атаки как угроза безопасности информации компьютерных сети 12
1.1 Сущность флуд-атак 12
1.2 Атаки, направленные на приведение жертвы в недоступное состояние 13
1.3 Многофункциональные атаки 17
1.4 Постановка задач исследования 33
1.5 Выводы по первой главе 33
2 Риск-модели ІМ-флуда 34
2.1 Специфика моделирования процесса атаки, использующей вредоносную программу IM-Flooder 34
2.2 Измерение ущерба 39
2.3 Оценка рисков 45
2.4 Возможности и рекомендации для регулирования рисков в условиях реализации флуд-атаки с использованием вредоносной программы IM-flooder 47
2.5 Выводы по второй главе 50
3 Риск-модели сетевой атаки типа «DNS-Flood» 51
3.1 Моделирование процесса атаки типа «простой DNS-flood» 51
3.2 Моделирование процесса атаки типа «рекурсивный DNS-flood» 54
3.3 Определение функций ущерба 58
3.4 Аналитическая оценка риска 67
3.5 Рекомендации для регулирования рисков в условиях флуд-атаки типа «DNS-flooder» 69
3.6 Выводы по третьей главе 72
4 Риск-модели для атак посредством программы «SMS- Flooder» 73
4.1 Особенности моделирования процесса атаки, реализуемой посредством вредоносной программы SMS-Flooder 73
4.2 Модели процесса атаки типа «SMS-Flood» 79
4.3 Функция ущерба от SMS-флуда 84
4.4 Аналитическая оценка риска 91
4.5 Возможности и рекомендации для регулирования рисков в условиях флуд-атаки посредством вредоносной программы SMS-Flooder 94
4.6 Выводы по четвертой главе 98
5 Риск-модели флуд-атак с помощью вредоносной программы Email-Flooder 99
5.1 Моделирование процесса заражения хоста вредоносной программой Email-flooder 99
5.2 Моделирование флуд-атаки на почтовый сервер 105
5.3 Обоснование функции ущерба от почтового флуда 111
5.4 Аналитическая оценка рисков почтового флуда 121
5.5 Возможности и рекомендации для регулирования рисков в условиях атаки типа «почтовый флуд» 124
5.6 Выводы по пятой главе 127
Заключение 128
Библиографический список 129
- Атаки, направленные на приведение жертвы в недоступное состояние
- Возможности и рекомендации для регулирования рисков в условиях реализации флуд-атаки с использованием вредоносной программы IM-flooder
- Функция ущерба от SMS-флуда
- Аналитическая оценка рисков почтового флуда
Атаки, направленные на приведение жертвы в недоступное состояние
Одним из наиболее ярких представителей данной группы атак является атака типа «DNS-flood», так как при ее реализации зачастую достигаются рекордные по силе DDoS-атаки [101-103]. Рассмотрим данную группу атак на ее примере. DNS-flood реализуется с помощью DNS-серверов, которые используются для трансляции доменных имен в IP-адреса и обратно. Рассмотрим более подробно систему получения информации о доменах DNS. Каждый хост в сети обладает уникальным IP-адресом, некоторые из них обладают также доменным именем. Также конкретный хост может иметь несколько IP-адресов (у конкретно взятого интерфейса хоста свой адрес или же несколько интерфейсов хоста обладают одним адресом), как и на отдельном IP-адресе может быть зарегистрировано несколько доменных имен.
На заре сети Интернет задача распределения уникальных идентификаторов и имен хостов решалась посредством ведения списков, включающих все компьютеры в сети, копии которых хранились на каждом из хостов, входящих в сеть. Однако, по мере увеличения количества компьютеров в сети Интернет, возникли проблемы, связанные с увеличением общего количества данных списков, которые необходимо было синхронизировать, что приводило к существенным временным затратам и становилось малоэффективным. На смену данной неудобной схеме была предложена структура имен - DNS. Отличалась она от предшествующей тем, что структура имен и адресов хостов в сети стала иерархической. Основанием данной иерархической структуры имен является точка, так называемый «корень дерева», который един для всех доменов [22, 65, 112].
