Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Podobne dokumenty
dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Podstawy bezpieczeństwa

PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Najbardziej popularne metody włamań

Router programowy z firewallem oparty o iptables

Przypisywanie adresów IP do MAC-adresów

Projekt LAN. Temat: Skaner bezpieczeństwa LAN w warstwie 2. Prowadzący: dr inż. Krzysztof Szczypiorski Studenci: Kończyński Marcin Szaga Paweł

Bezpieczeństwo w M875

Robaki sieciowe. + systemy IDS/IPS

Metody zabezpieczania transmisji w sieci Ethernet

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski

Translacja adresów - NAT (Network Address Translation)

Metody ataków sieciowych

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

Firewalle, maskarady, proxy

Firewalle, maskarady, proxy

SPECYFIKACJA TECHNICZNA PRZEDMIOTU UMOWY DOTYCZĄCA CZĘŚCI AKTYWNEJ ŁĄCZA

Zarządzanie bezpieczeństwem w sieciach

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Zarządzanie systemami informatycznymi. Zagrożenia w sieci

Adresy w sieciach komputerowych

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

Wyciąg z ogólnej analizy ataków na witryny administracji państwowej RP w okresie stycznia 2012r.

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Sieci komputerowe. Wykład 7: Transport: protokół TCP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

Sieci komputerowe - administracja

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Monitorowanie aplikacji i rozwiązywanie problemów

Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013

Audytowane obszary IT

SEGMENT TCP CZ. II. Suma kontrolna (ang. Checksum) liczona dla danych jak i nagłówka, weryfikowana po stronie odbiorczej

Sieci Komputerowe Translacja adresów sieciowych

MODEL WARSTWOWY PROTOKOŁY TCP/IP

MASKI SIECIOWE W IPv4

INFORMATYKA Pytania ogólne na egzamin dyplomowy

pasja-informatyki.pl

Spis treści. Podziękowania...n...n 7. 0x100 Wprowadzenie...n x200 Programowanie...n... 15

Sterowanie ruchem w sieciach szkieletowych

7. zainstalowane oprogramowanie zarządzane stacje robocze

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej:

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek

Projektowanie i implementacja infrastruktury serwerów

Firewalle, maskarady, proxy

Instrukcja oryginalna Urządzenie posiada oznaczenie MODUŁ KOMUNIKACYJNY CENTRAL WENTYLACYJNYCH. WebManipulator

INSTRUKCJA UZUPEŁNIAJĄCA DO CENTRAL DUPLEX ZE STEROWANIEM RD4

Marta Rybczyńska Nowy atak na systemy anonimowości

MODUŁ: SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

SIECI KOMPUTEROWE - BIOTECHNOLOGIA

Routing. mgr inż. Krzysztof Szałajko

Przecinanie kabla atak TCP Reset

Zapory sieciowe i techniki filtrowania danych

Zapory sieciowe i techniki filtrowania.

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

Adresowanie grupowe. Bartłomiej Świercz. Katedra Mikroelektroniki i Technik Informatycznych. Łódź, 25 kwietnia 2006

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ. Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

Bazy Danych i Usługi Sieciowe

Bezpieczeństwo protokołów i inne podatności

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Laboratorium 3.4.3: Usługi i protokoły

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

IP Spoofing is still alive... Adam Zabrocki ( nie działa ;) ) pi3@itsec.pl (lub oficjalnie: adam@hispasec.com)

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

IP Anycast. Ochrona i skalowanie usług sieciowych. Łukasz Bromirski lbromirski@cisco.com

Zdalne logowanie do serwerów

Firewalle, maskarady, proxy

Marek Krauze

Zarządzanie informacją i wiedzą w usługach o podwyŝszonym poziomie bezpieczeństwa. Maciej Stroiński stroins@man.poznan.pl

Sieci komputerowe laboratorium

ARP Address Resolution Protocol (RFC 826)

Sieci bezprzewodowe WiFi

LABORATORIUM - SINUS Firewall

Laboratorium Sieci Komputerowych - 2

TCP/IP formaty ramek, datagramów, pakietów...

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr piąty

Programowanie współbieżne i rozproszone

Sprawdzanie połączenia sieciowego

w IPv6 Bezpieczeństwo

Sieci komputerowe i bazy danych

Firewall bez adresu IP

System operacyjny Linux

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

NetBEUI NWLink TCP/IP. Powiązania. Obwoluta NDIS. Rysunek 1.1. Architektura NDIS. Tryb jądra. Mechanizm wykonawczy

Paweł Pokrywka, Ispara.pl. multispoof: Zaawansowany mac spoofing w sieciach lokalnych

System przesyłu danych z elektrociepłowni Zofiówka

Transkrypt:

Wybrane metody obrony przed atakami Denial of Service Synflood Przemysław Kukiełka

agenda Wprowadzenie Podział ataków DoS Zasada działania ataku Synflood Podział metod obrony Omówienie wybranych metod obrony Podsumowanie

Definicja Atak odmowy usług DoS (Denial of service) to atak na system komputerowy, który poprzez zajęcie wszystkich zasobów danego urządzenia uniemożliwia skorzystanie ze świadczonych przez niego usług uprawnionym użytkownikom

Podział ataków DoS Ataki podatności (Vulnerability attack) wykorzystują błędy w implementacji protokołów sieciowych w systemach operacyjnych lub aplikacjach sieciowych Ataki zalewu (flooding attack)- wykorzystują dużą liczbę pakietów wysłanych przez agresora, które konsumują zasoby atakowanego komputera (CPU, pasmo, pamięć)

Atak Synflood - wprowadzenie Sieć IP

Atak Synflood Polega na wysłaniu w kierunku atakowanego komputera dużej liczby pakietów TCP SYN z fałszywym źródłowym adresem IP. Dla każdego z tych pakietów ich odbiorca musi zarezerwować pewne zasoby w oczekiwaniu na nadejście pakietu TCP ACK. Przy dużej liczbie takich pakietów TCP SYN zasoby atakowanego serwera ulegają wyczerpaniu.

Architektura ataku DDoS(Distributed Denial of Service agresor Stepping Stone Handler Handler Handler Agent Agent Agent Agent Agent Agent Agent Agent Agent Ofiara

Architektura ataku DRDoS(Distributed Reflective Denial of Service) agresor Stepping Stone Handler Handler Handler Agent Agent Agent Agent Agent Agent Agent Agent Agent Reflektor Reflektor Reflektor Reflektor Ofiara

Klasyfikacja metod obrony pod kątem lokalizacji mechanizmu obrony w sieci W pobliżu ofiary ataku W sieci pośredniczącej W pobliżu źródła ataku

Klasyfikacja metod obrony pod katem podejmowanych działań Działania prewencyjne Wykrywanie ataków Odpowiedz na atak

Działanie prewencyjne Wyłączenie nieużywanych usług sieciowych Aktualizacja systemów operacyjnych Zwiększenie zasobów serwera, stosowanie replikacji serwerów Filtrowanie ruchu na styku sieci lokalnej i rozległej. Tylko pakiety o adresach źródłowych z danej podsieci są wypuszczane na zewnątrz.

Protokół SAVE (Source Address Validity Enforcement Protocol) Zapobiega podmienianiu adresów źródłowych pakietów IP wykorzystuje dodatkową tablice incoming table na routerach wiążącą adresy źródłowe z wejściowym interfejsem fizycznym Uaktualnienie informacji o adresach IP z wykorzystaniem wiadomości aktualizacyjnych SAVE update

Protokół SAVE- architektura incoming table forwarding table SAVE updates generating SAVE updates SAVE updates final stop? no processing SAVE updates yes SAVE protocol

Wykrywanie ataków FDS (flooding detection system) Bazuje na relacjach pomiędzy pakietami TCP SYN oraz FIN/RST należącymi do tego samego połączenia uniezależnienie algorytmu od wzorców dostępowych (np.: pory dnia) Podejmowanie decyzji o wystąpieniu ataku z wykorzystaniem algorytmu CUSUM

Proces zamknięcia połączenia TCP Sieć IP Komputer uzytkownika Serwer SYN = 1; ACK = 0; SEQ#=1000 SYN = 1; ACK = 1; SEQ=3000; ACK =1001 SYN = 0; ACK = 1; SEQ=1001; ACK =3001

Wykrywanie ataków FDS (flooding detection system) Bazuje na relacjach pomiędzy pakietami TCP SYN oraz FIN/RST należącymi do tego samego połączenia uniezależnienie algorytmu od wzorców dostępowych(np.: pory dnia) Podejmowanie decyzji o wystąpieniu ataku z wykorzystaniem algorytmu CUSUM

Wykrywanie ataku - algorytm SynDog Bazuje na relacjach pomiędzy pakietami TCP SYN oraz TCP SYN/ACK Niezależność od wzorców dostępowych (np.: pory dnia) Decyzja o wystąpieniu ataku jest podejmowana z wykorzystaniem algorytmu CUSUM Lokalizacja w pobliżu źródła ataku

Reakcja na atak Zastosowanie reguł kształtujących ruch Śledzenie ścieżek jakimi przebiega atak Różnicowanie usług

Systemy hybrydowe - Syn Defender SYN Defender Relay Komputer uzytkownika firewall Serwer 1 SYN

Systemy hybrydowe - Syn Defender Syn Defender gateway Komputer uzytkownika firewall Serwer 5 ACK

Systemy hybrydowe algorytm Synkill Algorytm według zdefiniowanych przez użytkownika parametrów monitoruje sieć lokalną w poszukiwaniu pakietów SYN, które nie otworzyły połączenia po określonym przedziale czasu. W przypadku ich znalezienia wysyła pakiet TCP RST i zwalnia zarezerwowane zasoby

Systemy hybrydowe algorytm Synkill begin ACK or RST u NULL SYN record and u GOOD SYN u BAD ACK or RST ACK or RST u ACK or RST u SYN send RST Staleness record and u NEW SYN record Expiry

Podsumowanie Ataki DoS/DDoS są niebezpieczne ze względu na łatwość z jaka mogą być przeprowadzone (istnienie w sieci wielu gotowych narzędzi). Dlatego zaimplementowanie właściwych metod zabezpieczeń jest bardzo ważne szczególnie dla firm, których działalność jest uzależniona od Internetu

Pytania?

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres