4.2. Моделирование процесса реализации атаки «Отказ в обслуживании» (syn-flood)
SYN-flood атаки, известные также как TCP-flood атаки, обычно осуществляются против серверов. Основная задача таких атак — отказ в обслуживании (DoS). Злоумышленник посылает большое количество SYN-пакетов на целевой хост по порту сервиса, который он хочет приостановить, от имени произвольных IP-адресов [3]. Так как SYN-пакеты используются в тройном рукопожатии при установлении TCP-соединения, целевой хост отвечает на них пакетами SYN-ACK, резервирует место в буфере под каждое соединение и ждет ответного пакета ACK, который должен завершить соединение, в течение некоторого промежутка времени [2,3,40].
Пакет-подтверждение SYN-ACK передается на ложный адрес источника SYN-пакета, в произвольную точку сети и либо вовсе не найдет адресата, либо будет просто проигнорирован. В результате, при постоянном потоке SYN-запросов, целевой хост будет постоянно держать свой буфер заполненным ненужным ожиданием завершения полуоткрытых ложных соединений и не сможет обработать SYN-запросы от настоящих легальных пользователей.
Смоделируем данную атаку с помощью сети Петри-Маркова. Обозначения элементов этой сети приведены ниже, si — позиции, tj — переходы:
s1 — C готов,
t1 — запуск и настройка программы для SYN-flood,
s2 — A готов принять пакеты SYN с несуществующим обратным адресом в очередь неоткрытых соединений,
s3 — программа запущена и настроена,
t2 — отправка пакетов SYN и постановка их в очередь A,
s4 — запросы поставлены в очередь ожидаемых соединений A,
t3 — переполнение очереди A,
s5 — A не в состоянии обрабатывать другие запросы.
Вид данной сети представлен на рис. 4.5.
Рис. 4.5. Вид сети Петри-Маркова для атаки SYN-flood
Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:
Для данной сети Петри-Маркова имеет место следующая система интегро-дифференциальных уравнений [60,62]:
(4.6)
Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид (4.2) при i1,…,5; j1,…,3: fsitjijeijt.
Для оценки среднего времени реализации данной атаки необходимо учесть следующие показатели: s — размер очереди для полуоткрытых TCP-соединений, T — время нахождения соединения в очереди, R — интенсивность посылки SYN-пакетов злоумышленником.
Необходимо вычислить число повторений отправки злоумышленником пакетов, которое приведет к переполнению очереди атакуемого хоста. В случае, когда TRs это число n≤s.
Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
32nT,
11132,
(4.7)
243,
где исходные параметры атаки принимают следующие значения:
1111 с — среднее время настройки программы,
s10 — размер очереди соединений для Windows XP,
Tс75 с — среднее время ожидания установления соединения,
R100 — число SYN-пакетов, поступающих в очередь за секунду.
Таким образом, злоумышленнику необходимо повторить передачу SYN-пакета в среднем n10 раз.
Среднее время подготовки, отправки и постановки пакета в очередь с учетом интервала между пакетами равно Tп0,015 с.
Без применения мер защиты от данной атаки время перехода атакуемого хоста в недоступное состояние стремится к нулю: 32→0. Тогда среднее время перехода по всей сети равно:
nT11100,0151111,15 c.
Зависимость вероятности реализации атаки от времени приобретает вид, представленный на рис. 4.6.
P(t)1et/11,15
P(t)
Рис. 4.6. Зависимость вероятности реализации атаки SYN-flood от времени
Особое внимание следует уделить тому, что данная зависимость учитывает этап запуска и настройки программы, который имеет гораздо большее среднее время, чем все остальные этапы.
Рассмотрим вероятностные характеристики реализации атаки при применении мер противодействия.
1. Использование межсетевого экрана (для межсегментной атаки). В настоящее время работа по противодействию таким атакам возложена на межсетевые экраны. Когда извне приходит SYN-пакет, межсетевой экран не пропускает его во внутреннюю сеть, а сам отвечает на него от имени сервера назначения. Если соединение с внешним клиентом все же устанавливается, то он создает соединение с сервером от имени клиента, и в дальнейшем выступает как невидимый посредник, о котором ни внутренний сервер, ни внешний клиент не догадываются [49].
В случае если ответ от клиента на SYN-ACK-пакет в определенный промежуток времени не получен, то оригинальный SYN-пакет не будет передан внутрь сети.
Для данной модели применение межсетевого экрана влечет уменьшение вероятности 22 перехода d22, значение которой зависит от типа и особенностей функционирования сети и межсетевого экрана.
2. Использование механизма SYN-cookies. При использовании SYN-cookies в качестве меры противодействия рассматриваемой атаке при данной интенсивности запросов хост остается доступным для легитимных соединений даже при переполнении очереди ожидания, защищаемый хост становится практически неуязвим к атаке SYN-flood [51]. В рассматриваемой модели это выражается как стремление вероятности 34 перехода d11 к нулю.
3. Уменьшение времени ожидания ответов. При уменьшении времени ожидания ответов до 10 с, n10.1, что существенно не изменяет вероятность реализации атаки при данном размере очереди и интенсивности.
4. Увеличение очереди запросов. При увеличении очереди запросов (например, при установке ОС Windows Server 2003, s65000) для успешной реализации атаки интенсивность запросов должна иметь такое значение, при котором очередь заполнится до истечения времени ожидания соединения, поскольку затем пакеты будут удаляться из очереди с такой же интенсивностью, т.е. Rs/Tс, в данном случае R866 при Tс75, что больше соответствует распределенной атаке с участием нескольких машин злоумышленника (DDoS).
Для размера очереди s65000 и интенсивности атак R1000 среднее время реализации атаки 88 с, а вид зависимости показан на рис. 4.7.
P(t)1et/88
P(t)
Рис. 4.7. Зависимость времени реализации атаки SYN-flood при увеличенной очереди ожидания соединений и интенсивности запросов 1000 в секунду
При динамическом увеличении очереди запросов время и возможность реализации атаки определяется ресурсами системы. Известно, что для поддержания одного полуоткрытого соединения в очереди ОС может требоваться память до 30 кбайт, поэтому при наличии на хосте серверной ОС имеется возможность поддерживать ожидание достаточно большого числа соединений.