Как правило, при вводе URL, точка в конце адреса не ставится, однако она используется в описаниях DNS. Здесь точку ставить необходимо. Ниже корня лежат домены первого уровня (зоны). Их немного — com, net, org, mil, biz, info, gov (есть еще несколько) и домены государств, например, ш. Еще ниже находятся домены второго уровня, например, bijid.ru. Еще ниже — третьего и т.д. Уровни разделяются точками [112].
DNS-серверы не является изолированными, каждому их них известны адреса корневых серверов. При поступлении запроса к серверу он либо сам находит необходимую информацию в своей базе данных либо обращается к другому серверу. Адреса DNS-серверов для конкретного пользователя сети указываются провайдером. Пользователь, при отправке запроса, обращается к первичному DNS-серверу, который либо предоставляет необходимую пользователю информацию, в случае ее наличия, либо отправляет пользовательский запрос на вышестоящий сервер. Возникают случаи, когда вышестоящий сервер неизвестен, в этом случае пользовательский запрос отправляется на корневой DNS-сервер. После нахождения необходимой информации, она отправляется по цепочке DNS-серверов в обратную сторону к пользователю [107, 111, 112].
Для DNS запроса и для DNS отклика используется одинаковый формат. Сообщение содержит фиксированный 12-байтный заголовок, за которым следуют четыре поля переменной длины [102]. Имя запроса (query name) это искомое имя. Оно представляет собой последовательность из одной или нескольких меток. Каждая метка начинается с 1-байтового счетчика, содержащего количество следующих за ним байт. Имя заканчивается байтом равным 0, который является меткой с нулевой длиной. И является, в свою очередь, меткой корня. Каждый счетчик байтов должен быть в диапазоне от 0 до 63, так как длина метки ограничена 63 байтами [102].
У каждого вопроса есть тип запроса (query type), а каждый отклик имеет тип (type). Существует около 20 различных значений, некоторые из которых в настоящее время уже устарели [102].
Согласно документам RFC-1034 и RFC-1035 возможно выделить несколько типов DNS-серверов [112].
По типу откликов на запрос к системе доменных имен их можно подразделить на неавторитативные и авторитативные. Отличаются они типом возвращаемого отклика. Авторитативный отклик возвращается сервером, ответственным за зону, в которой находится информация, необходимую пользователю, а неавторитативный отклик возвращается сервером, не отвечающим за зону, в которой находится пользователь [102, 112].
Также авторитативный отклик могут вернуть либо первичный, либо вторичный DNS-серверы зоны, которые выделяются при регистрации домена в сети, причем вторичных серверов для домена может быть и несколько [102, 105].
Первичный сервер считывает описание доменной зоны, с дисковой памяти хоста и, в соответствии с ней, отвечает на запросы клиента. Описание зоны первичного DNS-сервера является первичным, так как оно изначально задается администратором зоны вручную. Остальные серверы копируют клиентскую информацию с первичного сервера. Первичный сервер задается один на конкретную зону [102, 105].
Вторичные серверы также являются ответственными за определенную доменную зону. Предназначены вторичные серверы для резервного хранения данных первичного сервера доменных имен на случай выхода его из строя. Также, использование вторичных DNS-серверов позволяет распределить нагрузку между первичным и вторичными серверами. Вторичный сервер настраивается для работы с конкретно взятым первичным DNS-сервером и, в момент запуска, копирует данные с первичного сервера. При изменении данных на первичном сервере, необходимо их обновить и на вторичном сервере [105, 112].
Возможности и рекомендации для регулирования рисков в условиях реализации флуд-атаки с использованием вредоносной программы IM-flooder
Можно выделить следующие этапы флуд-атаки с использованием вредоносной программы IM-Flooder: Особенность данной атаки заключается в том, что сервер может отправлять и принимать сообщения, но ввиду проведения флуд-атаки на его адрес, эти действия будут затруднены. Постепенно, количество приходящих сообщений может достигнуть критической отметки, при которой IM-сервер не сможет выполнять своих функций, то есть -произойдет отказ в обслуживании.
На адрес сервера будут поступать полезные сообщения с интенсивностью Яп и нежелательные сообщения с интенсивностью Яа. Таким образом общая интенсивность поступающих сообщений будет равна (Яа + Яп).
Пусть успех атаки произойдет в момент времени t0, когда сервер получит на свой адрес mKp сообщений, что приведет к неработоспособности IM-сервера. Интенсивность накопления сообщений будет определяться выражением (2.4), так как атакуемый сервер обрабатывает с постоянной интенсивностью Я0 сообщения, поступающие с интенсивностью Ла + Лп:
В отличие от других видов флуд-атак, которые основаны на огромном количестве запросов, бессмысленных или образованных в некорректном формате, к определенной компьютерной сети или же сетевому оборудованию, ущерб по прекращению атаки не будет уменьшаться самостоятельно. Так как после окончания атаки и проведения мер по ее нейтрализации на ГМ-сервер поступит т необработанных сообщений, то жертва будет вынуждена затратить ресурсы на ликвидацию последствий атаки [108].
Пусть интенсивность атаки всех источников в среднем равна A;,a t3 -момент времени, в который все сообщения получены и спам-лист сформирован. После блокировки источника количество сообщений уменьшается на Xtt, так как удаляются все сообщения данного источника, тогда обработка поступивших нежелательных сообщений будет происходить по следующему закону:
После перенастройки сервера и блокировки источников атака прекратится, но сообщения, доставленные жертве до формирования спам-листа, будут отмечены в сети как непрочитанные и поступать заново с интенсивностью X0, что приведет к некоторым задержкам в работе ІМ-сервера. Эти сообщения будут поступать по следующему закону: Xtf) = оф( з - tjt, (2.7) где tB - момент времени, в который все источники заблокированы и сервер перенастроен. Время, потраченное на устранение последствий атаки, зависит от времени перенастройки ГМ-сервера и количества ГМ-аккаунтов, с которых идет атака, то есть - время устранения определяется формулой: где, п - количество адресов, с которых идет атака; Т0 - время на добавление одного атакующего в спам-лист; Т - время на перенастройку сервера.
Так как величина ущерба зависит от интенсивности обработки сообщений, времени перенастройки сервера, и количества адресов, с которых проводится атака, то величина ущерба изменяется по линейному закону. Будем искать функцию ущерба в виде линейной функции с параметрами к и Ъ: k0-b = 0, к (пТ0 + Т)-Ь = Л0- (пТ0 + Т),
Данная функция (рисунок 2.3) будет определена до момента времени tB, когда сформирован спам лист и сервер перенастроен. Функция ущерба, которая зависит от количества сообщений, поступивших в различные моменты времени, будет определяться следующими выражениями:
Полученное выражение ущерба, можно пронормировать по его максимальному значению. Максимальное значение ущерб принимает в точке t3. Учитывая область определения функции и(t) (2.15) найдем в точке t3 правую производную:
Основываясь на полученных результатах для флуд-атаки на ІМ-сервер, с использованием вредоносной программы IM-flooder при помощи сетей Петри - Маркова, мы можем получить количественное значение риска при реализации флуд-атаки.
Величина риска, начиная с реализации атаки в момент времени t0, с точностью до шага дискретизации At, оптимальное значение которого выбирается с помощью интегральной ширины [126] функции риска, определяется значением плотности вероятности / нанесения ущерба и количественным значением этого ущерба в следующем [33-37] виде:
Графическое изображение огибающей риска для флуд-атаки, реализуемой с использованием вредоносной программы IM-flooder
Используя полученное выражение (2.22), рассмотрим далее возможность управления риском. Возможности и рекомендации для регулирования рисков в условиях реализации флуд-атаки с использованием вредоносной программы IM-flooder
Рассмотрим возможности регулирования огибающей функции риска, используя аналитическое выражение, полученное ранее:
Часть из параметров риска, представленных выше, являются внешними для атакуемой сети, среди них: Яа, Xit Я0ф, t0. Управлять ими представляется затруднительным в рамках атакуемой КС. В свою очередь, интенсивность поступления полезных сообщений Яп регулировать нецелесообразно, так как данные сообщения имеют ценность для пользователей атакуемой КС.
Внутренними параметрами для атакуемой сети, которые можно регулировать в рамках процесса управления риском при реализации атаки флуд-атак с использованием вредоносной программы IM-flooder, являются: Я0, Т0, Т, tB, и t3.
Рассмотрим методы регулирования данными параметрами с целью снижения риска реализации данных флуд-атак.
Параметры A0,tB,T зависят от производительности атакуемого сервера системы и связанного с ним оборудования КС, увеличивая их, можно добиться снижения значений огибающей функции риска реализации флуд-атак с использованием вредоносной программы IM-flooder, это возможно посредством: - замены дисковых накопителей атакуемого сервера сети на более производительные; - замены функционирующих в атакуемой сети сетевых устройств на более производительные; - увеличения объема обрабатываемой информации в сети посредством увеличения вычислительной мощности хостов сети.
На рисунке 2.6 приведены графики огибающей функции риска при снижении параметра tB посредством увеличения вычислительной мощности хостов сети, увеличении параметра Я0 посредством замены функционирующих в атакуемой сети сетевых устройств, снижении Т посредством увеличения производительности функционирующих на атакуемом сервере дисковых накопителей на величину AtB, ЛЯ0, AT соответственно.
Функция ущерба от SMS-флуда
Часть из параметров риска, представленных выше, являются внешними для атакуемой сети, среди них: Яа, Xit Я0ф, t0. Управлять ими представляется затруднительным в рамках атакуемой КС. В свою очередь, интенсивность поступления полезных сообщений Яп регулировать нецелесообразно, так как данные сообщения имеют ценность для пользователей атакуемой КС.
Внутренними параметрами для атакуемой сети, которые можно регулировать в рамках процесса управления риском при реализации атаки флуд-атак с использованием вредоносной программы IM-flooder, являются: Я0, Т0, Т, tB, и t3.
Рассмотрим методы регулирования данными параметрами с целью снижения риска реализации данных флуд-атак.
Параметры A0,tB,T зависят от производительности атакуемого сервера системы и связанного с ним оборудования КС, увеличивая их, можно добиться снижения значений огибающей функции риска реализации флуд-атак с использованием вредоносной программы IM-flooder, это возможно посредством: - замены дисковых накопителей атакуемого сервера сети на более производительные; - замены функционирующих в атакуемой сети сетевых устройств на более производительные; - увеличения объема обрабатываемой информации в сети посредством увеличения вычислительной мощности хостов сети. На рисунке 2.6 приведены графики огибающей функции риска при снижении параметра tB посредством увеличения вычислительной мощности хостов сети, увеличении параметра Я0 посредством замены функционирующих в атакуемой сети сетевых устройств, снижении Т посредством увеличения производительности функционирующих на атакуемом сервере дисковых накопителей на величину AtB, ЛЯ0, AT соответственно. Risk(t)
Вторую группу параметров сети, которыми возможно управлять, составляют параметры Т0 и t3, зависящие от производительности и корректности настроек устройств защиты информации, установленных в атакуемой сети. Управляя настройками средств защиты информации, можно добиться следующих результатов: - снизить время на добавление одного атакующего в спам-лист; - снизить время реагирования и включения средств защиты информации при реализации атаки. На рисунке 2.7 приведены графики функции риска в случае осуществления управляющих воздействий на вышеописанные параметры и снижения параметра Т0 путем повышения вычислительной производительности средств защиты информации СКС и снижении параметра t3 с помощью реконфигурации средств защиты информации СКС на величину АТ0и At3 соответственно. Risk(t)
Таким образом, для предложенных способов регулирования внутренних параметров защищаемого СКС, продемонстрирована (рисунок 2.6 и 2.7) эффективность их применения для снижения значений огибающей функции риска атакуемого СКС при реализации в отношении ее серверов флуд-атак с использованием вредоносной программы IM-flooder.
В главе разработана модель флуд-атаки с использованием вредоносной программы IM-flooder, которая позволяет определить накопленные вероятности наступления ущерба. Определены функция ущерба для атаки типа «ГМ-флуд» и огибающая риска, включая оценку возможности ее регулирования
Настоящая глава посвящена моделированию процесса реализации атак типа «DNS-флуд», включая оценки вероятности успеха атак и величины возникающих ущербов. Получено аналитическое выражение риска и предложены рекомендации для его регулирования.
