Что такое DDoS? Часть 9. Защита от SYN-атак::БИТ 08.2016
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
октябрь    2020
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

26.10.2020

Бесплатная онлайн-конференция «Бизнес в онлайне»

Читать далее 

26.10.2020

Бесплатный онлайн-марафон «Женское дело»

Читать далее 

21.10.2020

Консультации, обучение и онлайн-сервисы: самые востребованные за 9 месяцев 2020 года меры поддержки малого бизнеса от MBM.MOS

Читать далее 

19.10.2020

Ускоренное внедрение цифровых технологий в деятельность предприятий АПК как приоритет в цифровой повестке регионов

Читать далее 

показать все 

Статьи

11.10.2020

Soft skills или hard skills?

Читать далее 

10.09.2020

Как и чему учить будущих звезд ИТ?

Читать далее 

12.08.2020

Господдержка ИТ-отрасли

Читать далее 

11.08.2020

Интернет-маркетинг: второе дыхание

Читать далее 

15.05.2020

Жить под водой, мечтая о солнце

Читать далее 

13.02.2020

Чат-бот CallShark не требует зарплаты, а работает круглосуточно

Читать далее 

24.12.2019

До встречи в «Пьяном Сомелье»!

Читать далее 

21.12.2019

Искусство как награда Как изготавливали статуэтки для премии IT Stars им. Георгия Генса в сфере инноваций

Читать далее 

04.12.2019

ЛАНИТ учредил премию IT Stars памяти основателя компании Георгия Генса

Читать далее 

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Читать далее 

показать все 

Что такое DDoS? Часть 9. Защита от SYN-атак

Главная / Архив номеров / 2016 / Выпуск №08 (61) / Что такое DDoS? Часть 9. Защита от SYN-атак

Рубрика: Безопасность


Леонид Шапироархитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M

Что такое DDoS?
Часть 9. Защита от SYN-атак

Несмотря на возможность отражения SYN-флудов методами поведенческого анализа, Radware предлагает еще один интересный вариант противостояния подобным воздействиям – профиль SYN protection

Настройка модуля SYN protection Radware Defense Pro

В предыдущей статье [1] мы рассмотрели принципы защиты от DDoS-атак с помощью модуля поведенческого анализа Radware Defense Pro. Такой способ позволяет эффективно защититься от сетевых флудов, которые довольно часто применяют злоумышленники. При этом, как мы имели возможность удостовериться, легитимные пользователи продолжают работать в обычном режиме, а атака отражается в автоматическом режиме в течение 10-18 секунд. Список атак можно увидеть ниже:

  • SYN Flood
  • TCP ACK + FIN Flood
  • TCP RST Flood
  • TCP SYN + ACK Flood
  • TCP Fragmentation Flood
  • UDP Flood
  • UDP Fragmentation Flood
  • ICMP Flood
  • IGMP Flood

Вспомним принципы SYN-атак, которые мы рассматривали в одной из предыдущих статей [2].

SYN-атаки основаны на том, что для обеспечения установки соединения в стеке TCP/IP используются принципы трехэтапного взаимодействия или квитирования, обеспечивающие синхронизацию передающего и получающего узлов [3] (см. рис. 1).

Рисунок 1. Принципы установки TCP-сессии

Рисунок 1. Принципы установки TCP-сессии

Во время SYN-атаки злоумышленник может отправлять большое количество SYN-пакетов без завершения процесса трехэтапного взаимодействия или завершать сессии без ихустановки. Это приводит к избыточной загруженности атакуемого узла, то есть работа легитимных клиентов существенно затрудняется или даже невозможна. Кстати, эта же особенность установки сессии при TCP-взаимодействиях используется и при сканировании портов для выявления уязвимостей системы [4].

Если модуль поведенческого анализа нацелен на изучение всего проходящего трафика и выявления отклонений от нормального состояния по целому комплексу параметров, позволяя идентифицировать, в том числе и различные типы SYN-флудов, то адресная защита от SYN-атак дает возможность обеспечить работу основных сервисов компании, на которые может быть нацелено негативное воздействие злоумышленников. Речь идет о таких службах, как FTP, HTTP, HTTPS, IMAP, POP3, RPS, RTSP, SMTP, Telnet.

Используя SYN protection, следует обратить внимание на то, в какой сети мы работаем. В зависимости от того, проходит ли весь входящий и исходящий трафик через устройство противодействия атакам или нет, выполняется настройка этого модуля защиты. Разберемся с особенностями работы.

Предположим, мы работаем в симметричной сети, то есть весь трафик проходит через Defense Pro, который выполняет роль «прозрачного прокси-сервера» (transparent proxy) [5]. Вэтом случае, получив SYN-пакет, Defense Pro отправляет в ответ пакет SYN-ACK с cookie в поле Sequence Number. Если приходящий в ответ пакет ACK содержит Cookie всоответствующем поле, то попытка установки сессии – легитимна. В противном случае сессия не устанавливается. Настройка метода проверки трафика выполняется в свойствах профиля SYN protection, и вариант, предлагаемый по умолчанию, именно Transparent-proxy (см. рис. 2).

