Защита IP методом псевдослучайной смены сетевых адресов

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Защита IP методом псевдослучайной смены сетевых адресов — один из новейших[уточнить] методов защиты от DDoS-атак.

Простейшее представление схемы DDoS-атаки

Атака типа DoS характеризуется как явная попытка предотвратить легитимное использование службы; атака типа DDoS подразумевает участие нескольких атакующих лиц для достижения этой цели. Такой результат достигается путём специальных действий атакующей стороны, результатом которых становится истощение ресурсов жертвы атаки (память, производительность процессора, количество дескрипторов и буферов). DDoS-атаки бывают двух типов: семантические и насыщающие полосу пропускания.

Семантические атаки используют особенности или ошибки реализации протоколов или ПО, установленного на сервере, в то время как насыщающие полосу пропускания атаки злоупотребляют легитимными сервисами Интернета.

Метод псевдослучайной смены сетевых адресов обеспечивает защищаемому Интернет-ресурсу изолирование на сетевом уровне от какого-либо TCP-трафика от неавторизованного клиента. Именно поэтому нежелательный TCP-трафик не будет достигать сервера, при условии, что атаку не производит сам легитимный пользователь.

Данный метод учитывает основные принципы проектирования: применимость на практике (фильтрация нежелательного трафика при минимальном изменении архитектуры интернета), система защиты не должна быть источником нежелательных действий сама по себе.

Принцип псевдослучайной смены сетевого адреса внутри сессии[править | править код]

Данный метод обеспечивает снижение нагрузки на сервер от атакующих лиц («ботов») и обеспечивает невозможность блокировки пакетов, получаемых от легитимного пользователя, путём смены адреса сервера по расписанию, известному только авторизованному пользователю. Боты не получают достоверной информации о расписании сервера, тем самым теряя возможность создать нагрузку на сервер.

Способ защиты от DDoS-атаки, основанный на прыгающей адресации Интернет-ресурса, содержит записи не об IP-адресе ресурса, а об IP-адресе сервера авторизации. Для доступа к ресурсу клиент должен пройти авторизацию на пример того, является ли он доверенным лицом. Если авторизация пройдена успешно, то клиенту сообщается IP-адрес сервера, который выполняет роль контроллера расширенных защищенных соединений Интернет-сервиса и подключенных к нему клиента. Авторизованный пользователь устанавливает зашифрованное соединение с контроллером, по которому ему передается ключ генерации псевдослучайной последовательности адресов для осуществления прыгающей адресации. После получения этого набора IP-адресов клиента начинает обращение к Интернет-ресурсу по какому-то зафиксированному адресу. При этом адрес каждого следующего пакета определяется терминалом пользователя динамически путём расчета специальной хеш-функции, которая отображает значения идентификатора текущей расширенной защищенной сессии. Этот идентификатор определяется по private key сертификата. Таким образом, осуществляется изменение адреса получателя TCP-пакетов, отправляемых от клиента к Интернет-ресурсу, с фиксированного адреса на виртуальный, рассчитанный по псевдослучайному закону.

Устойчивость к атакам[править | править код]

Оценим устойчивость к атакам данного метода исходя из следующих соображений. Пусть атакующая сторона имеет ресурсы для силовой атаки интенсивностью N (Гб/с). Если у нас будет статичный IP-адрес, то вся интенсивность должна будет обработана сервером как нагрузка. Если же мы будем иметь список из m IP-адресов, то в соответствии с данным методом интенсивность на конкретный IP-адрес будет не более чем N/m. Следовательно, сервер будет оставаться в режиме функционирования, если сможет обработать нагрузку в m раз меньше, чем мощность атаки. Величина размера пула адресов может считаться оценкой выигрыша устойчивости к силовой атаке. Следует отметить, что работая в сетях с адресацией IPv6, можно иметь пулы размером в несколько тысяч различных адресов.

Простейшее представление схемы DDoS-атаки на защищенный сервер

Если пул IP-адресов недостаточно велик, то злоумышленники могут осуществить атаку на каждый из адресов этого пула, используя IP-спуфинг для того, чтобы скрыть свой трафик под трафик реального пользователя. В этом случае роутеры не смогут отличить легитимные и нелегитимные пакеты и отправят их на защищаемый сервер. Для борьбы с этой уязвимостью сети Интернет-провайдеров, через которые передаются пакеты от реального пользователя до сервера, должны осуществлять фильтрацию пакетов, которые подверглись IP-спуфингу, например, по методу «ingress filtering».

Архитектура системы[править | править код]

Подобный метод может быть реализован различными способами. Однако к проектируемой архитектуре выставляется дополнительное требование: разрабатываемый способ должет быть применим на практике в рамках современной архитектуры Интернета. Это означает, что внедрение данной системы не должно требовать изменения конфигурации и оборудования пользовательских систем. Кроме того, данный метод должен быть не только применим в реальных условиях, но и усилия по его применению должны быть минимальными.

Отличия от стандартной модели:

  • DNS-сервер, вместо записей о реальном адресе Интернет-ресурса, содержит записи только об адресе авторизации.
  • Вводится сервер авторизации, который производит проверку клиента на легитимность по отношению к Интернет-ресурсу. Если клиент успешно проходит авторизацию, на его устройстве установлен нужный сертификат, и операционная система поддерживает прыгающую адресацию, то сервер авторизации инициирует процесс установления защищенного канала.
  • IP Hopper Core — системная утилита на терминале клиента и маршрутизаторах Интернет-провайдера, которые должны осуществлять динамическую смену IP-адреса Интернет-ресурса.
  • IP Hopper Manager — специальный сервер, установленный в пределах инфраструктуры Интернет-провайдера, который обеспечивает управление расширенными защищенными соединениями между Интернет-сервисом и подключенными к нему клиентами.

Литература[править | править код]

  • Mirkovic J., Reiher P., «A taxonomy of DDoS-attack and DDoS-defense mechanism»//ACM SIGCOMM Computer Communication Review, 2004, Vol. 34, Issue 2. P.39-53
  • Gupta B., Joshi R. C., Misra M. //Distributed Denial of Service Prevention Techniques. // International Journal of Computer and Electrical Engineering. April 2010, Vol. 2 No. 2. P.268-276
  • Kernel S. M. DDoS-Attacks: Growing, but how match?, 26 April 2013
  • Krylov V., Kravtsov K. DDoS-Attack and Interception Resistance IP Fast Hopping Based Protocol. — arXiv, 2014
Источник — https://ru.wikipedia.org/w/index.php?title=Защита_IP_методом_псевдослучайной_смены_сетевых_адресов&oldid=103321881