RU2680038C1 - Способ защиты вычислительных сетей - Google Patents

Способ защиты вычислительных сетей Download PDF

Info

Publication number
RU2680038C1
RU2680038C1 RU2018101596A RU2018101596A RU2680038C1 RU 2680038 C1 RU2680038 C1 RU 2680038C1 RU 2018101596 A RU2018101596 A RU 2018101596A RU 2018101596 A RU2018101596 A RU 2018101596A RU 2680038 C1 RU2680038 C1 RU 2680038C1
Authority
RU
Russia
Prior art keywords
address
network
addresses
mac
computer network
Prior art date
Application number
RU2018101596A
Other languages
English (en)
Inventor
Алексей Леонидович Гаврилов
Сергей Леонидович Катунцев
Роман Викторович Максимов
Дмитрий Николаевич Орехов
Андрей Валерьевич Прокопенко
Игорь Сергеевич Проскуряков
Сергей Петрович Соколовский
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерство обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерство обороны Российской Федерации filed Critical Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерство обороны Российской Федерации
Priority to RU2018101596A priority Critical patent/RU2680038C1/ru
Application granted granted Critical
Publication of RU2680038C1 publication Critical patent/RU2680038C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к вычислительной технике. Техническим результатом является повышение результативности защиты и введение в заблуждение нарушителя относительно структуры вычислительной сети за счет снижения вероятности обнаружения нарушителем факта использования средств защиты и идентификации их характеристик, достигаемых путем разделения адресного пространства вычислительной сети на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети, а также путем формирования множества случайных значений MAC-адресов, соответствующих ложным узлам вычислительной сети. Способ защиты вычислительных сетей, предназначенный для использования в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях, основанных на семействе коммуникационных протоколов TCP/IP, заключающийся в том, что устраняют демаскирующие признаки средств защиты вычислительных сетей: активность любого IP-адреса из диапазона IP-адресов вычислительной сети, а также использование единственного и неизменяемого значения (00:00:0F:FF:FF:FF)MAC-адреса независимо от реального адреса сетевого адаптера при ответах на ARP-запросы к i-му неиспользуемому IP-адресу сетевого устройства вычислительной сети. 1 з.п. ф-лы, 6 ил.

Description

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях, в частности, в сети передачи данных типа «Internet», основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol) и описанных в книге Олифер В., Олифер Н. Компьютерные Сети. Принципы, технологии, протоколы: Учебник для вузов. 5-е изд. - СПб.: Питер, 2016. - 992 с.: ил.
Известен «Способ защиты вычислительной сети» по патенту РФ №2422892, класс G06F 21/20 (2006.01), заявл. 13.04.2010. Известный способ включает следующую последовательность действий. Устанавливают в каналах связи защищаемой вычислительной сети шлюз-компьютер с межсетевым экраном. Формируют базу параметров легитимных пакетов и блокируют поступающие из открытой сети пакеты на период установления легитимности. Запоминают адрес получателя, анализируют поступающие из открытой сети пакеты, для чего сравнивают их параметры с заранее сформированной базой параметров легитимных пакетов. После завершения анализа формируют ICMP квитанцию, в которой адрес отправителя заменяют на ранее запомненный адрес получателя. Отправляют ее нелегитимному отправителю.
Недостатком данного способа является относительно низкая защищенность от несанкционированных воздействий, признаками наличия которых являются несанкционированные информационные потоки (ИП). Это обусловлено тем, что при определении факта наличия несанкционированного ИП в вычислительных сетях блокируется передача пакета сообщений, что является недостаточным для защиты вычислительных сетей от несанкционированных воздействий. Реализация указанного подхода к защите вынуждает нарушителя далее воздействовать на вычислительные сети и (или) менять стратегию воздействия.