Моделирование процесса атаки типа «простой DNS-flood» Рассмотрим процесс атаки на DNS-сервер типа «простой DNS-flood». Смоделируем процесс, с момента отправки данных злоумышленником, до момента отказа в обслуживании сервера, с помощью сети Петри-Маркова [54], где: St - позиции, tj - переходы; St - отправка запросов с хоста злоумышленника на атакуемый сервер; tt - поступление данных, отправленных на сервер злоумышленником; Для примера исходным параметрам атаки придадим следующие значения: т1± = 1 с - среднее время поступления данных, отправленных на сервер злоумышленником, т22 = 0,5 с- среднее время постановки в очередь полученных от злоумышленника запросов, т33 = 1 с - среднее время передачи запросов от злоумышленника на обработку серверу, т44 = 1 с -среднее время проверки очереди атакуемого сервера. Тогда из (3.2) среднее время перехода по всей сети г = 3,5 с. Соответствующая зависимость вероятности заражения хоста от времени представлена на рисунке 3.2. P(t
Построим функцию получаемых запросов на сервер в результате атаки на DNS-сервер. В некоторый момент времени злоумышленник начинает атаку на DNS-сервер с интенсивностью Ха. Запросы, отправленные им, поступают на атакуемый сервер. Запросы пересылаются для рекурсивной обработки на вышестоящий сервер, откуда они возвращаются на атакуемый DNS-сервер. Вследствие этого получаем увеличение интенсивности атаки на сервер в два раза - 2Ла. Продолжая проводить атаку, DNS-сервер переходит в режим «отказ в обслуживании». При обнаружении атаки происходит включение механизмов защиты. В момент времени t3 DNS-сервер включает следующий механизм защиты. Для отсечения запросов, приходящих от атакующего, отфильтровываются (отсекаются) IP, с которых приходит слишком много запросов. Используем статистику, предоставленную сайтом securitylist.com. На рисунке 3.6 показана диаграмма отношения количества пропущенных пакетов IP фильтром ко времени фильтрации при установленном пороге запросов с одного клиента.
Аналитическая оценка рисков почтового флуда
Атака SMS-Flood преследует цель исчерпать ресурсы атакуемой сети и тем самым сделать ее недоступной. При этом атакуемый SMS-сервер переходит в недоступное состояние, так как все ресурсы сети будут уходить на обработку нежелательных сообщений, посылаемых вредоносной программой SMS-Flood. Сервер будет вынужден обрабатывать нежелательные сообщения. Таким образом, ущерб будет зависеть от количества поступающих нежелательных сообщений [106-109]. Можно выделить следующие этапы флуд-атаки на SMS-сервер с использованием вредоносной программы SMS-Flooder: 1) атака началась, но успех не достигнут; 2) успех атаки достигнут, атака продолжается; 3) атакуемый объект обнаружил атаку и начинает применять средства защиты; 4) устранение атаки и ее последствий. Рассмотрим, как изменяется ущерб в зависимости от этапа атаки.
В момент начала атаки хост злоумышленника передает команду о начале атаки атакующим устройствам. Этот этап может занимать значительное время, поэтому для ускорения на этом этапе задействуют атакующие устройства [107]. Атакующее устройство, получившее команду о начале атаки, должно передать эту команду другим атакующим устройствам па. Зная, что на отправку команды одному устройству затрачивается время tK, интенсивность передачи полученной команды другим атакующим устройствам можно найти по формуле
Таким образом, количество атакующих устройств, подключившихся к атаке, будет расти по закону геометрической прогрессии. Так как интенсивность всех источников одинакова и равна А;, то Аа = Л.ь зависимость количества поступающих нежелательных сообщений от времени определяется выражением (4.6): na — 1 интенсивность отправки SMS-сообщений одним источником. График зависимости количества поступающих нежелательный сообщений от времени для данного этапа приведен на рисунке 4.5.
Обозначим ta момент времени, когда все атакующие устройства подключились к атаке, то есть достигнута максимальная интенсивность атаки Яа. После этого атака будет продолжаться с постоянной интенсивностью Яа. Также на атакуемый сервер будут поступать полезные сообщения с интенсивностью Яп. Таким образом, общая интенсивность поступающих сообщений будет равна: Ла + Лп. При этом сервер способней обрабатывать SMS-сообщения с интенсивностью Я0. Примем за успех атаки момент времени t0, когда общая интенсивность поступающих сообщений превысит интенсивность обработки SMS-сообщений, то есть очередь сервера переполнится и он будет не в состоянии принимать SMS -сообщения
После успеха атака будет продолжаться, и ущерб будет увеличиваться, пока атака не будет идентифицирована и не начнется этап применения средств защиты. Пусть в момент времени tp атака идентифицирована, а в момент времени t3 средства защиты запустились. Иллюстрация данного этапа приведена на рисунке 4.6.
Для противодействия данной атаке, необходимо определить с каких номеров производится отправка нежелательных SMS-сообщений (путем анализа поступающих сообщений). При определении номера одного из атакующих устройств, удаляются все сообщения, поступившие с данного номера, и он помещается в «черный список», то есть все сообщения с этого номера будут игнорироваться. Блокировка атакующих номеров осуществляется по определенному критерию [102]. Например, если с одного номера поступит пп нежелательных сообщений, то данный номер считается вредоносным. Так как для блокировки нужно проанализировать пп сообщений, то интенсивность блокировки можно определить как:
Так как интенсивность всех источников одинакова и равна Л;, то после блокировки атакующего номера, количество сообщений уменьшится на Att, так как удалятся все сообщения от данного источника. В этом случае, обработка поступивших нежелательных сообщений будет происходить по следующему закону:
Определим функцию ущерба на основе приведенного выше анализа. Так как ущерб зависит от количества поступивших сообщений, то в момент времени t3 он будет равен:
Сообщения будут поступать по закону (4.11), а обрабатываться по (4.9). Общий вид функции ущерба для всех временных интервалов реализации атаки будет выглядеть следующим образом: na-l На основе (4.6), (4.9), (4.11) и (4.12) запишем функцию ущерба с учетом временных интервалов реализации атаки и включения средств защиты: Динамика ущерба в периоды реализации атаки и устранения ее последствии С учетом того, что по достижении момента времени ta атака будет продолжаться с постоянной интенсивностью Ла, а средства защиты информации будут блокировать все больше количество атакующих номеров и удалять поступившие от них нежелательные сообщения, в момент времени tH все источники будут заблокированы и интенсивность поступления сообщений станет равной Лп. Все нежелательные сообщения будут обработаны или удалены.
Под риском будем понимать количественную величину, характеризующую возможность возникновения отказа в момент времени t0 с точностью до шага дискретизации At, зависящего области значений функции риска и определяемого с помощью интегральной ширины функции [126].
В случае увеличения производительности, то есть роста интенсивности обработки сообщений Я0, момент успеха атаки будет наступать позже, так как для достижения требуемой интенсивности атаки будет требоваться больше времени. Также уменьшится время на ликвидацию последствий атаки tH, так как сеть будет обрабатывать большее количество сообщений в единицу времени. На рисунке 4.10 приведены огибающие риска при увеличении интенсивности обработки сообщений Я0 на величину ЛЯ0 и снижении параметра tH. на величину AtH
посредством повышения производительности дисковой подсистемы и канала связи КС, а также повышения ее вычислительной мощности.
Повлиять на параметры t3 и tH можно путем выбора средств защиты с лучшими характеристиками. В случае применения более эффективных средств защиты, например, включения в состав СКС программно аппаратных маршрутизаторов, атака будет выявлена раньше и устранена быстрее. Таким образом, произойдет уменьшение параметра t3 и уменьшение параметра tH. На рисунке 4.11 приведены кривые риска при снижении параметра t3 на величину At3 и снижении параметра tH. на величину AtH посредством использовании программно-аппаратного маршрутизатора в атакуемой КС. RSsk(t)
Параметром пп можно управлять посредством изменения настроек системы защиты, определяя количество сообщений, по которому источник сообщений будет признаваться нежелательным. При уменьшении значений пп, отправители вредоносных сообщений будут раньше приниматься нежелательными и помещаться в «черный список», тем самым снижая значение огибающей функции риска атакуемого СКС.
В данной главе определена функция ущерба для флуд-атаки с использованием вредоносной программы SMS-flooder. Построена риск -модель для атак SMS-flooder. Рассмотрена возможность регулирования риска за счет настроек сети.