К дипломному проекту (работе) icon

К дипломному проекту (работе)



страницы:   1   2   3   4   5   6   7
скачать
МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ИНСТИТУТ ЭЛЕКТРОНИКИ И МАТЕМАТИКИ

(Технический Университет)

Кафедра Информационно-коммуникационные технологии


ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

к дипломному проекту (работе)


На тему «Разработка системы защиты от распределенных атак на отказ в обслуживании типа HTTP-flood»

Студентка Кудрявцева Алина Сергеевна _________________________________________

Руководитель проекта Игнатьев Иван Сергеевич_____________________________


Допущен к защите_________________2010 г.


^ КОНСУЛЬТАНТЫ ПРОЕКТА:

Специальная часть________________________________________________А.Г.Харламов

Охрана труда___________________________________________________________А.Ф.Завальнюк


Зав. Кафедрой____________________________________________________В.Н.Азаров


МОСКВА 2010 г.

1.Аннотация


Данный проект ставит своей целью создание интеллектуальной программной защиты от DDoS-атак типа «HTTP-flood». Произведен анализ существующих решений защиты на программном уровне и на основании полученных знаний принято решение разработать программу, которая будет классифицировать HTTP-запросы, отделяя легитимных пользователей от атакующих. Основными особенностями разрабатываемой системы будет являться:

  • Открытость исходного кода;

  • Легкая интегрируемость на любую Linux платформу;

  • Интеллектуальность системы, за счет анализа аномалий в сетевом трафике.

Программный продукт, взаимодействуя с веб-серверами Nginx (as frontend service) и Apache (as backend service) на основе операционной системы Debian Lenny 2.6., будет принимать решение о блокировании нежелательных запросов, и отправлять на блокировку межсетевому экрану netfilter (iptables). Система предназначена для выделенных серверов или виртуальных выделенных серверов (VPS – Virtual Private Server).

2.Содержание


1. Аннотация 3

2. Содержание 4

3. Введение 6

3.1. Актуальность 6

3.2. Новизна 6

4. Общая часть 7

4.1. Обзор DoS-атак 7

4.2. Крупнейшие DDoS-сети 9

4.3. След в истории (последствия атак) 9

4.4. Классификация DDoS атак 10

4.5. Методы защиты от DDoS-атак 13

4.5.1. Маршрутизация в «черные дыры» 13

4.5.2. Списки контроля доступа 14

4.5.3. Межсетевые экраны 15

4.5.4. Реакция на атаки DDoS-атаки, инициируемая вручную 16

4.5.5. Другие стратегии 17

4.6. Анализ аномалий в сети 18

4.7. Пример архитектуры защиты от DDoS-атак 20

4.8. Анализ рынка 21

4.8.1. Коммерческие решения 21

4.8.1.1. Решение от компании Cisco для защиты от DDoS-атак 21

4.8.1.2. Ados – система защиты веб-сервера от DDoS-атак 23

4.8.2. Некоммерческие Unix продукты для защиты от HTTP flood 24

4.8.2.1. Стандартный способ обнаружения атаки HTTP-flood 24

4.8.2.2. Фильтрация пакетов по URL с помощью расширения iptables 25

4.8.2.3. Фильтрация запросов из «нежелательных» стран 26

4.8.2.4. Модуль apache mod_evasive для защиты от HTTP-flood 26

4.8.2.5. Борьба с HTTP-flood средствами веб-сервера Nginx 26

4.8.2.5.1. Использование «cookie» для обнаружения «ботов» 26

4.8.2.5.2. Ограничение количества соединений с одного IP-адреса 27

4.8.2.5.3. Фильтрацию пакетов по URL 28

4.9. Наивный Байесовский классификатор 30

4.9.1. Математическая постановка задачи 31

4.10. Вывод 32

5. Специальная часть проекта 33

5.1. Проектирование системы классификации запросов 33

5.2. Настройка веб-сервера 37

5.2.1. Настройка веб-сервера Nginx в связке с Apache на Debian Lenny 37

5.2.2. Настройка модуль для записи статистики apache в СУБД MySQL 39

5.2.3. Вывод 42

5.3. Обнаружение атаки на веб-сервер 42

5.4. Схема функционирования системы 46

5.5. Алгоритм классификации запросов 48

5.5.1. Расчет вероятностей 49

5.6. Программа классификации запросов 52

6. Охрана труда 54

6.1. Введение 54

6.2. Исследование возможных опасных и вредных факторов при эксплуатации ЭВМ и их влияние на пользователей 54

6.3. Методы и средства защиты пользователей от воздействия на них опасных и вредных факторов 58

7. Вывод 66

8. Список используемой литературы 67

6. Зобнин Е. Устоять любой ценой. Методы борьбы с DoS/DDoS-атаками: 67

7. Фоменко З. Классификация DoS-атак: http://www.xakep.ru/magazine/xs/021/012/1.asp 67



^

3.Введение

3.1.Актуальность


Атаки с распределенным отказом в обслуживании – это реальная и растущая угроза, с которой сталкиваются компании во всем мире. Эти атаки реализуются большим количеством программных агентов, размещенных на хостах, которые злоумышленник скомпрометировал ранее. Реализация этих атак может привести не только к выходу из строя отдельных хостов и служб, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение работы Интернета. В связи с критичностью и нетривиальностью данного класса атак, построение эффективных средств защиты от них представляет собой сложную научно-техническую проблему. На уровне маршрутизаторов защиту от DDoS-атак уже достаточно успешно реализовали компании Cisco Systems и Arbor Networks. Но в целом проблема DDoS-атак на сегодняшний день по-прежнему очень остро стоит для большинства компаний.

3.2.Новизна


В данном проекте предлагается простое, доступное и гибкое решение проблемы DDoS-атак типа «HTTP-flood». В его основу положен популярный алгоритм анализа данных – байесовский алгоритм. Этот метод давно и эффективно используется в спам-фильтрах, которые используются повсеместно, как в бизнесе, так и домашними пользователями. В основе байесовcкого алгоритма положены элементарные законы теории вероятностей и дискретной математики и потому его реализация не представляется сложной.

^

4.Общая часть

4.1.Обзор DoS-атак


DoS-атака (от англ. Denial of Service, отказ в обслуживании) — атака на вычислительную систему с целью вывести её из строя, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. [1]

Атаку на отказ в обслуживании можно провести тремя способами:

  • используя уязвимости в программном обеспечении;

  • посылая сетевой трафик на атакуемую систему, превышающий ее пропускную способность;

  • захватывая критические системные ресурсы атакуемой системы: процессорное время и память.

Конечно, один компьютер не может переполнить канал сервера, поэтому для этого используется распределенная атака (DDoS-атака, от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»).[3]

DDoS-атака имеет иерархическую структуру – трехуровневую модель, состоящую из следующих элементов:

  • консоли управления, т.е. головного компьютера, подающего сигнал о том, что началась атака;

  • «компьютеров–демонов», которые, получив сигнал от консоли управления, передают его «зомбированным машинам»;

  • атакующих агентов – управляемых зараженных компьютеров, посылающих запросы на конечную мишень.

Общая схема иерархической структуры DDoS-атаки изображена на рис.1. Проследить такую структуру в обратном направлении и выявить адрес узла, организовавшего атаку, практически невозможно. Максимум того, что может атакуемый, это определить адреса агентов. Специальные мероприятия в лучшем случае приведут к «компьютеру-демону». Но в данной ситуации и компьютеры-агенты, и «компьютеры-демоны» сами являются пострадавшими (скомпрометированными).

«Зомби-сеть» создается путем заражения компьютеров (как правило, это домашняя машина, подключенная к выделенному каналу) троянской программой. Эта программа попадает на компьютер пользователя, чаще всего, при неосторожном обращении с электронной почтой, например, открытии вложений в письмо, или при посещении зараженного сайта, когда злоумышленник может, используя уязвимости браузера или операционной системы, установить на компьютер пользователя вредоносную программу. Такая программа может в течение долгого времени ничем деструктивным себя не проявлять. Часто владелец компьютера даже не подозревает, что его машина заражена и полностью подконтрольна кому-то невидимому.

Команда к атаке отдается, например, в чате. Хозяин пишет фразу, которая содержит адрес сайта-жертвы. Сеть «зомби-машин» начинает работать. Запросы идут из многих точек Сети, идут с высокой частотой, и сайт, который они атакуют, начинает не справляться с большим потоком обычных запросов, перестает отвечать на легитимные запросы и, наконец, зависает.[3]



^ Рис.1 Архитектора DDoS-сети




оставить комментарий
страница1/7
Дата23.11.2011
Размер0,57 Mb.
ТипДиплом, Образовательные материалы
Добавить документ в свой блог или на сайт

страницы:   1   2   3   4   5   6   7
плохо
  3
Ваша оценка:
Разместите кнопку на своём сайте или блоге:
rudocs.exdat.com

Загрузка...
База данных защищена авторским правом ©exdat 2000-2017
При копировании материала укажите ссылку
обратиться к администрации
Анализ
Справочники
Сценарии
Рефераты
Курсовые работы
Авторефераты
Программы
Методички
Документы
Понятия

опубликовать
Документы

наверх