Содержание к диссертации
Введение
1 Мультисерверные WEB-системы как объекты защиты от DDOS- атак 11
1.1 Используемый понятийный аппарат 11
1.2 Мультисерверные системы: особенности функционирования и классификация 13
1.3 Атаки, направленные на нарушение доступности информации и ресурсов мультисерверных web-систем 18
1.4 DDoS-атакуемые web-серверы: математическая статистика ущербов в контексте риск-анализа 30
1.5 Инструментарий риск-анализа атакуемых систем 45
1.6 Выводы по первой главе 47
2 Риск-модели мультисерверных web-систем, подвергающихся многовекторным DDOS-атаками 49
2.1 Оценка параметров риска для компонентов мультисерверных web-систем 49
2.2 Оценка и регулирование рисков мультисерверных web-систем 53
2.3 Настройки web-серверов в мультисерверных системах 65
2.4 Выводы по второй главе 75
3 Управление рисками мультисерверных web-систем, подвергающихся многовекторным DDOS атаками 76
3.1 Методика управление риском мультисерверных web-систем при реализации DDOS-атак 76
3.2 Управление риском мультисерверных web-систем с использованием функций чувствительности 90
3.3 Подход к параметрическому синтезу DDOS-атакуемых мультисерверных web-систем на основе управления рисками 112
3.4 Выводы по третьей главе 129
Заключение 130
Библиографический список 132
- Мультисерверные системы: особенности функционирования и классификация
- DDoS-атакуемые web-серверы: математическая статистика ущербов в контексте риск-анализа
- Оценка и регулирование рисков мультисерверных web-систем
- Управление риском мультисерверных web-систем с использованием функций чувствительности
Мультисерверные системы: особенности функционирования и классификация
Обобщенно DDoS-атаки можно разделить на четыре группы [90, 123]: 1) Атаки, которые направлены на превышение возможностей полосы пропускания. К данным атакам можно отнести UDP-flood, ICMP- flood, TCP- flood, HTTP- flood, а так же другие flood атаки. Рассмотрим более подробно каждую из них: - UDP-flood (Fraggle) -на порт web-сервера отправляются множество echo-команд. Эта атака приводит к насыщению полосы пропускания, так как сервер получает множество ответных сообщений, которые выводят систему из рабочего состояния. - ICMP- flood- атака, направленная на переполнение полосы пропускания за счет отправки многочисленных ping-запросов.
2) Атаки, использующие недостаток ресурсов. Примерами таких атак мо жет служить SYN-flood, атаки типа Ping of Death, Smurf и некоторые другие. Остановимся более подробно на атаке SYN-flood. При данном типе атаки злоумышленник использует один из базовых принципов работы протокола TCP при установке соединения с сервером с помощью обмена тремя пакетами, так называемого «рукопожатия»: - клиент (например, web-браузер или ftp-клиент) отправляет серверу SYN -пакет; - клиент отсылает подтверждение соединения YN-ACK, когда открытый порт сервера получает запрос о соединении (SYN); - клиент, получив подтверждение сервера, отвечает ему АСК-пакетом, что означает, что соединение установлено.
SYN-атака основана на том, что ір-адрес злоумышленника подменяется несуществующим или посторонним ір-адресом. Именно поэтому сервер никогда не получит подтверждения соединения, а очередь на установление соединения через определенное время переполнится и легитимный пользователь уже не сможет подключиться к web-pecypcy.
3) Многовекторные DDoS -атаки. Атаки данного вида являются комбинация ми рассмотренных выше атак. За 2013 и первое полугодие 2014 г. возросла сово купная мощность многовекторных DDoS-атак. Около 81% инцидентов, зафиксиро ванных одной из самых крупных фирм по борьбе с DDoS-атаками «Incapsula», с декабря 2013 г. по июнь 2014 г., использовали не менее двух разных направлений атаки.
Так как удар направлен против нескольких разных сетевых или системных ресурсов, многовекторная тактика повышает шансы атакующих на успех [100, 101]. Именно комбинация техник также часто применяется для создания эффекта «дымовой завесы»: один прием используется как маневр, отвлекающий внимание от другого вектора атаки или же при проведении преступных операций на сайтах электронной коммерции. В настоящее время наиболее популярной комбинацией DDoS является двойной SYN - flood, выполняемый подачей стандартных SYN-пакетов и отправкой «тяжелых» пакетов свыше 250 байт. Поток обычных SYN-пакетов призван истощить системные ресурсы сервера (например, вызвать перегрузку ЦП), а крупноразмерные пакеты забивают каналы. Сегодня комбинированные SYN-атаки составляют примерно 75% мощных (с пиком выше 20 Гб/с) DDoS-атак сетевого уровня. [100, 129, 132].
Поэтому в работе была смоделирована многовекторная DDoS-атака («двойной SYN-flood») на МСВС крупной кампании электронной коммерции Воронежской области.
Для защиты МСВС, очевидно, наиболее целесообразно применять комплексный подход, сочетающий организационные и технические средства защиты. Организационные средства защиты связаны с разработкой и внедрением нормативно-правовых документов, таких как политика и концепция обеспечения информационной безопасности МСВС и web-портала, к которому она относится, должностные инструкции по работе персонала с автоматизированной системой портала и т.д. Технические же средства защиты реализуются при помощи соответствующих программных, аппаратных или программно-аппаратных средств, которые обеспечивают выполнение целей и задач, определённых в соответствующих нормативно-правовых документах [14, 16, 17]. Использование комплексного подхода предполагает объединение технических средств защиты МСВС в интегрированный комплекс,
включающий в себя подсистемы антивирусной защиты, контроля целостности, раз граничения доступа, настройки самих web-серверов, систем обнаружения вторжений [85], анализа защищённости, защиты информации, а также подсистему управления. Рассмотрим (таблица 1.4) иерархию защиты web-серверов, входящих в МСВС, от DDoS-атак [90, 123, 126].
Так как далее в работе будет идти речь именно о настройках непосредственно самих серверов, остановимся более подробно на третьем уровне. В зависимости от используемых серверов, меняются настройки и их значения. Общеизвестными являются настройки, регламентируемые самими фирмами - производителями web-серверов.
Основными из них являются: Microsoft [95], Apache [35, 86] и Sun [97]. Но приведенные настройки являются общими, не учитывающими такие немаловажные факторы как: - специфика конфигурируемой мультисерверной системы web-серверов в конкретном предприятии, взаимодействие этих серверов друг с другом; - возможные ущербы от успешной реализации этих атак; - приводятся настройки отдельных web-серверов, при этом остается неиз вестным, насколько корректно будет функционировать вся МСВС с выстав ленными значениями при воздействии DDoS-атак; - подверженность МСВС какого-либо web-портала определенным видам DDoS-атак.
Эти же факторы можно перечислить, говоря о различного рода рекомендациях по защите web-серверов от DDoS-атак, которые можно видеть в сети Internet или в некоторых печатных изданиях. Таким образом, вопрос о том, какие конкретные настройки следует выбрать, остается открытым и пока регулируется людьми, администрирующими и корректирующими настройки МСВС. Однако человеческий фактор является первостепенным с точки зрения возможности возникновения ошибок (ввиду недостаточной компетентности или по ряду других причин), которые могут привести к успешной реализации атаки и к огромным ущербам. Поэтому в работе предпринята попытка максимально автоматизировать процесс настроек защиты web-серверов от конкретного вида DDoS-атаки. В этой связи, рассматривая информационную безопасность web-портала и его защиту от DDoS-атак, с точки зрения возможностей различных настроек внутри самой МСВС, можно выделить (таблица 1.5) этапы защиты [90, 123].
DDoS-атакуемые web-серверы: математическая статистика ущербов в контексте риск-анализа
В предыдущей главе, определены законы распределения риска для каждого web-сервера МСВС, получены аналитические оценки его параметров. Определим теперь аналитические выражения для общего риска системы, возникающего при многовекторных DDoS-атаках, считая, что полученные в результате ущербы в отдельных серверах слабо коррелируют между собой.
Рассмотрим задачу получения аналитических выражений для анализа, оценки и управления рисками с использованием параметров функций рисков отдельных компонентов, позволяющих настроить параметры защиты системы таким образом, чтобы суммарный риск системы находился в заданной полосе неравномерности при реализации угрозы DDoS-атаки.
Ранее было установлено, что ущерб / - го сервера мультисерверной системы можно определить функцией плотности распределения вероятностей Вейбулла [136, 142]: где: т - количество web -серверов, включенных в МСВС; Xt, «,, соответственно, риск-параметры, определяющие настройки для количества SYN-пакетов, поступив ших на / - й сервер за секунду, и для времени разрыва TCP-соединений при отсутствии откликов, ui = Xtt - усредненный ущерб і - го web-сервера.
Найдем теперь диапазон ущербов в случае, когда система включает т web-серверов. Тогда, при уравнивании максимальных значений огибающих рисков web-серверов МСВС, диапазон ущербов можно рассматривать как разность между корнями уравнения при установке максимального значения огибающей риска web-сервера на середину полосы неравномерности.
Таким образом, управляя настройками web-серверов, будем регулировать диапазон ущерба Д и неравномерность 8 риска. Если рассматривать риск МСВС, как результат процесса многовекторной DDoS-атаки, на оси времени /, то выражение (2.2) примет следующий вид: Risk{t, Л„ а)=Л ,а, (л, t У -ехр[- (л, /) ] (Д/), где At - шаг дискретизации функции плотности распределения вероятностей относительно времени нахождения МСС в режиме отказа в обслуживании (1.1), At = Аи/Л. Найдем, при каком значении времени t от начала DDoS-атаки достигаются максимумы огибающих рисков web-серверов. Для этого найдем производную от огибающей риска и приравняем ее к нулю:
Для регулирования общего риска МСВС с заданной неравномерностью важными параметрами являются значения локальных экстремумов огибающей этой функции, так как при задании требуемого вида общего риска системы количество максимумов должно быть равно количеству серверов, включенных в систему. В дальнейшем, при управлении общим риском МСВС, возникающем при реализации DDoS-атаки на ее компоненты, можно будет использовать метод уравнивания в точках локальных экстремумов значений искомой общей функции риска МСВС со значениями заданной функции риска в тех же точках [136, 151]. Важно, что полученные оценки параметров позволят заранее оценивать ущербы от нахождения системы в режиме "отказ в обслуживании".
Рассмотрим случай асинхронных многовекторных DDoS-атак на серверы МСВС. Поставим теперь задачу получения значений для настроек web-серверов МСВС таким образом, чтобы риск при проведении DDoS-атаки не выходил из заданной полосы неравномерности 8 и, тем самым, найдем предельные значения для количества SYN-пакетов, поступивших на / - й сервер за секунду, (/ = i(i)m), и предельные значения для времени разрыва TCP-соединений при отсутствии откликов.
При асинхронных атаках следует использовать метод уравнивания максимальных значений огибающих рисков для каждого сервера [47, 50, 62].
Получим аналитические выражения для оценки параметров риска всей системы при условии уравнивания пиковых значений функций риска отдельных компонент. Чтобы уравнять пиковые значения рисков для т серверов МСВС, необходимо потребовать выполнения равенства:
В дальнейшем, используя условия равенства пиковых значений огибающей риска для каждого web-сервера, выразим усредненные значения ущербов иу = Лу1, (у = 2(1)т) через усредненный ущерб первого сервера щ = \t.
Рассмотрим сначала частный случай, когда в МСВС включены два web-сервера (т = 2). Огибающая риска МСВС задается следующим образом: Чтобы получить решение последнего уравнения, приведем это уравнение к одной переменной и = \t. Для этого заменим в последнем равенстве Л2 на выражение Л2 = - -, найденное из условия равенства пиковых значений функций риска
Так как уравниваются максимальные значения функций плотности вероятности, то из полученного соотношения (2.5) следует: если ах =а2, то и Л1=Л2, т.е. функции плотности распределения вероятностей совпадают. Для функции плотности распределения вероятностей Вейбулла параметр формы а 1, поэтому рассматриваем ах Ф О и а2 Ф О. В дальнейшем рассматриваем функции плотности распределения вероятностей при условии, что ах Ф а2. Если функции плотности распределения вероятностей совпадают, то суммарный риск будет априори велик.
Оценка и регулирование рисков мультисерверных web-систем
Настройки для предельных значений количества SYN-пакетов, поступивших на /- й сервер за секунду, (/ = 1(1)да), и предельных значений для времени разрыва TCP-соединений при отсутствии откликов, для web-серверов, входящих в МСВС, таким образом, чтобы риск при маловероятных синхронных атаках находился в заданной полосе неравномерности, были получены в главе 2. Далее, эти значения примем за базовые. Кроме того, с помощью полученного алгоритма нахождения матрицы поправок, уточнены значения времени t, при которых риск МСВС принимает экстремальные значения.
Проверим, обеспечивают ли найденные предельно допустимые значения для количества SYN-пакетов, поступивших на /-й сервер за секунду, (/ = 1(1)да), и предельных значения для времени разрыва TCP-соединений при отсутствии откликов, устойчивую работу МСВС в случае асинхронных многовекторных DDOS-атак на ее компоненты.
Рассмотрим пример, описанныйв пункте 2.3, и осуществим оценку чувствительности общего риска МСВС. Там рассматривалась МСВС, состоящая из четырех компонентов, найдены значения риск-параметров базовых настроек web-серверов МСВС, обеспечивающих нахождение общего риска в заданной полосе неравномерности: ах =2,2, \ =3,11563, а2 =4,8, =1,42799 а3 =7,4, Л3 =0.892, а4 =ю,о, Я4 =66,0. В результате была получена матрица поправок и, тем самым, уточнены значения ущербов, при которых общий риск системы достигает максимального значения. Рассмотрим для этого примера чувствительность функции риска В И Экстремумов: и1шж «1.06562107, и2тх «2.36454015, 3.778393551, и4гшк «4.99539556, г/1тт«1.68, и2тп ЗА2, и3тп 4.56.
Рассмотрим чувствительность рисков компонентов системы в движении около найденных базовых значений параметров этих компонентов. Воспользуемся полученными функциями чувствительности риска МСВС. Дифференциальные функции чувствительности представляют собой частные производные огибающей риска по его параметрам At, at, і = 1,2,..., т. Тогда уравнение движения риска всей системы при отклонении его параметров на АЛ,, Аа,, соответственно [85] имеет вид:
Геометрическая интерпретация движения системы при базовых значениях риСК-параметрОВ ссх =2,2, а2 =4,8, аъ = 7,4, а4 =10, Определяющих предельные значения для времени разрыва TCP-соединений при отсутствии откликов мг, i = l(l)m, и риск-параметров \ =з,о, Д =1,375, д, =0.892, л4 =0,66, определяющих предельные значения для количества SYN-пакетов, поступивших на / -й сервер за секунду N,, (/ = 1(1)да), и их вариациях Да. =2, ДД. =2, / = 1(1)
Как видно из рисунка 3.1, чувствительность огибающей общего риска системы незначительна, следовательно, найденные базовые значения настроек web-серверов задают устойчиво работающую систему в условиях воздействия многовектрных DDoS-атак. Причем, огибающая риска МСВС и после движения находится в
Огибающая риска МСВС при базовых значениях риск-параметров и огибающая риска после движения наложены на огибающие рисков web-серверов Уравнение движения (3.8) дает возможность управлять рисками, не только варьируя риск-параметры, но и с помощью аналитических выражений, полученных ниже.
Рассмотрим теперь случай синхронных DDoS-атак на серверы МСВС. Риск системы в случае синхронных атак на ее компоненты можно оценить с помощью следующего выражения: где ut{t) - усредненное значение ущерба, возникающего в і-й компоненте системы при переходе в режим «отказ обслуживания» (uj(t) = Ajt); ft(t) - функция плотности вероятности наступления ущерба в момент времени t; At - шаг дискретизации; т -количество серверов системы.
Первоначальные настройки web-серверов МСВС, обеспечивающие нахождение системы в заданной полосе неравномерности, были найдены в главе 2. Для определения вариаций параметров, позволяющих нужным образом скорректировать поведение риска системы, воспользуемся функциями чувствительности [46, 84]
Дифференциальные функции чувствительности представляют собой частные производные огибающей риска по риск-параметрам лг и at , определяющим, соответственно, настройки web-серверов для значений количества SYN-пакетов, поступивших на / - й сервер за секунду
Управление риском мультисерверных web-систем с использованием функций чувствительности
Таким образом, определены настройки web-серверов синтезируемой МСВС по заданному виду общей функции риска и диапазону предельно допустимого ущерба.
Ранее по заданному пороговому значению риска всей системы Risknopoz и полосы неравномерности S = {[-K)-Risknopoz(K \) были получены аналитические выражения для параметров компонентов системы при условии уравнивания максимальных значений функций рисков компонентов [136,142].
Пусть теперь задан требуемый вид функции риска всей системы, а, следовательно, и максимально допустимый диапазон ущербов. Получим аналитические выражения для настроек web-серверов МСВС таким образом, чтобы найденный общий риск системы соответствовал требуемому виду.
Вид огибающей риска МСВС с заданным уровнем неравномерности можно определять по-разному. Например, с помощью точек локальных экстремумов, или, к примеру, используя совокупность рисков, заданных трехпараметрическим распределением Вейбулла, подбирая третий параметр в таким образом, чтобы минимумы огибающей риска находились в точках перегибов [136, 138, 146, 147]:
Параметр в будем находить таким образом, чтобы функция второй волны заданной огибающей риска пересекала функцию первой волны в точке ее перегиба. Поэтому сначала найдем точки перегиба огибающей функции риска (3.16), вычислив производную второго порядка по переменной t [ito,(r)] , и приравняв ее к нулю. Затем определим, меняет ли производная второго порядка знак при прохождении через критические точки [136, 152].
Так как при прохождении через критические точки zx и z2 знак производной второго порядка меняется на противоположный, то они являются точками перегиба функции Risk t). Возвращаясь к старой переменной t, получим следующие выражения для точек перегиба: перегиб
Решая уравнение (3.23) одним из численных методов, например, методом Ньютона [4], получим значение для введенной переменной w. Возвращаясь к переменной в, находим ее значение следующим образом:
Получая конкретный вид требуемой огибающей общей функции риска, колеблющейся в заданной полосе неравномерности, примем а = 2,2, тогда, исходя из соотношения (3.18) и учитывая заданные значение Risknopoz = 2,8 и коэффициента К = 0,85, найдем значение риск-параметра X = 0,518945.
Зная значение параметра в = вх «1,679161, находим, согласно (3.27), t: являю щиеся и значениями, при которых огибающая заданной общей функции риска МСВС имеет минимум. Значения точек перегиба tnepezu6i, полученные согласно выражениям (3.21), (3.22), показаны в таблице 3.8.
Для нахождения параметров компонентов синтезируемой системы воспользуемся на начальном этапе методом итераций для решения нелинейных систем [4].
Для составления уравнений системы (3.15) будем задавать значения огибающей риска синтезируемой МСВС в токах экстремумов, с помощью функции следующего вида [145]: rmn. = tnepezu6l, составим систему уравнений, приравнивая огибающую общей функции риска синтезируемой системы, вычисленную в точках экстремумов, к значениям заданной огибающей общей функции риска в тех же точках. Для наглядности запишем систему для нахождения риск-параметров при включении четырех web-серверов в МСВС {т = 4).
Для нахождения начальных значений риск-параметров хг, «., / = l(l)m, определяющих настройки web-серверов, при решении нелинейных систем (3.15) или (3.28) можно использовать тот факт, что огибающая риска web-сервера, заданная на основе распределения Вейбулла, имеет максимальное значение при значении времени от начала DDoS-атаки tmxi = —, / = i(i)m. Следовательно, за начальные значения риск параметров xt, i = l(l)m, определяющих настройки web-серверов для количества SYN-пакетов, поступающих на / - й сервер за секунду, можно принять Л, = . Со 126 ответствующие значения риск-параметров «., / = i(i)m, определяющих настройки web-серверов для значения времени разрыва TCP-соединений при отсутствии откликов, можно выбрать из условия равенства пиковых значений рисков серверов.
Используя полученные значения риск-параметров л и а синтезируемой МСВС, и методику пункта 3.2, можно уменьшать диапазон неравномерности и даже уменьшить значение порогового риска. Кроме того, можно уменьшить значение полученного ущерба от реализации многовектороных DDOS-атак, сдвигая значения экстремумов влево по оси ущербов.
Укрупненный алгоритм параметрического синтеза МСВС приведен на рисунке 3.23. Системы нелинейных уравнений (3.15) и (3.28) описывают случай асинхронных многовекторных DDoS-атак на МСВС. Аналогичная система может быть получена и для синхронных атак на МСВС на основе (3.9).