Известен «Способ (варианты) защиты вычислительных сетей» по патенту РФ №2307392, класс G06F 21/00, опубл. 27.09.2007. Известный способ включает следующую последовательность действий. Предварительно задают N≥1 опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений, принимают из канала связи пакет сообщений, выделяют из заголовка принятого пакета сообщений идентификатор ИП, сравнивают выделенный идентификатор с предварительно заданными опорными идентификаторами санкционированных ИП и при их совпадении передают пакет сообщений получателю, а при их несовпадении сравнивают адрес отправителя, указанный в идентификаторе принятого пакета сообщений с адресами отправителей, указанными в опорных идентификаторах санкционированных ИП, задают Р≥1 ложных адресов абонентов вычислительной сети и время задержки отправки пакетов сообщений tзад. В случае совпадения адреса отправителя в принятом пакете сообщений с одним из адресов отправителей опорных идентификаторов санкционированных ИП сравнивают адрес получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных ИП. При несовпадении адреса получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных ИП дополнительно сравнивают адрес получателя в принятом пакете сообщений с предварительно заданными ложными адресами абонентов вычислительной сети. В случае несовпадения адреса получателя в принятом пакете сообщений с предварительно заданными ложными адресами абонентов блокируют передачу пакета сообщений. А при несовпадении адреса отправителя в принятом пакете сообщений с одним из адресов отправителей опорных идентификаторов санкционированных ИП или совпадении адреса получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных ИП, или его совпадении с предварительно заданными ложными адресами абонентов вычислительной сети формируют ответный пакет сообщений, а затем, через заданное время задержки отправки пакетов сообщений tзад снижают скорость передачи сформированного пакета сообщений. Передают его отправителю, после чего принимают из канала связи очередной пакет сообщений. Для идентификации протокола взаимодействия выделяют идентификатор типа протокола взаимодействия и сравнивают его с эталонами идентификаторов типа протокола взаимодействия. Для снижения скорости передачи сформированного пакета сообщений фрагментируют пакет сообщений, передают пакет сообщений через заданное время задержки отправки пакетов сообщений tзад.
Недостатками данного способа являются относительно низкая результативность защиты вычислительных сетей и узкая область применения способа защиты. Низкая результативность защиты обусловлена тем, что в прототипе увеличение интенсивности несанкционированных информационных потоков и сохранение заданного времени задержки отправки ответных пакетов сообщений отправителю приведет к перегрузке вычислительной сети. Узкая область применения обусловлена тем, что для реализации способа защиты скорость информационного обмена с отправителем несанкционированных информационных потоков снижают только со стороны вычислительной сети, то есть в одностороннем порядке, и не учитывают возможность отправителя разорвать соединение.
Наиболее близким по своей технической сущности к заявленному, является способ защиты вычислительных сетей, описанный, например, в книге Grimes, R.A. Honeypots for Windows // Apress. 2005. 424 p. на стр. 191-192. Известный способ включает следующую последовательность действий. Подключают сетевые устройства к вычислительной сети. После приема ARP-запросов (от англ. Address Resolution Protocol - протокол определения адреса) к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети формируют ответный пакет сообщений с единственным и неизменяемым значением (00:00:0F:FF:FF:FF)16 (в шестнадцатеричной системе счисления) MAC-адреса (от англ. Media Access Control - управление доступом к среде). Затем записывают в поле «размер окна» TCP-заголовка ответного пакета сообщений значение Wнач равное 10 байт и принимают очередной пакет сообщений. Формируют ответный пакет сообщений и устанавливают в поле «размер окна» TCP-заголовка ответного пакета сообщений значение Wуд равное 0 байт. После этого направляют отправителю сформированные ответные пакеты сообщений, а для блокирования попыток разорвать соединение со стороны отправителя пакетов сообщений игнорируют все входящие пакеты сообщений до истечения тайм-аута соединения.
