Защита от DDOS атак

Сентябрь 3, 2022

Главная
Алгебра
Защита от DDOS атак

Содержание

2. DDOS (Distributed Denial of Service) – распределенный отказ в обслуживании - это скоординированная атака на нарушение
3. Модель бот-сети
4. Классификация DDOS атак 1. Атаки на истощение ресурса сети: Flood –атаки (UDP-flood, ICMP-flood, HTTP-flood, DNS-flood) Атаки
5. Атака на истощение ресурсов сети заключается в посылке большого количества пакетов в атакуемую сеть. Они уменьшают
6. Flood (наводнение) атака – на жертву направляется огромное количество пакетов, ставится задача исчерпания ресурсов каналов связи
7. Атаки с использованием отражателей
8. Атака на истощение ресурсов узла
9. Защита от DDOS атак Этапы защиты: -предупреждение атаки; -обнаружение факта атаки; -определение источника атаки; -противодействие атаке
10. Механизмы обнаружения DDOS-атак Способы обнаружения: -обнаружения злоупотреблений (обнаружение по сигнатурам); - обнаружение по аномалиям Принятый пакет
11. Обнаружение злоупотреблений –сравнение текущего состояния защищаемого объекта с заранее определенными образцами (сигнатурами), которые описывают ту или
12. Преимущества сигнатурного метода: -эффективное обнаружение атаки при малом количестве ложных срабатываний; - простота использования не требующая
13. Системы обнаружения атак по аномалиям Метрики отклонения от модельного состояния: -сравнение с порогом (нагрузка на сервис);
14. Системы обнаружения вторжений IDS (Intrusion detect system)- программное или аппаратное средство для выявления фактов неавтори- зованного
15. IDS Snort
16. Обеспечивающие компоненты Snort операционная система FreeBSD или MS Windows; Snort – сам сенсор с детекторами для
17. Примеры настроек Snort ( ;) alert icmp any any -> 192.168.1.1 any (msg: "Ping detected!";) Правило
18. Методы отслеживания DDOS-атак
19. Пример топологии сети
22. Скачать презентацию

Слайд 2

DDOS (Distributed Denial of Service) – распределенный
отказ в обслуживании -

это скоординированная атака
на нарушение доступности услуг (сервисов) системы
или сетевого ресурса

DDOS (Distributed Denial of Service) – распределенный
отказ в обслуживании - это скоординированная атака
на нарушение доступности услуг (сервисов) системы
или сетевого ресурса

Базируется на реализации множества атак «отказ в обслуживании»
(DOS) , проводимых множеством скомпрометированных узлов.

Spoofing – подмена IP адресов

Слайд 3

Модель бот-сети

Слайд 4

Классификация DDOS атак
1. Атаки на истощение ресурса сети:
Flood –атаки (UDP-flood, ICMP-flood,

HTTP-flood,
DNS-flood)
Атаки , использующие отражатели: (Smurf, Fraggle)

2. Атаки на истощение ресурса узла:
TCP SYN, Land, Ping Death, некорректные пакеты

Слайд 5

Атака на истощение ресурсов сети заключается в посылке большого количества пакетов

в атакуемую сеть. Они уменьшают ее пропускную способность сети для законных пользователей

Атака на истощение ресурсов сети заключается в посылке большого количества пакетов в атакуемую сеть. Они уменьшают ее пропускную способность сети для законных пользователей

Атака на истощение ресурсов узла заключаются в
посылке большого количества запросов этому узлу.
Для каждого запроса выделяется определенный ресурс.
Когда ресурс заканчивается, обслуживание поступающих
запросов становится невозможным

Слайд 6

Flood (наводнение) атака – на жертву направляется огромное
количество пакетов, ставится

задача исчерпания ресурсов
каналов связи

Flood (наводнение) атака – на жертву направляется огромное
количество пакетов, ставится задача исчерпания ресурсов
каналов связи

Слайд 7

Атаки с использованием отражателей

Слайд 8

Атака на истощение ресурсов узла

Слайд 9

Защита от DDOS атак
Этапы защиты:
-предупреждение атаки;
-обнаружение факта атаки;
-определение источника атаки;
-противодействие атаке

Слайд 10

Механизмы обнаружения DDOS-атак
Способы обнаружения:
-обнаружения злоупотреблений (обнаружение по сигнатурам);
- обнаружение по аномалиям

Принятый пакет

Образцы (сигнатуры) злоупотреблений

Эталонное состояние

Обнаружение по аномалиям

Обнаружение по сигнатурам

Слайд 11

Обнаружение злоупотреблений –сравнение текущего
состояния защищаемого объекта с заранее определенными
образцами

(сигнатурами), которые описывают ту или иную
атаку.

Обнаружение злоупотреблений –сравнение текущего
состояния защищаемого объекта с заранее определенными
образцами (сигнатурами), которые описывают ту или иную
атаку.

Обнаружение атак по аномалиям заключается в сравнении
текущего состояния системы с тем состоянием, когда
нарушения состояния не было (с эталонным состоянием).

Слайд 12

Преимущества сигнатурного метода:
-эффективное обнаружение атаки при малом количестве ложных срабатываний;
- простота

использования не требующая высокой квалификации администратора ИБ.

Преимущества сигнатурного метода:
-эффективное обнаружение атаки при малом количестве ложных срабатываний;
- простота использования не требующая высокой квалификации администратора ИБ.

Недостатки:
-необходимо постоянно обновлять базу данных сигнатур;
-неспособен выявлять неизвестные атаки

Слайд 13

Системы обнаружения атак по аномалиям
Метрики отклонения от модельного состояния:
-сравнение с порогом

(нагрузка на сервис);
-спецификация пакетов;
-по вероятностным характеристикам

Примеры:
MIB variables;
MULTOPS;
Фильтрация по числу хопов;
D-ward

Слайд 14

Системы обнаружения вторжений
IDS (Intrusion detect system)- программное или
аппаратное средство для

выявления фактов неавтори-
зованного вторжения в компьютерную систему

Коммерческие: Tripwire, CISCO NetRanger;
Свободно распространяемые Snort, OSSEC, Untagle

Слайд 15

IDS Snort

Слайд 16

Обеспечивающие компоненты Snort
операционная система FreeBSD или MS Windows;
Snort – сам

сенсор с детекторами для обнаружения атак;
libpcap – сниффер для захвата пакетов;
СУБД MySQL – для хранения базы данных событий;
PHP – язык разработки для Web;
Apache – web-сервер;
Basic Analysis and Security Engine (BASE) – консоль управления и просмотра событий (alerts);
Oinkmaster – утилита для обновления сигнатур и некоторые другие.

Слайд 17

Примеры настроек Snort

(;)

alert icmp any any -> 192.168.1.1 any (msg: "Ping detected!";)
Правило ждёт ICMP-пакеты с любого узла, направленные на маршрутизатор (192.168.1.1), и при появлении таковых выводит сообщение "Ping detected!".

pass icmp any any -> any any (dsize:>65535; msg: "Ping of Death detected!";)
Агент посылет на жертву ICMP пакеты размером большие 65,535 байт, которые не могут быть корректным образом обработаны. Snort проверяет размер входящих ICMP пакетов с помощью параметра dsize и, в случае превышения пакетом установленного размера, отбрасывает их (pass):

pass ip any any -> any any (sameip; msg: "Land attack detected!";)
Правило проверяет факт совпадения IP адресов, и отбрасывает пакет, если подобная атака имеет место быть:

Слайд 18

Методы отслеживания DDOS-атак

Слайд 19

Пример топологии сети

Слайд 20

Защита от DDOS атак

Содержание

DDOS (Distributed Denial of Service) – распределенный отказ в обслуживании -

Модель бот-сети

Классификация DDOS атак1. Атаки на истощение ресурса сети:Flood –атаки (UDP-flood, ICMP-flood,

Атака на истощение ресурсов сети заключается в посылке большого количества пакетов

Flood (наводнение) атака – на жертву направляется огромное количество пакетов, ставится

Атаки с использованием отражателей

Атака на истощение ресурсов узла

Защита от DDOS атакЭтапы защиты:-предупреждение атаки;-обнаружение факта атаки;-определение источника атаки;-противодействие атаке

Механизмы обнаружения DDOS-атакСпособы обнаружения:-обнаружения злоупотреблений (обнаружение по сигнатурам);- обнаружение по аномалиям

Обнаружение злоупотреблений –сравнение текущего состояния защищаемого объекта с заранее определенными образцами

Преимущества сигнатурного метода:-эффективное обнаружение атаки при малом количестве ложных срабатываний;- простота

Системы обнаружения атак по аномалиямМетрики отклонения от модельного состояния:-сравнение с порогом

Системы обнаружения вторженийIDS (Intrusion detect system)- программное или аппаратное средство для