Календарь мероприятий
октябрь 2024
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | | | |
показать все
Новости партнеров
Николай Нашивочников, «Газинформсервис»: в нефтегазовом секторе изменился ландшафт угроз
Читать далее
В Москве обсудят применение искусственного интеллекта в строительстве
Читать далее
«ГенИИ» расскажут о кейсах и вызовах ИИ в производстве
Читать далее
Зарулили на 1-е место: победителем «Биржи ИБ- и IT-стартапов» стал проект по автомобильной кибербезопасности
Читать далее
«Киберарена»: «Газинформсервис» запускает новый формат киберсоревнований
Читать далее
показать все
Статьи
Технологический ИИ-арсенал
Читать далее
Чем страшен ИИ, и с чем его едят
Читать далее
Готов ли рынок АСУ ТП к переменам?
Читать далее
Отрыв длиной в год. Российские ИИ-решения незначительно уступают иностранным аналогам
Читать далее
Лейсан Чистая: «КулибИТ для каждого из нас это больше, чем просто проект – это наша миссия»
Читать далее
Взгляд в перспективу: что будет двигать отрасль информационной безопасности
Читать далее
5 способов повысить безопасность электронной подписи
Читать далее
Как искусственный интеллект изменит экономику
Читать далее
Неочевидный САПР: выход ПО за рамки конструкторской деятельности
Читать далее
Скоро некому будет делать сайты и заниматься версткой
Читать далее
показать все
|
Что такое DDoS? Часть 9. Защита от SYN-атак
Главная /
Архив номеров / 2016 / Выпуск №08 (61) / Что такое DDoS? Часть 9. Защита от SYN-атак
Рубрика:
Безопасность
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Леонид Шапиро, архитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M
Что такое DDoS? Часть 9. Защита от SYN-атак
Несмотря на возможность отражения SYN-флудов методами поведенческого анализа, Radware предлагает еще один интересный вариант противостояния подобным воздействиям – профиль SYN protection
Настройка модуля SYN protection Radware Defense Pro
В предыдущей статье [1] мы рассмотрели принципы защиты от DDoS-атак с помощью модуля поведенческого анализа Radware Defense Pro. Такой способ позволяет эффективно защититься от сетевых флудов, которые довольно часто применяют злоумышленники. При этом, как мы имели возможность удостовериться, легитимные пользователи продолжают работать в обычном режиме, а атака отражается в автоматическом режиме в течение 10-18 секунд. Список атак можно увидеть ниже:
- SYN Flood
- TCP ACK + FIN Flood
- TCP RST Flood
- TCP SYN + ACK Flood
- TCP Fragmentation Flood
- UDP Flood
- UDP Fragmentation Flood
- ICMP Flood
- IGMP Flood
Вспомним принципы SYN-атак, которые мы рассматривали в одной из предыдущих статей [2].
SYN-атаки основаны на том, что для обеспечения установки соединения в стеке TCP/IP используются принципы трехэтапного взаимодействия или квитирования, обеспечивающие синхронизацию передающего и получающего узлов [3] (см. рис. 1).
Рисунок 1. Принципы установки TCP-сессии
Во время SYN-атаки злоумышленник может отправлять большое количество SYN-пакетов без завершения процесса трехэтапного взаимодействия или завершать сессии без ихустановки. Это приводит к избыточной загруженности атакуемого узла, то есть работа легитимных клиентов существенно затрудняется или даже невозможна. Кстати, эта же особенность установки сессии при TCP-взаимодействиях используется и при сканировании портов для выявления уязвимостей системы [4].
Если модуль поведенческого анализа нацелен на изучение всего проходящего трафика и выявления отклонений от нормального состояния по целому комплексу параметров, позволяя идентифицировать, в том числе и различные типы SYN-флудов, то адресная защита от SYN-атак дает возможность обеспечить работу основных сервисов компании, на которые может быть нацелено негативное воздействие злоумышленников. Речь идет о таких службах, как FTP, HTTP, HTTPS, IMAP, POP3, RPS, RTSP, SMTP, Telnet.
Используя SYN protection, следует обратить внимание на то, в какой сети мы работаем. В зависимости от того, проходит ли весь входящий и исходящий трафик через устройство противодействия атакам или нет, выполняется настройка этого модуля защиты. Разберемся с особенностями работы.
Предположим, мы работаем в симметричной сети, то есть весь трафик проходит через Defense Pro, который выполняет роль «прозрачного прокси-сервера» (transparent proxy) [5]. Вэтом случае, получив SYN-пакет, Defense Pro отправляет в ответ пакет SYN-ACK с cookie в поле Sequence Number. Если приходящий в ответ пакет ACK содержит Cookie всоответствующем поле, то попытка установки сессии – легитимна. В противном случае сессия не устанавливается. Настройка метода проверки трафика выполняется в свойствах профиля SYN protection, и вариант, предлагаемый по умолчанию, именно Transparent-proxy (см. рис. 2).
