АнтиDoS: защита от DoS-атаки средствами маршрутизатора

СРЕДИ МНОЖЕСТВА АТАК МОЖНО ВЫДЕЛИТЬ ТРИ ОСНОВНЫХ ВИДА: DOS-АТАКИ, АТАКИ, ЦЕЛЬЮ КОТОРЫХ ЯВЛЯЕТСЯ ПОЛУЧЕНИЕ ДОСТУПА К СЕТИ, И РАЗВЕДЫВАТЕЛЬНЫЕ АТАКИ, ЦЕЛЬЮ КОТОРЫХ ЯВЛЯЕТСЯ ПОЛУЧЕНИЕ ИНФОРМАЦИИ О СЕТИ. МЫ ПОГОВОРИМ О DOS-АТАКАХ, ИХ РАЗНОВИДНОСТЯХ, ОБНАРУЖЕНИИ И ЗАЩИТЕ СЕТИ ОТ НИХ СРЕДСТВАМИ МАРШРУТИЗАТОРА.

О DoS-атаках (атаках на отказ в обслуживании — Denial of Service) всерьез заговорили только в 1999 году, когда были «завалены» web-сайты известных корпораций: Amazon, Yahoo, CNN, eBay, E-Trade и других. Хотя сама техника DoS-атак известна с 1996 года. Позже появились распределенные DoS-атаки (Distributed Denial of Service или DDoS). В этом случае атака производится несколькими узлами, что усложняет ее пресечение и обнаружение источника.

Что же такое DoS-атака? Цель – захватить все ресурсы компьютера-жертвы, чтобы другие пользователи не имели к ним доступа. К ресурсам относятся: память, процессорное время, дисковое пространство, сетевые ресурсы и т.д.

Рассмотрим наиболее распространенные виды DoS-атак:

• Smurf — злоумышленником отправляются широковещательные echo-пакеты (протокол ICMP), в заголовках которых в качестве источника указывается адрес жертвы. В результате, все системы, получившие ping-запрос, «заваливают» жертву echo-ответами.
• ICMP-flood — похожа на Smurf, но отправляет ICMP-запросы напрямую на узел-жертву без использования широковещательного адреса.
• UDP-flood — отправка на узел-мишень огромного количества UDP-пакетов, что приводит к «связыванию» сетевых ресурсов.
• TCP-flood — аналогична предыдущей, но используются TCP-пакеты.
• TCP SYN-flood — злоумышленник отправляет на открытый порт много SYN-пакетов с недостижимым адресом источника. Атакуемый маршрутизатор должен ответить пакетом <SYN, ACK>, но узел, указанный в качестве источника, недоступен, и поэтому трехступенчатая схема установления TCP-соединения не завершается. А поскольку таких SYN-пакетов очень много, лимит на количество открытых соединений быстро превышается и жертва отказывается принимать запросы на установление соединения от обычных пользователей сети.

Далее посмотрим, как обнаружить DoS-атаку и как защититься от нее средствами маршрутизатора. Для защиты от DoS мы будем использовать перехват TCP-соединений (TCP Intercept), пакетный фильтр, NBAR и ограничение потока ICMP-пакетов. Нужно отметить, что далеко не всегда можно уберечься от DoS-атаки, но при правильной настройке всегда можно свести старания злоумышленника к нулю.

Обнаружение DoS-атаки

Основные симптомы DoS-атаки:

• Огромное количество ARP-запросов;
• Огромное количество записей в NAT/PAT-таблице;
• Повышенное использование памяти маршрутизатора;
• Повышенное использование процессорного времени маршрутизатора.

Причем мы рассматриваем управляемые маршрутизаторы, оснащенные собственной операционной системой. Для обнаружения симптомов DoS-атаки вам нужно подключиться к своему маршрутизатору и, используя диагностические утилиты операционной системы маршрутизатора, выяснить, имеет ли место DoS-атака. Например, в Cisco IOS просмотреть использование процессора можно с помощью команды «show processes cpu».

