Способ защиты сервера услуг от ddos атак

Изобретение относится к области обеспечения безопасности сетей связи и может быть использовано для защиты серверов услуг от DDoS атак.

Введем основные понятия, используемые в данной области техники.

«Черный» список IP-адресов - это пользовательская база данных IP-адресов, сообщения с которых будут блокироваться (см. 1. Электронный ресурс. Режим доступа: http://support.gfi.com/manuaIs/ru/me2014/Content/Admini-strator/Anti-Spam/Anti-Spam_Filters/IP_Blocklist.htm).

Альтернативой «Черного» списка является «Белый» список IP-адресов (см. 2. Электронный ресурс. Режим доступа: http://dic.academic.ru/dic.nsf/ruwiki/701664/Черный_список).

Сетевой трафик - объем информации, передаваемой через компьютерную сеть за определенный период времени посредством IP-пакетов, (см. 3. А. Винокуров Принципы организации учета IР-трафика. Электронный ресурс. Режим доступа: http://habrahabr.ru/post/136844).

Известна система и способ уменьшения ложных срабатываний при определении сетевой атаки, (см. 4. патент РФ на изобретение №2480937, М.кл. H04L 29/06, G06F 15/16, G06F 21/30, опубл. 27.04.2013 г. Бюлл. №12). Способ заключается в том, что перенаправляют трафик к сервису на сенсоры и центры очистки, обрабатывают на сенсорах все запросы к сервису с дальнейшим агрегированием полученной информации, обновляют правила фильтрации на коллекторах, используя полученную от сенсоров информацию, корректируют обновленные правила фильтрации с помощью управляющего модуля на основании статистики предыдущих сетевых атак, фильтруют трафик на центрах очистки, используя заданные правила фильтрации.

Недостатком известного способа является низкая защищенность сервиса при сетевой атаке из-за отсутствия резервирования и дополнительного анализа «Черного» списка IP-адресов.

Известен также способ защиты элементов виртуальных частных сетей связи от DDoS-атак (см. 5. патент РФ на изобретение №2636640, М.кл. G06F 21/55, G06F 21/62, H04L 12/28, G06F 11/30 опубл. 27.11.2017 г. Бюлл. №33.) заключающийся в том, что в базу данных заносят «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, в которой «Белые» и «Черные» списки IP-адресов задаются на основе поведенческих критериев, включающих анализ измеренных параметров атак, фильтрацию сетевого трафика для защиты сервиса от сетевых атак, содержащий этапы, на которых перенаправляют трафик к сервису на сенсоры и центры очистки, обрабатывают на сенсорах все запросы к сервису с дальнейшим, агрегированием полученной информации, обновляют правила фильтрации на коллекторах, используя полученную от сенсоров информацию, корректируют обновленные правила фильтрации с учетом статистики предыдущих сетевых атак, фильтруют трафик на центрах очистки, используя заданные правила фильтрации, при этом центры очистки подключены к магистральным каналам связи по каналам с высокой пропускной способностью, при обнаружении атаки прогнозируют влияние атаки на элемент VPN, «Белые» списки IP-адресов своевременно дополняются при появлении новых IP-адресов, осуществляют сбор статистики о функционировании VPN.

Недостатком известного способа является низкая защищенность сервера услуг, связанная с необходимостью значительного времени для его восстановления и отсутствием дополнительного анализа «Черного» списка IP-адресов, для соблюдения их актуальности.

Наиболее близким по технической сущности и выполняемым функциям аналогом (прототипом) к заявленному способу является способ защиты сервера услуг от DDoS атак (см. 6. патент РФ на изобретение №2679219, М.кл. H04L 29/06, опубл. 06.02.2019 г. Бюлл. №4.) заключающийся в том, что формируют резервный сервер, сервер оповещения и подключают их по независимому каналу к сети связи, а так же задают максимальную производительность сервера услуг, далее во время мониторинга сетевого трафика определяют и записывают данные о текущих соединениях сервера услуг, после чего рассчитывают текущую нагрузку на сервер услуг и сравнивают ее с максимальной производительностью, если текущая нагрузка на сервер услуг превышает заданную максимальную производительность сервера услуг, то передают с сервера оповещения служебные команды о переводе узлов из «Белого» списка IP-адресов на резервный сервер, и записывают IP-адреса с которых происходило обращение к серверу услуг в массив памяти M1, после чего сбрасывают все соединения из «Белого» списка IP-адресов, восстанавливают функционирование сервера услуг, для чего включают его для сброса и осуществляют дополнительный анализ сетевого трафика, при этом записывают IP-адреса с которых происходило поступление запроса на соединение с сервером услуг в массив памяти М2, затем выделяют IP-адреса из массива памяти М2 которые совпали с IP-адресами из массива памяти M1, и записывают их в «Черный» список IP-адресов, после обновления правил фильтрации с учетом откорректированного «Черного» списка IP-адресов, в случае продолжения атаки осуществляют взаимодействие узлов «Белого» списка IP-адресов с резервным сервером, а в случае окончания атаки передают служебные команды о переводе узлов «Белого» списка IP-адресов на основной сервер, после чего осуществляют дальнейшее функционирование сервера услуг с учетом откорректированного «Черного» списка IP-адресов.

Техническая проблема заключается в низкой защищенности сервера услуг связанная с необходимостью значительного времени для его восстановления и использования резервного, а также недостаточностью дополнительного анализа при формировании «Черного» списка IP-адресов.

Техническим результатом является повышение защищенности сервера услуг, за счет непрерывности обслуживания «Белого» списка IP-адресов, переводя на резервный сервер только соединений к данному списку не относящихся, а также расширение дополнительного анализа «Черного» списка IP-адресов используя временные параметры их формирования.

Технический результат достигается тем, что в способе защиты сервера услуг от DDoS атак, заключающийся в том, что создают управляющий модуль, который использует «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, при этом «Белые» списки IP-адресов задаются на этапе формирования управляющего модуля, задают правила фильтрации сетевого трафика, формируют резервный сервер, так же задают максимальную производительность сервера услуг, далее во время мониторинга сетевого трафика определяют и записывают данные о текущих соединениях сервера услуг, после чего рассчитывают текущую нагрузку на сервер услуг и сравнивают ее с максимальной производительностью, после формирования «Черного» списка IP-адресов обновляют правила фильтрации сетевого трафика, после чего осуществляют дальнейшее функционирование сервера услуг с учетом откорректированного «Черного» списка IP-адресов, согласно изобретению после сравнения максимальной производительности с текущей нагрузкой на сервер услуг, в случае ее превышения переключают текущие соединения сервера услуг, кроме узлов из «Белого» списка IP-адресов на резервный сервер, затем каждому соединению на резервном сервере присваивают численный идентификатор i={1…I}, после чего сбрасывают текущее соединение на резервном сервере имеющее первый идентификатор, далее осуществляют мониторинг сетевого трафика на резервном сервере, вычисляют промежуток времени t₁ до повторного запроса на восстановление соединения имеющее первый идентификатор, и записывают его в массив памяти Т, затем последовательно для всех соединений на резервном сервере сбрасывают текущее соединение i, далее осуществляют мониторинг сетевого трафика, и при повторном запросе на соединение с текущим идентификатором вычисляют для них промежутки времени t_i, которые записывают в массив памяти T, в сформированном массиве Τ проверяют наличие совпадений значений промежутком времени t_i, и при их совпадении объединяют идентификаторы соединений в соответствующие массивы P_j, далее из полученных массивов P_j формируют дополнительный «Черный» список IP-адресов, после обновления правила фильтрации сетевого трафика переключают соединения, не принадлежащие массивам P_j с резервного сервера на основной сервер услуг, затем сбрасывают все соединения на резервном сервере, после чего осуществляют дальнейшее функционирование сервера услуг с учетом дополнительного «Черного» списка IP-адресов.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности «новизна».

Перечисленная новая совокупность существенных признаков обеспечивает расширение возможности способа прототипа за счет непрерывности обслуживания «Белого» списка IP-адресов, путем перевода на резервный сервер только соединений к данному списку не относящихся, а также расширение дополнительного анализа «Черного» списка IP-адресов используя новые параметры их формирования.

Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния отличительных существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».

Заявленный способ поясняется чертежами, на которых показано:

на фиг. 1 - обобщенная структурно-логическая последовательность способа защиты сервера услуг от DDoS атак;

на фиг. 2 - схема поясняющая формирование бот-сети.

Согласно фиг. 1 в блоке 1 создают управляющий модуль, который использует «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, в которых задаются «Белые» и начальные «Черные» списки, кроме того в блоке 17 формируют дополнительные «Черные» списки, которые используются в дальнейшем при функционировании (см. 7. Справка Dr. Web. Черный и «Белый» списки Электронный ресурс. Режим доступа: http://download.geo.drweb.com/pub/drweb/windows/workstation/9.0/documentation/html/ru/pc_whitelist.htm]. Помимо этого, в блоке 1 задают максимальную производительность сервера услуг

Формируют резервный сервер услуг для переключения соединений с основного сервера услуг в случае DDoS атаки.

Подключают резервный сервер услуг к сети связи по независимому каналу. В блоке 2 задают правила фильтрации сетевого трафика.

Правила фильтрации трафика являются результатом действия правил антиспуфинга, выбранного режима безопасности для каждого сетевого интерфейса, списка сетевых фильтров для соединений и работой системы обнаружения атак.

Фильтрация трафика осуществляется с учетом установленных соединений, то есть соединений, образующихся на основании разрешенного правилами входящего или исходящего пакета. При поступлении пакета фиксируются разные параметры разрешенного фильтрами входящего или исходящего пакета. На основании этих данных создается временное правило соединения для дальнейшего пропуска пакетов в прямом и обратном направлении. Такое правило существует, пока есть трафик, соответствующий данному соединению, (см. 8. Основные принципы фильтрации. Электронный ресурс. Режим доступа: http://mybiblioteka.su/10-39332.html].

В блоке 3 осуществляют мониторинг сетевого трафика.

Под мониторингом сети понимают процесс сбора и анализа сетевого трафика, по результатам которого можно судить о качественных и количественных характеристиках работоспособности сети или ее отдельных компонентов. Программы мониторинга сети позволяют выполнять захват пакетов и их реассемблирование для дальнейшего анализа (см. 9. Мониторинг сети. Сниффер Wireshark. Электронный ресурс. Режим доступа: http://www.4stud.info/networking/work2.html).

Обрабатывают полученные данные о всех запросах к серверу услуг с дальнейшим агрегированием полученной информации (см. 10. Мониторинг сетевого трафика с помощью Netflow. Перевод: Сгибнев Михаил Электронный ресурс. Режим доступа: http://www.opennet.ru/base/cisco/monitor_netflow.txt.html. И. Чубин NetFlow Электронный ресурс. Режим доступа: http://www.opennet.ru/docs/RUS/netflow_bsd/].

В блоке 4 собирают сведения о текущих соединениях сервера.

Проводится сбор (инвентаризация) соединений сервера (см. 11. Отчеты наборов элементов сбора системных данных. Электронный ресурс. Режим доступа: https://msdn.microsoft.com/ru-ru/library/cc280385(v=sql.110).aspx). При этом записывают данные о IP-адресе отправителя и IP-адресе получателя, а также количество IP-пакетов переданных между этими парами.

В блоке 5 рассчитывают текущую нагрузку на сервер.

В общем случае нагрузку на сервер услуг можно представить, как произведение количества абонентов, подключенных к серверу услуг, и объема передаваемой абонентами информации:

где - общая нагрузка на сервер услуг;

N_a6 - количество абонентов;

- объем передаваемой абонентами информации.

В условиях проведения сетевых атак общая нагрузка на сервер услуг будет формироваться как сумма нагрузки DDoS атаки и информационной нагрузки от узлов связи:

где R_yз - общая нагрузка на сервер услуг;

- нагрузка от узлов связи, подключенных к серверу услуг;

R_ат - нагрузка на сервер производимая DDoS атакой.

В блоке 6 проверяют выполнение условия Если условие выполняется, то переходят к блоку 7 и переключают текущие соединения кроме узлов связи из «Белого» списка IP-адресов с основного сервера услуг на резервный, в противном случае переходят к блоку 3 и продолжают мониторинг сетевого трафика.

В блоке 8 присваивают всем соединениям на резервном сервере услуг численный идентификатор. Таким образом формируется массив i={1…I}, где i - номер соединения, I - количество соединений на резервном сервере услуг. При этом каждому соединению будет соответствовать IP-адрес с которого происходит обращение к серверу.

В блоке 9 сбрасывают первое текущее соединение, т.е. имеющее идентификатор i=1 на резервном сервере услуг.

Это осуществляется для возможности в дальнейшем на основе параметров повторного запроса на сеанс к запасному серверу услуг определить является ли узел элементом бот-сетей.

В блоке 10 осуществляют мониторинг сетевого трафика на резервном сервере услуг.

Атаки «отказ в обслуживании» (DDoS) влияют на доступность информационных ресурсов. Атака «отказ в обслуживании» считается успешной, если она привела к недоступности информационного ресурса. В данном случае речь идет о большом количестве злонамеренных запросов, поступающих на сервер из множества разных мест. Обычно такие атаки организуются посредством бот-сетей. Бот-сеть генерирует большое количество запросов к серверу, что приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании легитимных пользователей (см. 12. DDoS-атаки: типы атак и уровни модели OSI. Электронный ресурс. Режим доступа: https://firstvds.ru/technology/types-of-ddos].

В данном блоке 10 обрабатывают полученные данные о всех запросах к серверу услуг с дальнейшим агрегированием полученной информации (см. 13. Мониторинг сетевого трафика с помощью Netflow. Перевод: Сгибнев Михаил Электронный ресурс.Режим доступа: http://www.opennet.ru/base/cisco/ monitor_netflow.txt.html. И. Чубин NetFlow Электронный ресурс. Режим доступа: http://www.opennet.ru/docs/RUS/netflow_bsd/). При обработке данных о запросах к серверу услуг выделяются все IP-адреса, от которых получен запрос на соединение, но соединение не установлено. Формальные признаки, по которым можно определить DDoS атаку представлены в (см. 14. Определение DoS/DDoS атак на сервер. Электронный ресурс. Режим доступа: https://www.stableit.ru/2010/01/dosddos.html).

В блоке 11 вычисляют промежуток времени t₁ до повторного запроса на восстановление соединения, имеющее первый идентификатор и записывают его значение в массив памяти Т.

В формируемом массиве памяти Τ храниться значения промежутков времени от сброса соединения до повторного запроса на восстановление t_i={t_1…t_I} для всех соединений резервного сервера услуг.

Далее в блоках 12-15 производится последовательное определение промежутков времени от сброса соединения до повторного запроса на восстановление соединения для всех соединений I на резервном сервере услуг, которые позволят сформировать массив Т.

В блоке 16 проверяют наличие совпадений определенных значений промежутков времени t_i из массива Т. В случае совпадений нескольких значений промежутков времени соответствующие соединения объединяют в массив Р₁. При наличии последующих совпадений других значений промежутков времени соответствующие соединения объединяют в массив P_j. Таким образом, после полной проверки массива Τ на наличии совпадений значений промежутков времени будут сформированы J массивов Р, т.е. определенные соединения будут объединены в массивы учитывая их одинаковые значения промежутков времени t_i.

Для осуществления DDoS атак злоумышленник формирует бот-сеть, которая состоит из компьютеров-зомби зараженные ботом управляемых удаленно (фиг. 2). Под ботом понимается программа, выполняющая определенные действия, например, отправка пакетов на атакуемый компьютер, по командам удаленного центра управления - компьютера злоумышленника (см. 15. В.Г. Олифер, П.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (5-е издание) СПб.: Питер - 2016., стр. 928). В большинстве случаях бот-сети организуются злоумышленником из существенно большого количества компьютеров расположенных в непосредственной близости к атакуемому компьютеру, что упрощает реализацию DDoS атаки и гарантирует ее успешное завершение. На фиг. 2 выделены компьютеры из сегментов сети являющимися бот-сетыо и осуществляющие DDoS атаку на компьютер, расположенный во внешней сети.

При этом на компьютерах-зомби, входящих в одну и ту же бот-сеть, злоумышленник устанавливает одну и ту же управляющую программу. Учитывая, что действия, выполняемые на компьютерах-зомби одни и те же, то и запросы на повторные соединения на сервер услуг при реализации DDoS атаки будут производиться через достаточно одинаковые (имеющие существенно небольшое расхождение значений) промежутки времени после сброса соединения, что позволяет использовать их в качестве дополнительного параметра при анализе сетевого трафика по IP-адресам.

Таким образом, из имеющихся соединений на резервном сервере услуг будут сформированы множества P_j={1…J}, где J - количество зафиксированных бот-сетей, узлов сети имеющие определенные IP-адреса, которые в блоке 17 объединяются в дополнительный «Черный» список.

В блоке 18 обновляют правила фильтрации сетевого трафика с учетом дополнительного «Черного» списка IP-адресов.

В блоке 19 переключают соединения, не вошедшие в массивы P_j с резервного сервера на основной сервер услуг. Не вошедшие в дополнительный «Черный» список узлы сети считаются как не участвующие в DDoS атаке и дальнейшее их обслуживание осуществляет основной сервер услуг.

В блоке 20 сбрасывают все соединения на резервном сервере услуг. Учитывая, что на резервном сервере остались только соединения, вошедшие в дополнительный «Черный» список IP-адресов, необходим их сброс и освобождения его от нежелательной нагрузки.

В блоке 21 осуществляют функционирование сервера услуг с учетом скорректированного «Черного» списка IP-адресов.

Далее если принятые пакеты получены из списка «Белых» IP-адресов, то пакет обрабатывается. Если пакет принят с IP-адреса не из «Белого» списка, то IP-адрес сравнивается с «Черным» списком IP-адресов. Если принятый пакет получен из списка «Черных» IP-адресов, то пакет перенаправляется на центр очистки и уничтожается (см. 16. Сетевая защита на базе технологий фирмы Cisco System. Практический курс. Уральский федеральный университет имени первого Президента России Б.Н. Ельцина. Екатеринбург, с. 180. 2014).

Достижение технического результата поясняется следующим образом.

В способе-прототипе при начале DDoS атаки все соединения, в том числе и из списка «Белых» IP-адресов, установленные с сервером услуг, будут переведены на резервный сервер услуг, что потребует определенного времени. Это приведет к задержке в обслуживании данных соединений около 10 минут. В заявленном способе соединения из списка «Белых» IP-адресов не переключаются на резервный, а остаются на основном сервере услуг, что означает отсутствие времени перерыва в обслуживании.

Кроме того, в предлагаемом способе «Черный» список IP-адресов формируется путем анализа по дополнительному параметру, что позволяет более точно определить принадлежность узлов сети к бот-сетями злоумышленника. При этом даже если он использует различные варианты конфигураций бот-сетей при реализации DDoS атаки предлагаемый способ позволяет определить их в режиме реального времени.

Приведенные ссылки на источники информации, показывают возможность осуществления операций предлагаемого способа, приведенных на фиг. 1, известными средствами и свидетельствуют о его промышленной применимости.

Таким образом, заявленный способ за счет непрерывности обслуживания «Белого» списка IP-адресов, осуществляя перевод на резервный сервер только соединений к данному списку не относящихся, а также расширение дополнительного анализа «Черного» списка IP-адресов используя временные параметры их формирования позволяет повысить защищенность сервера услуг.

Способ защиты сервера услуг от DDoS атак, заключающийся в том, что создают управляющий модуль, который использует «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, при этом «Белые» списки IP-адресов задаются на этапе формирования управляющего модуля, задают правила фильтрации сетевого трафика, формируют резервный сервер, так же задают максимальную производительность сервера услуг, далее во время мониторинга сетевого трафика определяют и записывают данные о текущих соединениях сервера услуг, после чего рассчитывают текущую нагрузку на сервер услуг и сравнивают ее с максимальной производительностью, после формирования «Черного» списка IP-адресов обновляют правила фильтрации сетевого трафика, после чего осуществляют дальнейшее функционирование сервера услуг с учетом откорректированного «Черного» списка IP-адресов, отличающийся тем, что после сравнения максимальной производительности с текущей нагрузкой на сервер услуг, в случае ее превышения переключают текущие соединения сервера услуг, кроме узлов из «Белого» списка IP-адресов на резервный сервер, затем каждому соединению на резервном сервере присваивают численный идентификатор i={1…I}, после чего сбрасывают текущее соединение на резервном сервере, имеющее первый идентификатор, далее осуществляют мониторинг сетевого трафика на резервном сервере, вычисляют промежуток времени t₁ до повторного запроса на восстановление соединения, имеющее первый идентификатор, и записывают его в массив памяти Т, затем последовательно для всех соединений на резервном сервере сбрасывают текущее соединение i, далее осуществляют мониторинг сетевого трафика, и при повторном запросе на соединение с текущим идентификатором вычисляют для них промежутки времени t_i, которые записывают в массив памяти Т, в сформированном массиве Τ проверяют наличие совпадений значений промежутком времени t_i, и при их совпадении объединяют идентификаторы соединений в соответствующие массивы Р_j, далее из полученных массивов Р_j формируют дополнительный «Черный» список IP-адресов, после обновления правила фильтрации сетевого трафика переключают соединения, не принадлежащие массивам Р_j с резервного сервера на основной сервер услуг, затем сбрасывают все соединения на резервном сервере, после чего осуществляют дальнейшее функционирование сервера услуг с учетом дополнительного «Черного» списка IP-адресов.