Разумеется, такой вариант аутентификации клиента не подойдет, когда сеть не симметрична, например входящий трафик идет через Defense Pro, а исходящий в обход устройства защиты. В этом случае, не получив пакет подтверждения, вполне легитимная попытка установки сессии будет признана SYN-атакой, а стало быть, не будет пропущена.
Для того чтобы избежать такой ситуации, используется метод проверки Safe-Reset (см. рис. 2).
Рисунок 2. Настройка метода проверки TCP-трафика
Здесь применяется другой алгоритм.
В ответ на SYN-пакет Defense Pro отправляет пакет ACK, содержащий неправильное значение Sequence Number в качестве cookie. Если в ответ клиент отправляет пакет RST (сброс сессии) с этим же значением cookie и повторяет SYN-пакет в течение заданного интервала времени, укладывающегося в диапазон между Minimum Allowed SYN Retransmission Time и Maximum Allowed SYN Retransmission Time, то Defense Pro отбрасывает пакет RST, добавляет IP-адрес инициатора взаимодействия в список аутентифицированных узлов (TCP Authentication table), тем самым следующий SYN-пакет от этого узла будет считаться правомерным, и установка сессии с сервером будет разрешена. Такой способ проверки выглядит сложнее, но позволяет обеспечить отражение SYN-атак в несимметричных средах.
Когда Defense Pro сбрасывает исходную сессию, то есть выполняет TCP reset, то браузер клиента должен повторно ее автоматически инициировать, что вызовет задержку примерно втри секунды. Это касается только браузеров, поддерживающих эту схему работы, для остальных – пользователь получит уведомление о необходимости повторного подключения, однако современные браузеры лишены этой проблемы, и пользователь вряд ли столкнется с такой ситуацией.
Если речь идет не просто о TCP-трафике, то есть уровне транспорта, а о прикладном уровне в том числе, то мы можем добавить проверку для протокола HTTP, отметив Use HTTP Authentication. Такой способ позволит нам использовать 302-Redirect [6], два вида Java-скриптов и, наконец, облако Radware (см. рис. 3).
Рисунок 3. Настройка метода проверки HTTP
Сегодня существует атакующий инструментарий, позволяющий обходить проверку по 302-редиректу, по сути своей, являющемуся ничем иным, как временным перенаправлением надругой URI [7], поэтому следует использовать более изощренные методы проверки.
Сама процедура настройки SYN protection не вызывает сложностей. В предыдущей статье [1] мы познакомились с базовой настройкой политики, нам остается добавить в уже созданную раньше политику профиль защиты от SYN-атак, если он был создан заранее, или же создать и добавить такой профиль (см. рис. 4).
Рисунок 4. Выбор профиля защиты от SYN-атак
В процессе настройки нового профиля следует указать требуемые прикладные сервисы, SYN-атакам на которые требуется противостоять (см. рис. 5).
Рисунок 5. Список стандартных методов защиты от SYN-атак
Причем надо отметить, что этот перечень может быть дополнен администратором безопасности. Если конкретные данные по защищаемым службам отсутствуют, то разумно использовать защиту на уровне поведенческого анализа, с которым мы познакомились ранее [1].
Параметры уровня срабатывания для каждого протокола также могут быть изменены во избежание ситуации, когда система отражения начинает работать уже после того, какатакуемый сервер был успешно заблокирован, поскольку не смог обработать полученные SYN-пакеты.
Рисунок 6. Настройка порога срабатывания системы защиты
Очевидно, что, настраивая защиту от SYN-атак, следует учитывать особенности прохождения трафика через систему защиты и специфику защищаемых объектов.
- Шапиро Л. Атаки DDoS. Часть 8. Защита от сетевых атак. //«БИТ», №7, 2016 г. – С. 16-19 (http://bit.samag.ru/archive/article/1726).
- Шапиро Л. Атаки DDoS. Часть 2. Арсенал противника. // «БИТ», №6, 2015 г. – С. 24-27 (http://bit.samag.ru/archive/article/1521).
- Microsoft Explanation of the Three-Way Handshake via TCP/IP – https://support.microsoft.com/en-us/kb/172983.
- Шапиро Л. Атаки DDoS. Часть 3. Разведка. // «БИТ», №7, 2015 г. – С. 12-15 (http://bit.samag.ru/archive/article/1536).
- Прокси-сервер – https://ru.wikipedia.org/wiki/Прокси-сервер.
- Список кодов состояния HTTP –https://ru.wikipedia.org/wiki/Список_кодов_состояния_HTTP#302.
- URI – https://ru.wikipedia.org/wiki/URI.
В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Вакансии на сайте Jooble
|