|
|
  |
Главная страница / Архитектура отрасли АГЕНТ ОБНАРУЖЕНОбнаружение и предотвращение DDoS-атак Наиболее важный аспект распределенных нападений состоит в том, что нападающий заинтересован в скомпрометированных компьютерных системах. При наличии таких систем ему и удается реализовать задуманное. Однако если Интернет-сообщество будет уверено в безопасности каждой из имеющихся подсетей, то у злоумышленников, размещающих свои инструменты в плохо поддерживаемых системах, не останется, как говорится, шансов на «успех». В целях повышения безопасности систем необходимо придерживаться правил генерации паролей, причем это касается всех без исключения пользователей. Дело в том, что для неправомочного доступа к системам злоумышленники оперируют чаще всего слабыми паролями. Один из приемов маскировки, используемый средствами DDoS-атак, предусматривает подмену IP-адреса источника в заголовке IP-пакетов. Подмененный исходный адрес лишает целевой участок сети сведений относительно того, откуда на самом деле исходит нападение. Маршрутизатор может быть сконфигурирован таким образом, чтобы пакеты не маршрутизировались, если внутри обслуживаемой им подсети нет адреса отправителя. Средства обнаружения программного обеспечения организации DDoS-атаки Сегодня в Интернете доступны как минимум три утилиты, которые помогут обнаружить в системе компьютеры-агенты и компьютеры-руководители, а проще – «зомби», способные по сигналу начать массированную атаку выбранной жертвы. Первое средство find_ddosv31 было создано Национальным центром защиты инфраструктуры (NIPC) в США. Эта утилита функционирует под управлением операционной системы Solaris версии 2.5.1, 2.6, и 7 для процессоров Sparc и Intel, а также для Linux на платформе Intel. Версия 3.1 утилиты обнаруживает TFN2K-сервер, TFN2K-агент, Trin00-агент, Trin00-руководитель, TFN-агент, TFN-сервер, Stacheldraht- сервер, Stacheldraht-руководитель, Stacheldraht-агент и TFN-клиент. Действует утилита посредством поиска известных бинарных последовательностей (сигнатур), характерных для средств нападения. Чтобы обнаружить присутствие инструментов нападения, программа должна выполняться локально на каждом узле. Серьезный недостаток этой утилиты в том, что в последних версиях средств DDoS-атак используется технология полиморфных вирусов, затрудняющая поиск по сигнатуре. Данное средство поиска враждебного ПО может быть загружено с сайта NIPC (http://www.fbi.gov/NIPC/trinoo.htm). Один из специалистов Вашингтонского университета Дэвид Диттрич разработал инструмент DDoS_scan. Эта утилита обнаруживает Trin00-агента, tfn-агента и Stacheldraht-агента. Существующая версия программы не способна отыскать компоненты комплекса TFN2K. Утилита действует путем сканирования сети на предмет выявления в трафике управляющих пакетов взаимодействия «руководитель-агент» и поиска в них характерных бинарных строк. Причем она просматривает всю подсеть с единственного узла сети. Если исходный код программы нападения был изменен, с тем чтолибо были изменены пароли, то данный инструмент не сможет как следует справиться со своими функциями. DDoS_scan можно найти по адресу: http://staff.washington.edu/dittrich/misc/DDoS_scan.tar. Автор еще одной утилиты – Дэвид Брумлей из Стэнфордского университета предложил удаленный детектор Rid для поиска Trin00-агента, tfn-агента и Stacheldraht-агента. Rid обеспечивает просмотр стандартных портов и паролей, используемых инструментами нападения. Кроме того, он осуществляет поиск по всем узлам в сети (либо по ограниченному списку хостов) с одного из узлов. Программа использует файл конфигурации для изменения портов и сигнатуры, которые ищет Rid, а также список просматриваемых хостов. Указанный файл несложно изменить, если инструмент нападения уже обнаружен другими средствами. Порты и пароли могут быть введены в файл конфигурации путем добавления к списку поиска. Найти это средство можно по адресу: http://packetstorm.securify. com/distributed/rid-1_0.tgz. Рекомендации Чтобы препятствовать использованию компьютерных систем в качестве «зомби», необходимо удостовериться, что все системы безопасности, как говорят специалисты, актуализированы последними «заплатками» от разработчика. Очень важно также проводить соответствующую политику парольной защиты в сети. Желательно использовать схему одноразовых паролей или шифрование, чтобы не допустить злоумышленника к любой машине в сети (его цель, как известно, – установить вспомогательное программное обеспечение для доступа к остальной части сети). Кроме того, необходимо отключить все ненужные сервисы. Злоумышленники постоянно совершенствуют средства проникновения на основе выявленных уязвимостей в программном обеспечении информационных систем. Как только рождается новая технология, появляется и новая уязвимость, которую злоумышленники тут же берут на вооружение. Необходимо удостовериться, что все серверы и маршрутизаторы ведут журналы событий. По мнению ряда экспертов, инструмент Дэвида Брумлея (rid) – наиболее перспективный. Он идентичен программе Дейва Диттрича в способе обнаружения агентов. Специалисты по информационной безопасности рекомендуют использовать rid после применения DDoS_scan. Основной их аргумент – возможность включения в параметры поиска через файл конфигурации новых данных. Большинство пользователей могут изменять этот файл, в то время как для DDoS_scan модификация исходного кода – единственный способ, обеспечивающий изменение параметров поиска. Инструмент NIPC достаточно эффективен при обнаружении бинарных сигнатур для всех инструментов нападения под управлением Solaris. Следует отметить, что межсетевой экран должен быть установлен на внешней границе сети. Такие экраны могут быть конфигурированы так, чтобы фильтровать и регистрировать поступающий и исходящий трафик. Они позволят предотвратить использование некоторых протоколов на входе или выходе из подсети. Например, весь ICMP-трафик может быть заблокирован (на входе или выходе из подсети), что позвиспользуемые агентами для связи и координации работы. По мнению ряда экспертов, маршрутизаторы должны быть сконфигурированы так, чтобы весь исходящий трафик был проверен и вы смогли удостовериться, что источник IP-пакета принадлежит подсети, обслуживаемой этим маршрутизатором. Одним из подразделений по компьютерной безопасности Ливерморской национальной лаборатории Министерства энергетики США разработан руководящий документ RFC 2267, описывающий способы использования указанного приема для ограничения эффективности и возможностей нападения DDoS (см. http://www.landfield.com/rfcs/rfc2267.html). Данный метод не сможет остановить DDoS-атаки, однако поможет в расследовании обратного пути пакетов к их источнику. Такая конфигурация могла бы выступить в роли предупреждающей системы на случай, если подсеть используется для атаки. Любой из методов нападения провоцирует значительный объем трафика, поступающего назад к агенту. Этот трафик должен инициировать не только генерацию сигнала программным обеспечением обнаружения вторжения, но и слежение за пакетами. Возможно, он в состоянии разорвать связь с маршрутизатором, чтобы не причинить вреда целевому участку сети. Компания Cisco опубликовала так называемую «Белую книгу», в которой рассматриваются приемы противодействия DDoS-атакам, а также приводятся рекомендации, как собрать необходимую для расследования информацию путем изменения конфигурации маршрутизаторов в каждой из подсетей. Это издание можно найти по адресу: http://www.Cisco.com/warp/public /707/newsflash.html*prevention. В заключение хотелось бы обратить внимание вот на что. Когда сеть уже участвует в DDoS-атаке против другого участка сети, необходимо отключить от базовой сети системы, действующие в роли агентов. Если их не удастся обнаружить оперативно, то, возможно, придется отключить от внешней сети и маршрутизатор. Это позволит остановить большинство разрушающих пакетов, в то время как агенты продолжат генерировать трафик, что обеспечит возможность их обнаружения. Не забывайте также, что злоумышленник имеет почти полный контроль над компьютером-«зомби». Главная страница / Архитектура отрасли |