Известный способ-прототип обеспечивает более высокую защищенность вычислительных сетей от несанкционированных воздействий по сравнению с аналогами за счет введения в заблуждение нарушителя относительно структуры вычислительных сетей путем имитации доступности всего массива IP-адресов вычислительной сети, обеспечивая тем самым максимальную вероятность перенаправления нарушителя на ресурс-ловушку, и за счет удержания в двухстороннем порядке соединения с отправителем пакетов сообщений, обеспечивая тем самым увеличение дискомфорта у нарушителя и выигрыш по времени, необходимый для реализации ответных мер.
Недостатком способа-прототипа является относительно низкая результативность защиты, обусловленная высокой вероятностью обнаружения нарушителем факта использования средств защиты вычислительной сети и идентификации их характеристик. Это связано с тем, что в прототипе, при обращении к любому IP-адресу из диапазона IP-адресов вычислительной сети, нарушитель всегда получает ответ о доступности IP-адреса, что демаскирует наличие и возможности средств защиты. Кроме того, при ответах на ARP-запросы к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети в прототипе используют единственное и неизменяемое значение (00:00:0F:FF:FF:FF)16 (в шестнадцатеричной системе счисления) MAC-адреса независимо от реального адреса сетевого адаптера, что позволяет злоумышленнику идентифицировать ложные узлы путем изучения адресов канального уровня.
Целью заявленного технического решения является разработка способа защиты вычислительных сетей, обеспечивающего повышение результативности защиты и введение в заблуждение нарушителя относительно структуры вычислительной сети, за счет снижения вероятности обнаружения нарушителем факта использования средств защиты и идентификации их характеристик, достигаемых путем разделения адресного пространства вычислительной сети на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети, а также путем формирования множества случайных значений MAC-адресов, соответствующих ложным узлам вычислительной сети.
Поставленная цель достигается тем, что в известном способе защиты вычислительных сетей подключают сетевые устройства к вычислительной сети и после приема ARP-запросов к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети формируют ответный пакет сообщений. Затем записывают в поле «размер окна» TCP-заголовка ответного пакета сообщений значение Wнач равное 10 байт. После этого принимают очередной пакет сообщений и формируют ответный пакет сообщений. Далее устанавливают в поле «размер окна» TCP-заголовка ответного пакета сообщений значение Wуд равное 0 байт и направляют отправителю сформированные ответные пакеты сообщений. Для блокирования попыток разорвать соединение со стороны отправителя пакетов сообщений игнорируют все входящие пакеты сообщений до истечения тайм-аута соединения. В предварительно заданные исходные данные дополнительно задают множество {MIP} всех i IP-адресов сетевых устройств вычислительной сети, где i=1, 2, …, n, а n - максимально допустимое значение диапазона IP-адресов для вычислительной сети, множество {AIP} разрешенных для использования в вычислительной сети IP-адресов сетевых устройств, где {AIP}∈{MIP}, множество {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, где {DIP}={MIP\AIP}={DIP∈MIP∧DIP∉AIP}, множество {UIP} разрешенных и временно неподключенных IP-адресов сетевых устройств в вычислительной сети из множества {AIP} и множество {RIP} разрешенных и подключенных IP-адресов сетевых устройств в вычислительной сети из множества {AIP}, где {UIP}={AIP\RIP}={UIP∈AIP∧UIP∉RIP} и {RIP}={AIP\UIP}={RIP∈AIP∧RIP∉UIP}. Затем предварительно задают массив памяти SMAC для хранения считанных MAC-адресов сетевых устройств в вычислительной сети, массив памяти GMAC для хранения сформированных МАС-адресов и массив памяти AG для хранения матрицы соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC. После подключения сетевых устройств к вычислительной сети запоминают IP-адреса временно неподключенных сетевых устройств в множество {UIP}. Считывают MAC-адреса подключенных сетевых устройств вычислительной сети и запоминают их в массиве памяти SMAC. Затем генерируют случайную последовательность шестнадцатеричных чисел и формируют из нее J значений, где J=1, 2, …, j, МАС-адресов временно неподключенных сетевых устройств вычислительной сети. После этого запоминают сформированные J значений MAC-адресов временно неподключенных сетевых устройств вычислительной сети в массиве памяти GMAC