Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

HTML
DOWNLOAD

Wielkość: px

Rozpocząć pokaz od strony:

Download "Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka"

Jan Pawlak
9 lat temu
Przeglądów:

1 Wybrane metody obrony przed atakami Denial of Service Synflood Przemysław Kukiełka

2 agenda Wprowadzenie Podział ataków DoS Zasada działania ataku Synflood Podział metod obrony Omówienie wybranych metod obrony Podsumowanie

3 Definicja Atak odmowy usług DoS (Denial of service) to atak na system komputerowy, który poprzez zajęcie wszystkich zasobów danego urządzenia uniemożliwia skorzystanie ze świadczonych przez niego usług uprawnionym użytkownikom

4 Podział ataków DoS Ataki podatności (Vulnerability attack) wykorzystują błędy w implementacji protokołów sieciowych w systemach operacyjnych lub aplikacjach sieciowych Ataki zalewu (flooding attack)- wykorzystują dużą liczbę pakietów wysłanych przez agresora, które konsumują zasoby atakowanego komputera (CPU, pasmo, pamięć)

5 Atak Synflood - wprowadzenie Sieć IP

6 Atak Synflood Polega na wysłaniu w kierunku atakowanego komputera dużej liczby pakietów TCP SYN z fałszywym źródłowym adresem IP. Dla każdego z tych pakietów ich odbiorca musi zarezerwować pewne zasoby w oczekiwaniu na nadejście pakietu TCP ACK. Przy dużej liczbie takich pakietów TCP SYN zasoby atakowanego serwera ulegają wyczerpaniu.

7 Architektura ataku DDoS(Distributed Denial of Service agresor Stepping Stone Handler Handler Handler Agent Agent Agent Agent Agent Agent Agent Agent Agent Ofiara

8 Architektura ataku DRDoS(Distributed Reflective Denial of Service) agresor Stepping Stone Handler Handler Handler Agent Agent Agent Agent Agent Agent Agent Agent Agent Reflektor Reflektor Reflektor Reflektor Ofiara

9 Klasyfikacja metod obrony pod kątem lokalizacji mechanizmu obrony w sieci W pobliżu ofiary ataku W sieci pośredniczącej W pobliżu źródła ataku

10 Klasyfikacja metod obrony pod katem podejmowanych działań Działania prewencyjne Wykrywanie ataków Odpowiedz na atak

11 Działanie prewencyjne Wyłączenie nieużywanych usług sieciowych Aktualizacja systemów operacyjnych Zwiększenie zasobów serwera, stosowanie replikacji serwerów Filtrowanie ruchu na styku sieci lokalnej i rozległej. Tylko pakiety o adresach źródłowych z danej podsieci są wypuszczane na zewnątrz.

12 Protokół SAVE (Source Address Validity Enforcement Protocol) Zapobiega podmienianiu adresów źródłowych pakietów IP wykorzystuje dodatkową tablice incoming table na routerach wiążącą adresy źródłowe z wejściowym interfejsem fizycznym Uaktualnienie informacji o adresach IP z wykorzystaniem wiadomości aktualizacyjnych SAVE update

13 Protokół SAVE- architektura incoming table forwarding table SAVE updates generating SAVE updates SAVE updates final stop? no processing SAVE updates yes SAVE protocol

14 Wykrywanie ataków FDS (flooding detection system) Bazuje na relacjach pomiędzy pakietami TCP SYN oraz FIN/RST należącymi do tego samego połączenia uniezależnienie algorytmu od wzorców dostępowych (np.: pory dnia) Podejmowanie decyzji o wystąpieniu ataku z wykorzystaniem algorytmu CUSUM

15 Proces zamknięcia połączenia TCP Sieć IP Komputer uzytkownika Serwer SYN = 1; ACK = 0; SEQ#=1000 SYN = 1; ACK = 1; SEQ=3000; ACK =1001 SYN = 0; ACK = 1; SEQ=1001; ACK =3001

16 Wykrywanie ataków FDS (flooding detection system) Bazuje na relacjach pomiędzy pakietami TCP SYN oraz FIN/RST należącymi do tego samego połączenia uniezależnienie algorytmu od wzorców dostępowych(np.: pory dnia) Podejmowanie decyzji o wystąpieniu ataku z wykorzystaniem algorytmu CUSUM

17 Wykrywanie ataku - algorytm SynDog Bazuje na relacjach pomiędzy pakietami TCP SYN oraz TCP SYN/ACK Niezależność od wzorców dostępowych (np.: pory dnia) Decyzja o wystąpieniu ataku jest podejmowana z wykorzystaniem algorytmu CUSUM Lokalizacja w pobliżu źródła ataku

18 Reakcja na atak Zastosowanie reguł kształtujących ruch Śledzenie ścieżek jakimi przebiega atak Różnicowanie usług

19 Systemy hybrydowe - Syn Defender SYN Defender Relay Komputer uzytkownika firewall Serwer 1 SYN

20 Systemy hybrydowe - Syn Defender Syn Defender gateway Komputer uzytkownika firewall Serwer 5 ACK

21 Systemy hybrydowe algorytm Synkill Algorytm według zdefiniowanych przez użytkownika parametrów monitoruje sieć lokalną w poszukiwaniu pakietów SYN, które nie otworzyły połączenia po określonym przedziale czasu. W przypadku ich znalezienia wysyła pakiet TCP RST i zwalnia zarezerwowane zasoby

22 Systemy hybrydowe algorytm Synkill begin ACK or RST u NULL SYN record and u GOOD SYN u BAD ACK or RST ACK or RST u ACK or RST u SYN send RST Staleness record and u NEW SYN record Expiry

23 Podsumowanie Ataki DoS/DDoS są niebezpieczne ze względu na łatwość z jaka mogą być przeprowadzone (istnienie w sieci wielu gotowych narzędzi). Dlatego zaimplementowanie właściwych metod zabezpieczeń jest bardzo ważne szczególnie dla firm, których działalność jest uzależniona od Internetu

24 Pytania?

Podobne dokumenty

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep Spoofing oznacza podszywanie się pod inną maszynę w sieci. Może wystąpić na różnych poziomach komunikacji: - sprzetowej zmiana przypisanego do karty MAC adresu jęzeli weryfikacja dostępu do okręslonej