Разумеется, такой вариант аутентификации клиента не подойдет, когда сеть не симметрична, например входящий трафик идет через Defense Pro, а исходящий в обход устройства защиты. В этом случае, не получив пакет подтверждения, вполне легитимная попытка установки сессии будет признана SYN-атакой, а стало быть, не будет пропущена.

Для того чтобы избежать такой ситуации, используется метод проверки Safe-Reset (см. рис. 2).

Рисунок 2. Настройка метода проверки TCP-трафика

Рисунок 2. Настройка метода проверки TCP-трафика

Здесь применяется другой алгоритм.

В ответ на SYN-пакет Defense Pro отправляет пакет ACK, содержащий неправильное значение Sequence Number в качестве cookie. Если в ответ клиент отправляет пакет RST (сброс сессии) с этим же значением cookie и повторяет SYN-пакет в течение заданного интервала времени, укладывающегося в диапазон между Minimum Allowed SYN Retransmission Time и Maximum Allowed SYN Retransmission Time, то Defense Pro отбрасывает пакет RST, добавляет IP-адрес инициатора взаимодействия в список аутентифицированных узлов (TCP Authentication table), тем самым следующий SYN-пакет от этого узла будет считаться правомерным, и установка сессии с сервером будет разрешена. Такой способ проверки выглядит сложнее, но позволяет обеспечить отражение SYN-атак в несимметричных средах.

Когда Defense Pro сбрасывает исходную сессию, то есть выполняет TCP reset, то браузер клиента должен повторно ее автоматически инициировать, что вызовет задержку примерно втри секунды. Это касается только браузеров, поддерживающих эту схему работы, для остальных – пользователь получит уведомление о необходимости повторного подключения, однако современные браузеры лишены этой проблемы, и пользователь вряд ли столкнется с такой ситуацией.

Если речь идет не просто о TCP-трафике, то есть уровне транспорта, а о прикладном уровне в том числе, то мы можем добавить проверку для протокола HTTP, отметив Use HTTP Authentication. Такой способ позволит нам использовать 302-Redirect [6], два вида Java-скриптов и, наконец, облако Radware (см. рис. 3).

Рисунок 3. Настройка метода проверки HTTP

Рисунок 3. Настройка метода проверки HTTP

Сегодня существует атакующий инструментарий, позволяющий обходить проверку по 302-редиректу, по сути своей, являющемуся ничем иным, как временным перенаправлением надругой URI [7], поэтому следует использовать более изощренные методы проверки.

Сама процедура настройки SYN protection не вызывает сложностей. В предыдущей статье [1] мы познакомились с базовой настройкой политики, нам остается добавить в уже созданную раньше политику профиль защиты от SYN-атак, если он был создан заранее, или же создать и добавить такой профиль (см. рис. 4).

Рисунок 4. Выбор профиля защиты от SYN-атак

Рисунок 4. Выбор профиля защиты от SYN-атак

В процессе настройки нового профиля следует указать требуемые прикладные сервисы, SYN-атакам на которые требуется противостоять (см. рис. 5).

Рисунок 5. Список стандартных методов защиты от SYN-атак

Рисунок 5. Список стандартных методов защиты от SYN-атак

Причем надо отметить, что этот перечень может быть дополнен администратором безопасности. Если конкретные данные по защищаемым службам отсутствуют, то разумно использовать защиту на уровне поведенческого анализа, с которым мы познакомились ранее [1].

Параметры уровня срабатывания для каждого протокола также могут быть изменены во избежание ситуации, когда система отражения начинает работать уже после того, какатакуемый сервер был успешно заблокирован, поскольку не смог обработать полученные SYN-пакеты.

Рисунок 6. Настройка порога срабатывания системы защиты

Рисунок 6. Настройка порога срабатывания системы защиты

Очевидно, что, настраивая защиту от SYN-атак, следует учитывать особенности прохождения трафика через систему защиты и специфику защищаемых объектов.

  1. Шапиро Л. Атаки DDoS. Часть 8. Защита от сетевых атак. //«БИТ», №7, 2016 г. – С. 16-19 (http://bit.samag.ru/archive/article/1726).
  2. Шапиро Л. Атаки DDoS. Часть 2. Арсенал противника. // «БИТ», №6, 2015 г. – С. 24-27 (http://bit.samag.ru/archive/article/1521).
  3. Microsoft Explanation of the Three-Way Handshake via TCP/IP – https://support.microsoft.com/en-us/kb/172983.
  4. Шапиро Л. Атаки DDoS. Часть 3. Разведка. // «БИТ», №7, 2015 г. – С. 12-15 (http://bit.samag.ru/archive/article/1536).
  5. Прокси-сервер – https://ru.wikipedia.org/wiki/Прокси-сервер.
  6. Список кодов состояния HTTP –https://ru.wikipedia.org/wiki/Список_кодов_состояния_HTTP#302.
  7. URI – https://ru.wikipedia.org/wiki/URI.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №08 (101) 2020г.
Выпуск №08 (101) 2020г. Выпуск №07 (100) 2020г. Выпуск №06 (99) 2020г. Выпуск №05 (98) 2020г. Выпуск №04 (97) 2020г. Выпуск №03 (96) 2020г. Выпуск №02 (95) 2020г. Выпуск №01 (94) 2020г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика