Дядін І.П., Червинський В.В.
Донецький національний
технічний університет, Україна
Алгоритм комплексної фільтрації зловмисного зовнішнього
трафіку у корпоративній банківській мережі
На цей час
багато компаній малого та середнього бізнесу мають веб-сайти, для того щоб бути
представленими у мережі Інтернет. Більшість з цих сайтів наповнено не тільки
контактною інформацією та короткими текстами про компанію. Веб-сайт може використовуватись
у якості Інтернет-магазину або інформаційної системи заказу товарів чи
постачань (для бізнесу який орієнтований працювати з іншим бізнесом).
Зловмисники
можуть використати це як засіб для нечесної конкуренції, через заказ DoS- або
DDoS-атаки на веб-сайт або хост, на якому розташована доступна зовні інформаційна
система.
DDoS-атака
(від англ. Distributed Denial of Service, розподілена атака типу „відмова в
обслуговуванні“). Суть таких атак зводиться до того, щоб всіма доступними
способами зменшити кількість корисного навантаження на ресурс, або зовсім
зробити його недоступним [2].
Виходячи с
того, що у багатьох випадках, корпоративна мережа немає ніякого захисту від
атак на відмову у обслуговуванні або має недостатній рівень обладнання для
фільтрації зловмисного трафіку, розглянемо найпростіші рішення, які працюють
безпосередньо на веб-сервері.
Розглянемо
алгоритм, якій можна використати у веб-серверах Apache та ISS. Суть його у
тому, що ведеться моніторинг підключених до веб-серверу IP-адрес, та ведеться
фільтрація запитів, які перевищують задану у конфігурації кількість одночасних
з’єднань (для роботи веб-серверу достатньо одного з’єднання з одним клієнтом у
час атаки).
Алгоритм
фільтрації є доволі простим, але він може зменшити кількість зловмисного трафіку типу флуд (HTTP-флуд).
Але цей алгоритм має багато недоліків. Головний недолік це те, що цей алгоритм ефективно працює з DoS-атакою,
та зовсім не допоможе якщо це DDoS-атака. У першому випадку атака буде
блокована, якщо зловмисник відкриє більше ніж одне з’єднання, у другому
зловмисник веде атаку наприклад з 30 комп’ютерів, цей алгоритм перепускає цей
трафік.
Фільтрація на
основі cookie. Цей алгоритм розповсюджений у веб-серврах з nginx. На цей час
70% атак це атаки, сгенеровано зловмисними скріптами. Це сценарії, які були
написані на мові програмування, що має функції роботи с веб-сайтами. Вони не підтримують
ніякого зв’язку з веб-сервером після того як запит відправлено та не підтримують
технологій які присутні у веб-браузерах. Головний недолік цього типу
алгоритмів, у тому, що він ніяк не фільтрує атаки не мережевому рівні
(udp-флуд, syn-flood та інші).
Недолік цих
алгоритмів у тому, що вони працюють безпосередньо на веб-сервері, що працює з клієнтами,
та використовує теж самі ресурси. Якщо атака буде достатньо масштабною, всі
ресурси пойдуть на відповіді.
Таким чином,
потрібно розробити комплексний алгоритм, який допоможе ефективно зменшувати
наслідки від цих атак. Передбачається, що такий комплексний алгоритм буде складатися
з декількох простих алгоритмів, які є ефективними при їх об’єднанні. Розглянемо
роботу кожного алгоритму.
Фільтрація за
країною. Враховуючи описані особливості праці банку з зарубіжними рахунками та
не резидентами алгоритм буде надавати пріоритет трафіку з України. Трафік з
інших стран, якщо буде перевищувати п’ять процентів від поточних одночасних з’єднань
до веб-серверу буде відкинуто.
“Чорні” та
“білі” списки. Звичайно у корпоративній мережі, фільтрацієй трафіку по “білим”
та “чорним” спискам робить фаєрвол, або обладнання, що має ці функції.
Якщо
використовувати алгоритми з найпопулярніших веб-серверів (використання cookie,
перевірка кількості одночасних з’єднань), та зробити їх об’єднаний варіант,
також винести їх з веб-серверу, та встановити їх на першому рубежі, а не на
“останній милі”, то можна збільшити ефективність цих алгоритмів. Суть цих змін
у тому, що якщо винести дію алгоритмів на першому комунікаційному вузлі, то
можна запобігти заповнення буферу на маршрутизаторі до якого підключено Інтернет
та маршрутизатору який обслуговує Інтранет.
SYN-флуд.
Оскільки для того, щоб загрузити веб-сайт достатньо одного TCP-з’єднання,
встановимо обмеження на одне з’єднання на один IP-адрес. Відстежувати будемо
кількість одночасних спроб надіслати більш ніж один пакет від одного IP-адресу
з флагом SYN.
ICMP-флуд.
Оскільки цей протокол ніяк не відноситься до тих, що забезпечують роботу
веб-серверу, та інших ресурсів, що приймають запити зовні корпоративної
банківської мережі, тому його можна обмежити, та якщо кількість одночасних
ICMP-запитів перевищить 2% від усіх запитів що знаходяться у системі блокувати
їх.
UDP-флуд. Так
як для того щоб веб-сервер повноцінно функціонував, йому не потрібно
використовувати протокол UDP. Виключенням може стати тільки випадок, коли на
веб-сервері використовуються сторонні рішення, які потребують програмне забезпечення
для додаткового функціоналу сайту.
HTTP-флуд.
Для того щоб запобігти такого типу атак, потрібно відстежувати повторювані
запити з унікальних IP-адресів які одночасно знаходяться у системі. Треба
блокувати схожі запити від одного IP-адресу.
Ці алгоритми
будо додано до єдиного алгоритму з фільтрації зловмисного трафіку, та промодельовано
у пакеті Anylogic. Було порівняно відношення корисного HTTP-трафіку що було
надіслано до кількості HTTP-трафіку що надійшов до веб-серверу. Результат
моделювання можна побачити на рис. 1.
З рис.1 видно,
що існуючи алгоритми практично не допомагають при розподіленої атаці на мережу,
різниця є у долі проценту. Алгоритми веб-серверів показують результат,
відмінний від відсутності блокування трафіку, коли швидкість трафіку досягає 50
Мбіт/с, тому що у системі одночасно були зареєстровані IP-адреси, які вже
підключені до серверу. Непоганий показник ефективності для веб-серверу nginx на
атаці у 100 Мбіт/с досягнуто завдяки фільтрації трафіку, який йшов не від
браузерів, а сценарії, в які використовував зловмисник. Спад ефективності
розробленого алгоритму після 10 Мбіт/с обумовлено тим, що мережа не може
обробити таке навантаження.
Рисунок 1 –
Результати моделювання зовнішньої атаки на корпоративну банківську мережу
Результати
ефективної фільтрації по мережевим технологіям можна розглянути на рис. 2, де
показана кількість пакетів у системі залежно від часу моделювання та швидкістю
трафіку 1 Мбіт/с (зверху без використання алгоритму, знизу з використанням).
Після фільтрації практично не залишилося інших протоколів окрім HTTP, який
використовується для роботи клієнтів з веб-сайтом. Серед інших протоколів
залишилися тільки пакети які використовуються для з’єднання за протоколом TCP,
відповіді локального DNS-серверу та трафік для моніторингу праці серверу –
IMCP.
Висновки. На
цей час є біля п’яти апаратних комерційних рішень для рішення проблеми
зовнішніх атак на корпоративні мережі, які мають закриті та запатентовані
рішення. Також останнім часом з’являється багато хмарних рішень, які дозволяють
дуже просто підключити свої веб-ресурси до їх сервісу, але це рішення підходить
тільки тим, хто не працює з персональними даними. Ці рішення має величезну ціну,
яку може дозволити собі не кожен бізнес, щоб захистити свої ресурси у мережі
Інтернет. Тому розроблений алгоритми та рекомендації можуть стати привабливою
альтернативою існуючим рішенням.
Рисунок 2 –
Оцінка фільтрації за мережевими протоколами
Література:
1. Ігнатенко О. Атаки на
відмову: виникнення проблеми, огляд атак, класифікація [Электронный ресурс]. —
Режим доступа: http://eprints.isofts.kiev.ua/250/1/%D0%90%D1%82%D0%B0%D0%BA%D0%B8_%D0%BD%D0%B0_%D0%B2%D1%96%D0%B4%D0%BC%D0%BE%D0%B2%D1%83.pdf
2. Worldwide
Infrastructure Security Report // Arbor Networks [Электронный ресурс]. — Режим
доступа: http://www.arbornetworks.com/report
3. Михайлюта С.Л., Степанушко
І.В., Бабич Б.О. Захист інтрамереж від DOS- та DDOS-атак [Электронный ресурс].
— Режим доступа: http://www.nbuv.gov.ua/portal/Soc_Gum/VUbsNbU/2010_3/VUBSNBU9_p309-p312.pdf