ноябрь    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

показать все 

14.11.2024

Обновление BI.ZONE Secure DNS: гибкая настройка фильтрации и максимальная скорость

Читать далее 

14.11.2024

RED Security: в октябре количество DDoS-атак на ТЭК выросло в 3 раза

Читать далее 

14.11.2024

Falcongaze представила новую версию DLP-системы — SecureTower 7 Helium

Читать далее 

14.11.2024

ИСП РАН покажет результаты 30-ти лет работы на Открытой конференции в Москве

Читать далее 

08.11.2024

Юбилейная конференция ЭОС: ЭОС: 30 лет лидерства на рынке автоматизации документооборота и обсуждение актуальных трендов

Читать далее 

показать все 

21.11.2024

ИИ: маршрут не построен, но уже проектируется

Читать далее 

18.11.2024

Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»

Читать далее 

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

Читать далее 

11.10.2024

Технологический ИИ-арсенал

Читать далее 

28.09.2024

Чем страшен ИИ, и с чем его едят

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

показать все 

Главная / Архив номеров / 2016 / Выпуск №08 (61) / Что такое DDoS? Часть 9. Защита от SYN-атак

Рубрика: Безопасность

Леонид Шапиро, архитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M

Что такое DDoS?
Часть 9. Защита от SYN-атак

Несмотря на возможность отражения SYN-флудов методами поведенческого анализа, Radware предлагает еще один интересный вариант противостояния подобным воздействиям – профиль SYN protection

Настройка модуля SYN protection Radware Defense Pro

В предыдущей статье [1] мы рассмотрели принципы защиты от DDoS-атак с помощью модуля поведенческого анализа Radware Defense Pro. Такой способ позволяет эффективно защититься от сетевых флудов, которые довольно часто применяют злоумышленники. При этом, как мы имели возможность удостовериться, легитимные пользователи продолжают работать в обычном режиме, а атака отражается в автоматическом режиме в течение 10-18 секунд. Список атак можно увидеть ниже:

• SYN Flood
• TCP ACK + FIN Flood
• TCP RST Flood
• TCP SYN + ACK Flood
• TCP Fragmentation Flood
• UDP Flood
• UDP Fragmentation Flood
• ICMP Flood
• IGMP Flood

Вспомним принципы SYN-атак, которые мы рассматривали в одной из предыдущих статей [2].

SYN-атаки основаны на том, что для обеспечения установки соединения в стеке TCP/IP используются принципы трехэтапного взаимодействия или квитирования, обеспечивающие синхронизацию передающего и получающего узлов [3] (см. рис. 1).

Рисунок 1. Принципы установки TCP-сессии

Во время SYN-атаки злоумышленник может отправлять большое количество SYN-пакетов без завершения процесса трехэтапного взаимодействия или завершать сессии без ихустановки. Это приводит к избыточной загруженности атакуемого узла, то есть работа легитимных клиентов существенно затрудняется или даже невозможна. Кстати, эта же особенность установки сессии при TCP-взаимодействиях используется и при сканировании портов для выявления уязвимостей системы [4].

Если модуль поведенческого анализа нацелен на изучение всего проходящего трафика и выявления отклонений от нормального состояния по целому комплексу параметров, позволяя идентифицировать, в том числе и различные типы SYN-флудов, то адресная защита от SYN-атак дает возможность обеспечить работу основных сервисов компании, на которые может быть нацелено негативное воздействие злоумышленников. Речь идет о таких службах, как FTP, HTTP, HTTPS, IMAP, POP3, RPS, RTSP, SMTP, Telnet.

Используя SYN protection, следует обратить внимание на то, в какой сети мы работаем. В зависимости от того, проходит ли весь входящий и исходящий трафик через устройство противодействия атакам или нет, выполняется настройка этого модуля защиты. Разберемся с особенностями работы.

Предположим, мы работаем в симметричной сети, то есть весь трафик проходит через Defense Pro, который выполняет роль «прозрачного прокси-сервера» (transparent proxy) [5]. Вэтом случае, получив SYN-пакет, Defense Pro отправляет в ответ пакет SYN-ACK с cookie в поле Sequence Number. Если приходящий в ответ пакет ACK содержит Cookie всоответствующем поле, то попытка установки сессии – легитимна. В противном случае сессия не устанавливается. Настройка метода проверки трафика выполняется в свойствах профиля SYN protection, и вариант, предлагаемый по умолчанию, именно Transparent-proxy (см. рис. 2).

Разумеется, такой вариант аутентификации клиента не подойдет, когда сеть не симметрична, например входящий трафик идет через Defense Pro, а исходящий в обход устройства защиты. В этом случае, не получив пакет подтверждения, вполне легитимная попытка установки сессии будет признана SYN-атакой, а стало быть, не будет пропущена.

Для того чтобы избежать такой ситуации, используется метод проверки Safe-Reset (см. рис. 2).

Рисунок 2. Настройка метода проверки TCP-трафика

Здесь применяется другой алгоритм.

В ответ на SYN-пакет Defense Pro отправляет пакет ACK, содержащий неправильное значение Sequence Number в качестве cookie. Если в ответ клиент отправляет пакет RST (сброс сессии) с этим же значением cookie и повторяет SYN-пакет в течение заданного интервала времени, укладывающегося в диапазон между Minimum Allowed SYN Retransmission Time и Maximum Allowed SYN Retransmission Time, то Defense Pro отбрасывает пакет RST, добавляет IP-адрес инициатора взаимодействия в список аутентифицированных узлов (TCP Authentication table), тем самым следующий SYN-пакет от этого узла будет считаться правомерным, и установка сессии с сервером будет разрешена. Такой способ проверки выглядит сложнее, но позволяет обеспечить отражение SYN-атак в несимметричных средах.

Когда Defense Pro сбрасывает исходную сессию, то есть выполняет TCP reset, то браузер клиента должен повторно ее автоматически инициировать, что вызовет задержку примерно втри секунды. Это касается только браузеров, поддерживающих эту схему работы, для остальных – пользователь получит уведомление о необходимости повторного подключения, однако современные браузеры лишены этой проблемы, и пользователь вряд ли столкнется с такой ситуацией.

Если речь идет не просто о TCP-трафике, то есть уровне транспорта, а о прикладном уровне в том числе, то мы можем добавить проверку для протокола HTTP, отметив Use HTTP Authentication. Такой способ позволит нам использовать 302-Redirect [6], два вида Java-скриптов и, наконец, облако Radware (см. рис. 3).

Рисунок 3. Настройка метода проверки HTTP

Сегодня существует атакующий инструментарий, позволяющий обходить проверку по 302-редиректу, по сути своей, являющемуся ничем иным, как временным перенаправлением надругой URI [7], поэтому следует использовать более изощренные методы проверки.

Сама процедура настройки SYN protection не вызывает сложностей. В предыдущей статье [1] мы познакомились с базовой настройкой политики, нам остается добавить в уже созданную раньше политику профиль защиты от SYN-атак, если он был создан заранее, или же создать и добавить такой профиль (см. рис. 4).

Рисунок 4. Выбор профиля защиты от SYN-атак

В процессе настройки нового профиля следует указать требуемые прикладные сервисы, SYN-атакам на которые требуется противостоять (см. рис. 5).

Рисунок 5. Список стандартных методов защиты от SYN-атак

Причем надо отметить, что этот перечень может быть дополнен администратором безопасности. Если конкретные данные по защищаемым службам отсутствуют, то разумно использовать защиту на уровне поведенческого анализа, с которым мы познакомились ранее [1].

Параметры уровня срабатывания для каждого протокола также могут быть изменены во избежание ситуации, когда система отражения начинает работать уже после того, какатакуемый сервер был успешно заблокирован, поскольку не смог обработать полученные SYN-пакеты.

Рисунок 6. Настройка порога срабатывания системы защиты

Очевидно, что, настраивая защиту от SYN-атак, следует учитывать особенности прохождения трафика через систему защиты и специфику защищаемых объектов.

1. Шапиро Л. Атаки DDoS. Часть 8. Защита от сетевых атак. //«БИТ», №7, 2016 г. – С. 16-19 (http://bit.samag.ru/archive/article/1726).
2. Шапиро Л. Атаки DDoS. Часть 2. Арсенал противника. // «БИТ», №6, 2015 г. – С. 24-27 (http://bit.samag.ru/archive/article/1521).
3. Microsoft Explanation of the Three-Way Handshake via TCP/IP – https://support.microsoft.com/en-us/kb/172983.
4. Шапиро Л. Атаки DDoS. Часть 3. Разведка. // «БИТ», №7, 2015 г. – С. 12-15 (http://bit.samag.ru/archive/article/1536).
5. Прокси-сервер – https://ru.wikipedia.org/wiki/Прокси-сервер.
6. Список кодов состояния HTTP –https://ru.wikipedia.org/wiki/Список_кодов_состояния_HTTP#302.
7. URI – https://ru.wikipedia.org/wiki/URI.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи