1.1.3. Особенности построения информационно-телекоммуникационных систем

Если рассмотреть ИТКС в обобщенном виде, то можно выделить несколько элементов, присутствие которых в любой ИТКС обязательно. К таким элементам относятся: компьютеры с сетевыми адаптерами, коммуникационные элементы самого различного назначения, средства приема и передачи данных, средства отображения и хранения информации, помещения, где располагается большинство узлов ИТКС [64, 66].

Обеспечение информационной безопасности ИТКС осуществляется исходя из понятий угроз информационной безопасности и риска.

При построении обобщенной модели анализа защищенности ИТКС следует подробно рассмотреть следующие вопросы:

• классификации угроз информационной безопасности ИТКС;

• определения видов представления информации, подлежащей защите в ИТКС и возможных каналов ее утечки;

• создания модели вероятного нарушителя.

Для оценки эффективности синтеза системы важно определить основные принципы, в соответствии с которыми обосновывается принимаемое решение. Рассмотрим основные принципы принятия решений по управлению рисками при синтезе ИТКС.

1. Принцип приемлемого риска. В основе практических мероприятий по оценке рисков лежит концепция приемлемого риска. В соответствии с ней в процессе управления риска используется пороговые уровни, которые считаются приемлемыми. В данном случае целью процесса управления является снижение риска до такого уровня. Таким образом, уровень риска должен удовлетворять следующему условию [80,85]:

.

2. Принцип экономического обоснования. Состоит в применении критерия «затраты – выгоды – риск». Он заключается в том, что принятие решений о проведении операций, связанных с потенциально опасными объектами, должно быть обосновано [60]:

,

где: – выгоды от проведения операции, – затраты (инвестиции), а – величина, характеризующая риск.

Очевидно, что экономически обоснованным является решение, для которого величина , . В случае если для всех решений, принятие каких-либо управленческих решений необоснованно, то есть в этом случае необходимо использовать стратегию уклонения или игнорирования рисков [99].

3. Принцип оптимизации. Заключается в том, что в условии ограниченных ресурсов имеет смысл проводить только действия, приводящие к экономическому выигрышу, на реализацию которых хватает ресурсов [39].

1.2. Распределенные атаки типа «отказ в обслуживании» как угроза безопасности в информационно-телекоммуникационных системах

1.2.1. Классификация механизмов реализации dDoS-атак

DDoS-атаки направлены на ограничение доступа легитимных пользователей к ресурсам ИТКС. Необходимо большое количество компьютеров для реализации распределенной атаки типа «отказ в обслуживании». Атакуемый объект ИТКС приводится в неработоспособное состояние путем отправления ему потока «пустых» пакетов, каждый из которых обрабатывается им с затратами соответствующих ресурсов, так что он становится недоступным для легитимных пользователей. На рис. 1.1 показана классификация механизмов DDoS-атак [101].

Механизмы реализации DDoS-атак

Рис. 1.1. Классификация механизмов реализации DDoS-атак

Классификация механизмов реализации удаленных атак типа «отказ в обслуживании» учитывает характеристики атак, которые используются при подготовке и проведении атаки, а также свойства самой атаки и эффект, который она оказывает на атакуемый объект.

Классификация по степени автоматизации поиска потенциальных хостов-зомби

Во время подготовки к атаке, злоумышленнику нужно определить местоположения будущих хостов-зомби и заразить их вредоносным ПО. Механизмы реализации DDoS-атак, по типу автоматизации поиска, можно разделить на ручные, полуавтоматические и автоматические.

1. С ручным поиском.

Только первоначальные механизмы реализации DDoS-атак можно отнести к данной категории. Злоумышленник сканирует удаленные машины на уязвимости, взламывает их и устанавливает вредоносное ПО, а потом пересылает зараженным машинам команду на атаку объекта. Все эти действия вскоре стали автоматизированными и привели к возникновения полуавтоматических механизмов реализации DDoS-атак.

2. С полуавтоматическим поиском.

При реализации полуавтоматических атак, сеть из хостов-зомби включает, помимо зараженных хостов, управляющую машину. Злоумышленник рассылает автоматические управляющие команды (скрипты) для сканирования и компрометации удаленных хостов и установки на них вредоносного ПО. Он также использует управляющую машину для точного определения вида атаки и адреса атакуемого объекта, рассылает команду начала атаки хостам-зомби, которые посылают большое количество пакетов жертве.

Механизмы реализации атак, базирующиеся на связи, развернутой между хостами-зомби и управляющими машинами, можно разделить на полуавтоматические с непосредственной связью и с опосредованной связью.

2.1) С непосредственной связью.

В процессе реализации атак с непосредственной связью, хост-зомби и управляющая машина должны знать идентификационную информацию друг друга для осуществления взаимодействия. Это достигается путем жестко запрограммированного (не предусматривающего внесения изменений, настройки и т.п.) IP-адреса управляющей машины в коде вредоносного ПО, отправляемого и впоследствии устанавливаемого на зараженный хост. Каждый хост-зомби впоследствии пересылает адрес управляющей машины новым заражаемым хостам, которые записывают его в файл для последующего взаимодействия.

Очевидным недостатком данного механизма реализации атак является то, что зная одну зараженную машину, можно разоблачить всю зараженную сеть, которая используется для проведения DDoS-атак. К тому же, когда хосты-зомби и управляющие машины начинают окружающую сеть с целью увеличения количества зараженных хостов, они становятся видимыми для межсетевых сканеров.

2.2) С опосредованной связью.

Механизмы реализации атак с опосредованной связью увеличивают степень скрытости взаимодействия хостов для повышения выживаемости зараженной сети, которая используется для проведения DDoS-атак. Некоторые атаки продемонстрировали использование IRC-каналов для взаимодействия хоста-зомби с управляющей машиной. Протокол IRC переопределяет функции управляющей машины, с помощью которой IRC-канал предоставляет достаточный уровень анонимности для злоумышленника. Как только хосты-зомби устанавливают опосредованные соединения с использованием порта, который используется для легитимного сетевого взаимодействия, трафик взаимодействия хостов-зомби с управляющим хостом стало сложно различить с легитимным сетевым трафиком. Однако без установления такого соединения, хосты-зомби легко обнаружимы для межсетевых экранов. Контроль над зараженной сетью осуществляется с помощью IRC-канала. Таким образом, раскрытие одного хоста-зомби может привести к раскрытию не более одного IRC-сервера и имени канала, который используется в зараженной сети для проведения DDoS-атак. То есть идентификация зараженных сетей, используемых для проведения DDoS-атак, основана на возможности определения пути связи хоста-зомби с IRC-сервером. Протокол IRC является только примером опосредованного взаимодействия, злоумышленники могут использовать и другие протоколы для аналогичных целей.

3. Автоматические.

Данный механизм реализации DDoS-атак является автоматическим на фазе реализации атаки, таким образом, исключается взаимодействие между злоумышленником и хостом-зомби. Конкретный вид атаки, продолжительность и адрес атакуемого объекта закладываются во вредоносном ПО. Очевидно, что механизм расширения сети при использовании данного механизма предполагает высокую степень анонимности злоумышленника, ему необходимо запустить лишь одну команду – команду начала атаки. Жестко запрограммированные условия предполагают специфическое использование зараженной сети для проведения определенного вида DDoS-атак. Тем не менее, злоумышленники обычно оставляют «черный вход» на компрометированном хосте, что дает возможность легкого доступа и модификации вредоносного ПО впоследствии.

И в полуавтоматических и в автоматических механизмах реализации DDoS-атак хосты заражаются путем автоматического сканирования и распространения вредоносного ПО.

Механизмы реализации DDoS-атак можно также классифицировать по типу сканирования на основанные на случайном методе сканирования, сканировании списка потенциальных жертв, топологическом сканировании, сканировании путем перестановки и локальном сканировании подсети. Злоумышленники обычно комбинируют способы сканирования, так как это дает возможность получить в зараженную сеть больше хостов-зомби.

3.1) Механизм реализации атак, основанный на случайном методе сканирования.

В процессе случайного сканирования каждый компрометированный хост анализирует свое адресное пространство случайным образом. При использовании данного типа сканирования хосты-зомби могут создать большой поток трафика, когда они сканируют одинаковые адреса.

3.2) Механизм реализации атак, основанный на сканировании списка потенциальных жертв.

Хост-зомби в процессе данного сканирования анализирует все свое адресное пространство. Когда он замечает уязвимый хост, он посылает первую половину начального списка потенциальных жертв адресату и сохраняет у себя вторую половину. Этот способ позволяет увеличить скорость распространения и исключает сканирование одинаковых хостов.

3.3) Механизм реализации атак, основанный на топологическом сканировании.

Топологическое сканирование использует информацию, расположенную на компрометированном хосте для выбора новых целей для заражения. Все почтовые черви используют топологическое сканирование, просматривая информацию из адресных книг для дальнейшего распространения.

3.4) Механизм реализации атак, основанный на сканировании путем перестановки.

В процессе данного сканирования все компрометированные хосты делятся общей псевдослучайной перестановкой адресного пространства. Каждый IP-адрес отображается как индекс в этой перестановке. Хост-зомби начинает сканирование, используя индекс, рассчитанный из его IP-адреса как точка отсчета. Каждый раз, когда он видит уже зараженную машину, он выбирает новую случайную стартовую точку. Таким образом, обеспечивается частично координированное, всестороннее сканирование.

3.5) Механизм реализации атак, основанный на локальном сканировании подсети.

Данный способ сканирования может дополнять любой из вышеперечисленных способов сканирования для поиска и заражения хостов в сети. Одна копия вредоносной программы, которая использует данный способ сканирования, может скомпрометировать множество уязвимых хостов, находящихся за межсетевым экраном.

Автоматические и полуавтоматические механизмы реализации DDoS-атак по способу распространения вредоносного ПО можно разделить на использующие распространение от первичного источника, распространение по цепочке и автономное распространение [101].

3.6) Механизм реализации атак, использующий распространение от первичного источника.

Вредоносное ПО располагается на центральной управляющей машине или некотором множестве управляющих машин. После компрометации очередного хоста, вредоносное ПО загружается на него из первичного источника через механизм обмена файлами.

3.7) Механизм реализации атак, использующий распространение по цепочке.

Зараженный хост становится источником для последующего шага распространения зараженной сети. Данный вид воспроизведения обладает более высокой степенью отказоустойчивости, так как потеря одного хоста в сети не приведет к существенному замедлению заражения сети.

3.8) Механизм реализации атак с автономным распространением.

Расширение зараженной сети происходит посредством автоматического распространения вредоносного ПО от ранее зараженного хоста к вновь зараженному автоматически.

Классификация по используемой уязвимости

Основываясь на используемой уязвимости, можно подразделить все механизмы реализации DDoS-атак на две группы: реализации атак по протоколам и реализации атак посредством грубой силы.

1. Механизм реализации DDoS-атак по протоколам.

Особенность данного механизма реализации атак заключается в том, что злоумышленники используют специфичные свойства или ошибки реализации некоторых сетевых протоколов, установленных на атакуемом объекте ИТКС для чрезмерного расхода их ресурсов. К такому типу атак относятся атаки типа TCP SYN, атаки СGI request и атаки Аuthentication server.

При атаке TCP SYN используемая уязвимость – превышение количества полуоткрытых соединений TCP SYN-запросами. При атаке СGI request злоумышленник занимает процессорное время жертвы используя множественные CGI запросы. При атаке Аuthentication server атакующий использует факт того, что для верификации подключения сервер тратит значительно больше ресурсов чем злоумышленник для генерации ложной сигнатуры. Он отравляет многочисленные ложные запросы аутентификации на сервер пытаясь привести его в недоступное состояние.

2. Механизм реализации DDoS-атак посредством грубой силы.

Атаки выполняются посредством отправки большого количества легитимных по внешнему виду запросов. Исходящий трафик, генерируемый в сеть, может зачастую быть больше трафика, который может обработать атакуемый объект ИТКС и это приводит к исчерпанию его ресурсов и, вследствие этого, его перехода в недоступное состояние.

Данные механизмы реализации атак можно подразделить на две категории по зависимости содержания пакетов: фильтруемые и не фильтруемые.

2.1) Фильтруемые.

Фильтруемые атаки используют некорректные пакеты и таким образом могут быть отфильтрованы посредством межсетевого экрана. Примером таких атак являются атака UDP-flood или атака ICMP-flood на Web-сервер.

2.2) Не фильтруемые.

Не фильтруемые атаки используют пакеты, которые не содержат некорректных данных. Таким образом, фильтрация всех пакетов, которые могут быть сигнатурами атаки, приведет к немедленному отказу в обслуживании и для злоумышленника, и для легитимных пользователей. Примером таких атак является атака HTTP-flood или DNS-flood.

Линия, разделяющая механизмы реализации DDoS-атак, реализуемых по протоколам, и атак грубой силы, является довольно тонкой. Атаки по протоколам также перегружают ресурсы атакуемого объекта ИТКС чрезмерным трафиком, а ошибки в создании протоколов приводят к тому, что серверы становятся уязвимыми для атак грубой силы. Примером подобных атак являются атака DNS-request [108] и атака Smurf [106].

Отличие заключается в том, что жертва может смягчать последствия атаки по протоколам посредством модификации самих протоколов. Подобный способ смягчения атаки бесполезен против DDoS-атак грубой силы.

Модификации протоколов жертвой переводит атаку по протоколам в атаку грубой силы. К примеру, если жертва использует TCP SYN cookie [116] для противодействия атакам TCP SYN, она остается уязвимой к атаке TCP SYN, которая посылает множество запросов к жертве, которые та не в силах обработать. Тем не менее, при проведении атак грубой силы, злоумышленнику необходимо сгенерировать куда больший объем пакетов для достижения отказа в обслуживании, чем при атаке по протоколам. Таким образом, модифицируя свои протоколы, жертва повышает собственную защищенность.

Важно отметить, что содержание пакетов, при помощи которых производятся атаки, формируются из расчета на различную защищенность атакуемого объекта. Пакеты, предназначенные для атак по протоколам или не фильтруемых атак грубой силы должны содержать поля, которые будут аналогичны полям в легитимных пакетах. К примеру, для проведения атаки TCP SYN нельзя изменять протокол или флаги полей отправляемых пакетов, а пакеты, используемые для атаки HTTP-flood, должны принадлежать зарегистрированному TCP-соединению и по этой причине не могут модифицировать адрес источника в силу того, что соединения созданы для легитимных пользователей.

Классификация по направлению воздействия

Основываясь на направлении воздействия DDoS-атак на жертву, можно разделить механизмы их реализации на два типа: направленные на захват всех ресурсов жертвы и захват части ресурсов жертвы.

1. Направленные на захват всех ресурсов жертвы.

Целью атак данного типа является полный отказ в обслуживании атакуемого объекта ИТКС для всех клиентов. Все известные DDoS-атаки можно отнести к данной категории.

2. Направленные на захват части ресурсов жертвы.

Целью таких атак является захват части ресурсов жертвы. Они не приводят к полному отказу в обслуживании и могут оставаться незамеченными в течение продолжительного времени. С другой стороны, ущерб, наносимый атакуемому объекту, может быть значительным. К примеру, атака, которая захватывает 30% ресурсов жертвы, может привести к отказу в обслуживании определенному количеству клиентов в периоды высокой загрузки Web-сервера и замедлению скорости работы сервера для остальных пользователей. Некоторые клиенты, неудовлетворенные качеством обслуживания, могут перейти к конкуренту жертвы. Если ошибки загрузки, вызванные атаками данного типа, повторяются постоянно, владелец ИТКС может потратить значительные средства на улучшение работы серверов и сетей.