Обнаружение с помощью ACL

Для обнаружения DoS-атаки можно использовать ACL (Access Control List). Сначала обнуляем счетчики ACL, затем просматриваем статистику ACL — интересует количество запрещенных с помощью ACL пакетов. Запоминаем это количество и повторно вводим команду вывода статистики. Опять смотрим на число запрещенных пакетов. Если оно сильно отличается от первого числа, значит, в данный момент на сеть производится DoS-атака. В Cisco IOS все вышесказанное можно реализовать двумя командами: «clear access-list counters» (сбрасывает счетчики) и «show access-list» (показывает статистику ACL).

При обычной настройке маршрутизатор показывает, сколько пакетов было запрещено, но он не предоставляет подробной информации об этих пакетах. Чтобы была возможность отслеживать DoS-атаки, нужно специальным образом настроить ACL. Это позволит нам не только увидеть, сколько пакетов отброшено, но и проанализировать причину запрещения пакетов. Например, можно добавить в ACL следующие правила:

# access-list 100 deny icmp any any echo
# access-list 100 deny icmp any any echo-reply

В результате, при просмотре статистики увидим, сколько было запрещено echo-запросов (первое правило) и сколько echo-ответов. Например:

# show access-list 100
...
deny icmp any any echo (1938 matches)
deny icmp any any echo-reply (358687 matches)

Обратите внимание: echo-запросов запрещено 1938, а echo-ответов — 358687. Это похоже на Smurf-атаку, когда IP-адрес нашего маршрутизатора указан в качестве источника широковещательного ping-запроса.

NetFlow для Cisco

Технология NetFlow используется для получения статистики по потокам данных, проходящих через оборудование Cisco. NetFlow использует потоки для идентификации трафика. Cisco идентифицирует каждый поток по следующим параметрам: IP-адресам отправителя и получателя, типу протокола (TCP, UDP), номерам портов протоколов TCP и UDP, типу сервиса, номеру входящего физического интерфейса и т.д. Все это позволяет получить полную информацию о трафике, проанализировав которую можно определить тип DoS-атаки. Отдельно рассматривать NetFlow в статье не будем — в интернете достаточно информации об этой технологии: www.informit.com/articles/printerfriendly.asp?p=345618&rl=1 и www.opennet.ru/docs/RUS/netflow_bsd/.

Перехват TCP-соединений

Некоторые маршрутизаторы поддерживают технологию перехвата TCP-соединений (в Cisco она называется TCP Intercept). Данная технология успешно используется против TCP SYN-атак.

Маршрутизатор, находящийся между клиентом и сервером, перехватывает все запросы TCP-соединений (1 на картинке), то есть все пакеты <SYN>. После этого маршрутизатор завершает соединение вместо клиента, принимая ответ сервера <SYN, ACK> и отправляя ему пакет <ACK> (4, 5, 6 на картинке). В то же время маршрутизатор посылает ответ сервера (<SYN, ACK>) клиенту (2 на картинке). Если клиент ответил пакетом <ACK> (3 на картинке), то маршрутизатор выполняет связывание двух соединений («клиент-маршрутизатор» и «маршрутизатор-сервер») в одно соединение (7 на картинке). Если клиент не ответил вовремя, то маршрутизатор разрывает оба соединения - и с мнимым клиентом, и с сервером.

Данная технология весьма эффективно зарекомендовала себя при борьбе с TCP SYN-атаками. Для включения TCP Intercept в Cisco IOS используется команда:

ip tcp intercept list <номер ACL>

Пакетный фильтр

Современные маршрутизаторы имеют встроенный фильтр пакетов (например, в Cisco фильтр пакетов называется CBAC — Context-Based Access Control). Фильтр пакетов позволяет определить, какой трафик должен быть разрешен на основании списков доступа (ACL). То есть позволяет проанализировать пакеты, убедиться в их безопасности, а только потом передать их во внутреннюю сеть.

Возникает логичный вопрос — зачем нужен пакетный фильтр вроде CBAC, если уже есть списки доступа? ACL не обеспечивает должного уровня безопасности, поскольку списки доступа являются статическими, а их редактирование выполняется вручную администратором. CBAC позволяет динамически создавать (или, наоборот, удалять) списки доступа, обеспечивая более высокий уровень безопасности. Если CBAC заподозрил неладное, он добавит нужный ACL, который предотвратит распространение трафика злоумышленника. Причем все это делается автоматически, без вмешательства администратора. Администратору нужно лишь задать начальную конфигурацию ACL и CBAC.

Подробно настройка CBAC описана в документе www.informit.com/articles/article.asp?p=26533&rl=1, а если интересует настройка в общих чертах, тогда прочитайте документ www.unixdoc.ru/index.php?mode=2&podmode=1&arcicle_id=175&theme=cisco.

Ограничение частоты ICMP

Представим следующую ситуацию. Есть внутренняя сеть, и есть маршрутизатор, через который осуществляется связь внутренней сети с внешним миром. Некто посылает запрос в нашу сеть, но обращается к несуществующему узлу. Вроде бы ничего страшного — маршрутизатор просто ответит ICMP-сообщением о недоступности заданного узла. А теперь представим, что таких запросов очень много и все они поступают с разных источников. Понятно, что маршрутизатор только и будет отправлять ICMP-пакеты, а на полезную работу времени у него не останется. Поэтому нам нужно ограничить частоту ICMP-сообщений средствами маршрутизатора. А можно вообще запретить отправку ICMP-сообщений о недоступности того или иного узла.

Ограничить частоту отправки сообщений можно с помощью IOS-команды:

ip icmp rate-limit unreachable <миллисекунды>

Так, командой «ip icmp rate-limit unreachable 1000» разрешаем одно ICMP-сообщение «unreachable» в секунду. Для запрета всех сообщений «unreachable» используется IOS-команда:

access-list <номер ACL> deny icmp any any unreachable

Если вы решили ограничить ICMP-сообщения с помощью rate-limit, стоит знать о главной проблеме этой команды: она может работать только с сообщениями «unreachable». Если вы хотите ограничить трафик другого вида, в том числе и «unreachable»-сообщения, нужно использовать CAR (committed access rate). Настройка CAR подробно рассмотрена в статье www.informit.com/articles/printerfriendly.asp?p=345618&rl=1.

NBAR для ограничения Smurf-атаки

Технология NBAR (Network-Based Application Recognition) используется для более детального анализа сетевого трафика. К сожалению, NBAR можно использовать только для трафика, который может быть переадресован с помощью технологии CEF (Cisco Express Forwarding), то есть NBAR — это технология Cisco и для Cisco. Но поскольку маршрутизаторы Cisco широко распространены, это не так страшно.

С помощью NBAR вы можете, например, отправить весь нежелательный трафик на нулевой интерфейс, а также ограничить частоту входящих пакетов. NBAR очень удобно использовать для ограничения Smurf-пакетов. Smurf-атака использует echo-запрос и echo-ответ, поэтому для ограничения подобной атаки достаточно ограничить эти два типа пакетов. В документе www.informit.com/articles/printerfriendly.asp?p=345618&rl=1 подробно раскрывается принцип защиты от Smurf-атаки с помощью NBAR и рассматривается защита от сетевого червя W32.Blaster.

IDS

Использование системы обнаружения вторжения IDS (Intrusion Detection System) позволяет уберечься от многих видов атак, в том числе и от DoS. Система IDS может быть установлена как на сервере, так и на маршрутизаторе. Некоторые модели маршрутизаторов оснащены встроенными IDS. О настройке Cisco IDS (кстати, есть версия Cisco IDS для UNIX) можно прочитать в документе www.informit.com/articles/article.asp?p=24696&rl=1, а о настройке IDS для сервера - здесь: www.dkws.org.ua/index.php?page=show&file=a/hacker/lids-2 и www.dkws.org.ua/index.php?page=show&file=a/hacker/-hacker.

Дополнительная настройка серверов

Не нужно надеяться, что маршрутизатор полностью защитит вашу сеть от DoS-атак. Защита должна быть комплексной. Компьютеры и особенно серверы также должны быть под контролем.

WWW

www.informit.com/articles/printerfriendly.asp?p=345618&rl=1 - пошаговое руководство по защите от DoS-атак с помощью маршрутизатора Cisco

www.unixdoc.ru/index.php?mode=2&podmode=1&arcicle_id=175&theme=cisco - Context-Based Access Control: настройка и принципы функционирования

www.dlink.ru/technology/attacks.php - классификация сетевых атак

www.opennet.ru/docs/RUS/netflow_bsd/ - технология NetFlow в FreeBSD

www.informit.com/articles/article.asp?p=26533&rl=1 - подробно о настройке CBAC

www.informit.com/articles/article.asp?p=24696&rl=1 - настройка Cisco IDS

www.dkws.org.ua/index.php?page=show&file=a/hacker/lids-2 - о настройке LIDS

www.dkws.org.ua/index.php?page=show&file=a/hacker/-hacker - о настройке других IDS (SE Linux, GrSecurity)

http://gazette.linux.ru.net/rus/articles/lnx_dos.html - Linux и DoS

Обсуждение статьи

Логин: Пароль: Регистрации на сервере не требуется. Если у вас есть форумный логин, вы можете использовать его. Если нету, то вы можете зарегистрироваться на forum.itspecial.ru Обсуждение этой статьи на forum.itspecial.ru Для отправки сообщения введите код, указанный на картинке Заголовок Сообщение Guest guest@gameland.ru Отправлено: 18.11.2009 0:11:47 RE: АнтиDoS: защита от DoS-атаки средствами маршрутизатора Здраствуйте, мой сайт атакует хакер недоделоный, в течение 30 мин идет DDOS атака около 700 000 раз как зашитится скажите пожалуйста Guest guest@gameland.ru Отправлено: 18.11.2009 0:12:40 RE: АнтиDoS: защита от DoS-атаки средствами маршрутизатора Здраствуйте, мой сайт атакует хакер недоделоный, в течение 30 мин идет DDOS атака около 700 000 раз как зашитится скажите пожалуйста, вот мой емайл antonnn099@mail.ru Guest guest@gameland.ru Отправлено: 12.05.2010 5:56:02 RE: АнтиDoS: защита от DoS-атаки средствами маршрутизатора http://www.pocwatches.com replica watches http://www.corwatches.com replica watches http://www.watchesfan.com replica watches http://www.sanwatches.com replica watches Guest guest@gameland.ru Отправлено: 13.05.2010 4:44:15 RE: АнтиDoS: защита от DoS-атаки средствами маршрутизатора Nice design site What I Like About You replica watches Is Important To A Man? patek philippe are well sell these years. Guest guest@gameland.ru Отправлено: 11.08.2010 12:54:52 RE: АнтиDoS: защита от DoS-атаки средствами маршрутизатора Zhejiang tonglu jinda pen industrial co.,ltd.mainly produces medium-high grade semi-metal and plastic ball pen,ballpoint pen,retractable pen andbiodegradable pen for hundreds of models.95% of the designs have won state patents.We can provid special design and production as required by our clients. Baijiang Seating specializes in manufacturing various of puplic seats. Our main products are theatre seating,school chair,cinema seating,auditorium seating andairport chair.With advanced facility and the craftwork. All the detail and processing are kept improving.The seat style focus on the history and culture for different cities Guest guest@gameland.ru Отправлено: 16.09.2010 13:21:55 RE: АнтиDoS: защита от DoS-атаки средствами маршрутизатора tourmaline Discount coach Discount Coach Bag - 3725 results like Cheap coach purses a replcia purses suppliers of cheap coach purses ed hardy shirts We supply Cheap Ed Hardy shirts ed hardy t shirt We supply Cheap Ed Hardy shirt for kids Cheap D&G sunglasses discount sunglasses at Cheap D&G sunglasses Discount prada sunglasses These discount Prada sunglass styles are Cheap Gucci sunglasses these cheap Gucci sunglasses are still cutting Cheap prada sunglasses wholesale cheap Prada sunglasses, Coach, Gucci Cheap Oakley sunglasses We buy Oakley Sunglasses and sell them to you discount Oakley sunglasses Designer Sunglasses at Discount: Oakley Sunglasses Discount Gucci sunglasses At Eyesave you get great discount Gucci Sunglasses. Discount D&G sunglasses At Eyesave you get great discount D & G Sunglasses football shirt the largest football shirt community soccer jersey Buy cheap soccer jerseys and shirts cheap soccer jersey Wholesale Soccer Jerseys,Cheap Soccer Jerseys oakley sunglass coach outlet Coach outlet stores are known for Mac brushes such as MAC brush and Bobbi Brown brush etc wholesale nike rif New Cheap wholesale nike rif, Online buy cheapest wholesale adidas shoes wholesale adidas shoes manufacturers directory cheap moncler jackets exporters. cheap moncler jackets manufacturer discount moncler jackets discount moncler jackets manufacturers directory cheap moncler coats as a professional Cheap Moncler Jackets seller Christian louboutin shoes find the Fahison Christian Louboutin shoes soccer jersey good quality, cheap price soccer jerseysjust choose you like moncler coats moncler jacket moncler moncler coats moncler jacket moncler coats moncler jacket moncler jacket moncler Basin faucet Billiard Table Embroidery digitizing valve ball UF membrane Moncler jackets moncler coats Bridal wear auckland wedding dress auckland sunglasses wholesale cheap moncler jackets discount moncler jackets cheap moncler coats ed hardy shirts Car DVD Player shower filter packing machine Bathroom faucet Kitchen faucet Shower faucet asics mexico 66 shoes Brown, Asics Mexico 66 Leather Women asics mini cooper shoes ASICS SHOES MINI Cooper 1PCS Asics Gel-Stratus 2.1 Shoes shop for Asics GEL-Stratus 2.1 Cross Training onitsuka tiger shoes Shop for onitsuka tiger shoes . Price comparison moncler coats moncler jacket moncler Shower faucet GHD HAIR STRAIGHTENERS monoammonium phosphate Shop for monoammonium phosphate . Price Cheap Ed hardy shoes Cheap Ed Hardy Mens Shoes on Sale Cheap Ed hardy caps Ed Hardy Caps, Cheap Ed Hardy Hats on Sale Discount Ed hardy T-shirts Shoppers Excited about Discount Ed Hardy T Shirts Maintain wire hanger must obey 3 steps.Firstly,often clean the metal wire hanger. scendly, spread on it with oil.Finally,try to hang dispersive when hang Weights. These measures are necessary for it, also the good protection, know these knowledge, you will notice? In order to better life, start from small thing. Guest guest@gameland.ru Отправлено: 11.10.2010 4:20:25 RE: АнтиDoS: защита от DoS-атаки средствами маршрутизатора Optical8 is a store specialised in fasionable glasses and cheap eyeglasses.Take some time in Optical8 and you'll find some ideal glasses in style and fashion. Enjoy your shopping! Guest guest@gameland.ru Отправлено: 18.02.2012 6:59:43 RE: АнтиDoS: защита РѕС‚ DoS-атаки средствами маршрутизатора I'm so glad that the itnrenet allows free info like this! Guest guest@gameland.ru Отправлено: 19.02.2012 19:01:02 RE: АнтиDoS: защита РѕС‚ DoS-атаки средствами маршрутизатора NHF3ov , tlgdvftkkrvc, ykdxvkduwpnb, http://ddbectmlftho.com/ Страницы: << 1 2 >>

Теги: DoS, защита, маршрутизатор, тема номера

Keywords: zPOSTz zMAIN_THEMEz z10053z
Для Авторов: edit delete