Внедрение облачных вычислений как метод предотвращения ddoS-атак

Вид материалаДокументы
Подобный материал:
Кадыров Мемет Рустамович

Республиканское высшее учебное заведение «Крымский инженерно-педагогический университет» (КИПУ). г. Симферополь (Украина).

info@bymk.com.ua

Профессор, д.т.н., Андрей Иванович Труфанов

Иркутский государственный технический университет (Россия).

troufan@istu.edu

Умеров Рустем Амдиевич

Республиканское высшее учебное заведение «Крымский инженерно-педагогический университет» (КИПУ). г. Симферополь (Украина).

rustem.amdy.umerov@gmail.com

Внедрение облачных вычислений как метод предотвращения DDoS-атак

DDoS-атака - сокращение от Distributed Denial Of Service Attack. Особенностью данного вида компьютерного преступления является то, что злоумышленники не ставят своей целью незаконное проникновение в защищенную компьютерную систему с целью кражи или уничтожения информации. Цель данной атаки - парализовать работу атакуемого веб-узла. Первые сообщения о DDoS-атаках относятся к 1996 году. Но всерьез об этой проблеме заговорили в конце 1999 года, когда были выведены из строя веб-серверы таких корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других, немногим менее известных. Спустя год, в декабре 2000-го "рождественский сюрприз" повторился: серверы крупнейших корпораций были атакованы по технологии DDoS при полном бессилии сетевых администраторов. С тех пор сообщение о DDoS-атаке уже не являются сенсацией. Главной опасностью здесь является простота организации и то, что ресурсы хакеров являются практически неограниченными, так как атака является распределенной [1].

По мнению многих экспертов и специалистов, работающих в сфере предоставления хостинг-услуг защититься от ddos атак практически невозможно. В первую очередь причиной тому является то, что атаки являются распределенными, и проследить, а главное предотвратить такой вид терроризма в области IT является процессом трудоёмким и технически сложным.

На сегодняшний день существуют следующие виды DDoS-атак:
UDP flood — отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol). Этот метод использовался в ранних атаках и в настоящее время считается наименее опасным. Программы, использующие этот тип атаки легко обнаруживаются, так как при обмене главного контроллера и агентов используются нешифрованные протоколы TCP и UDP.
TCP flood — отправка на адрес мишени множества TCP-пакетов, что также приводит к «связыванию» сетевых ресурсов.
TCP SYN flood — посылка большого количества запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.
Smurf-атака — пинг-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки с использованием в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки.
ICMP flood — атака, аналогичная Smurf, но без использования рассылки. [4]

Схема DDoS-атак такая: на выбранный в качестве жертвы сервер обрушивается огромный поток ложных запросов со множества компьютеров с разных концов света одновременно. Это может быть как UDP flood так и более сложная Smurf-атака.  В результате сервер тратит все свои ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей. И что самое интересное и опасное, что пользователи, с компьютеров которых направляются ложные запросы, могут даже не догадываться о том, что их машина используется хакерами. И такие компьютера принято называть «зомби» или «зомбированные компьютеры». Известно множество путей «зомбирования» – от проникновения в незащищенные сети, до использования программ-троянцев. Особенно уязвимыми в этом плане являются локальные сети предприятий и учебных организаций, имеющие постоянное широкополосное подключение к Интернету. Связано это с наличием в них скоростных каналов связи и относительно слабой антивирусной защитой.

Предлагается рассмотреть вариант внедрения облачных технологий, как один из методов защиты от DDoS-атак как в дата-центрах, предоставляющих хостинг услуги, так и в корпоративные компьютерных сетях.

Как это работает?

Суть концепции облачных вычислений заключается в предоставлении конечным пользователям удаленного динамического доступа к услугам, вычислительным ресурсам и приложениям (включая операционные системы и инфраструктуру) через интернет. Развитие сферы хостинга было обусловлено возникшей потребностью в программном обеспечении и цифровых услугах, которыми можно было бы управлять изнутри, но которые были бы при этом более экономичными и эффективными за счет экономии на масштабе [3].

Залогом успешной защиты от DDoS-атак можно считать:
  1. назначение собственного IP-адреса для всех физических серверов, образующих единое платформенное облако;
  2. маскировку IP-адресов каждого из серверов.

В результате DDoS-атака будет направлена не на один сервер, а лишь на малую часть единого информационного облака. Для того, чтобы уменьшить риск атаки на каждый отдельный узел такого облака предлагается своего рода система дренажа или фильтрации трафика, а также использование логических балансировщиков [2].

Суть работы такого логического балансировщика заключается в следующем.

Балансировщик предназначен для переадресации клиентских запросов на наименее загруженный или наиболее подходящий сервер из группы машин, на которых хранится единая облачная платформа. Клиент не подозревает о том, что обращается к целой группе серверов: все они представляются ему в виде некоего единого виртуального сервера. Предположим для примера, что мы обслуживаем один Web-сайт и имеем при этом два Web-сервера: site1.abc.com с IP-адресом 193.168.111.1 и site2.abc.com с IP-адресом 193.168.111.2. Эту конфигурацию иллюстрирует Рисунок 1. Представляя этот сайт пользователям Internet, система балансировки нагрузки использует имя виртуального компьютера (пусть это будет имя www.abc.com), а также виртуальный IP-адрес 193.168.111.10. Чтобы связать имя виртуальной системы и соответствующий виртуальный IP-адрес с двумя нашими Web-серверами, мы должны опубликовать имя системы и ее виртуальный IP-адрес на сервере DNS. Система балансировки нагрузок постоянно контролирует нагрузки и степень готовности каждого из Web-серверов. Когда на узел ссылка скрыта заглядывает посетитель, его запрос поступает не на один из Web-серверов, а в систему балансировки нагрузки. Эта система и принимает решение о том, на какой сервер направить запрос. При этом она руководствуется такими критериями, как загрузка каждого подопечного сервера, а также соблюдает условия и правила, сформулированные администратором. Затем система балансировки нагрузки направляет запрос клиента соответствующему серверу (как правило, она же направляет ответ сервера клиенту, но это зависит от конкретной реализации). [5]

Говоря простым языком, противостоять DDoS-атакам можно оружием самого атакующего. DDoS-атак является распределенным процессом, таким образом и защититься от него можно путем распределения сотни тысяч процессов на различных серверах в дата-центрах.

Литература
  1. Автор: Владимир Малярчук. Источник: ссылка скрыта
  2. ссылка скрыта
  3. ссылка скрыта
  4. ссылка скрыта
  5. по статье ТАО ЧЖОУ ссылка скрыта, #03/2000