и сравнивают сформированные J значений MAC-адресов временно неподключенных сетевых устройств вычислительной сети из массива памяти GMAC с MAC-адресами временно неподключенных сетевых устройств вычислительной сети из массива памяти SMAC. По результатам сравнения, в случае их совпадения, j-й MAC-адрес удаляют из массива памяти GMAC, а в противном случае, то есть при их несовпадении, запоминают в массиве памяти AG соответствие i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC. После этого принимают ARP-запрос к любому i-му IP-адресу сетевого устройства из множества {MIP} и сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств. По результатам сравнения, в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, игнорируют ARP-запрос. В противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP}, сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {RIP} разрешенных и подключенных IP-адресов сетевых устройств, и по результатам сравнения в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP} разрешенных и подключенных IP-адресов формируют сообщение о доступности узла получателя пакетов сообщений. В противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP}, сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {UIP} временно неподключенных IP-адресов, и по результатам сравнения в случае несовпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP} временно неподключенных IP-адресов формируют сообщение о доступности узла получателя пакетов сообщений. В противном случае, то есть при совпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP}, после формирования ответного пакета сообщений и записывания в поле «размер окна» TCP-заголовка ответного пакета сообщений значения Wнач равное 10 байт, записывают в заголовок ответного пакета j-й сгенерированный MAC-адрес для i-го IP-адреса из массива памяти GMAC. После этого направляют отправителю ответный пакет сообщений со значением j-го сгенерированного MAC-адреса для i-го IP-адреса из массива памяти GMAC.
Запоминание в массиве памяти AG соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC осуществляют путем записи в ячейку |i, j| массива памяти AG логической единицы.
Благодаря новой совокупности существенных признаков в заявленном способе обеспечивается повышение результативности защиты и введение в заблуждение нарушителя относительно структуры вычислительной сети за счет снижения вероятности обнаружения нарушителем факта использования и идентификации характеристик средств защиты, достигаемых путем разделения адресного пространства вычислительной сети на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети, а также путем формирования множества случайных значений MAC-адресов, соответствующих ложным узлам вычислительной сети.
Заявленные объекты изобретения поясняются чертежами, на которых показаны:
фиг. 1 - формат дейтаграммы ARP;
фиг. 2 - пример, иллюстрирующий защиту вычислительной сети с применением сетевой «ловушки» до и после разделения адресного пространства;
фиг. 3 - графическая интерпретация разделения адресного пространства вычислительной сети;
фиг. 4 - блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей;
фиг. 5 - иллюстрация использования единственного и неизменяемого значения (00:00:0F:FF:FF:FF)16 MAC-адреса;
фиг. 6 - иллюстрация использования в способе защиты множества случайных значений МАС-адресов.
Реализация заявленного способа объясняется следующим образом. Известно, что в настоящее время достаточно большое количество компьютерных атак носит разведывательный характер с целью получения информации о топологии вычислительной сети, являющейся объектом атаки, а также об используемых средствах защиты вычислительной сети. Одними из средств сетевой защиты, функционирующих с применением обманных сетевых стратегий, направленных на создание у нарушителя иллюзий уязвимых целей или способствующих видимости более сложной инфраструктуры, чем существует на самом деле, являются сетевые «приманки» (honeypots), описанные, например, в книге Provos, N., Holz, Т, Virtual Honeypots: From Botnet Tracking to Intrusion Detection // Addison Wesley, 2007. 480 p. Более совершенные способы сетевого обмана включают в себя не только предоставление противнику правдоподобной цели, но и, так называемые проактивные меры защиты, такие как, например, удержание в двухстороннем порядке соединения с отправителем пакетов сообщений, что вызывает «истощение» ресурсов отправителя пакетов сообщений для поддержания состояния соединения, замедляет процесс автоматического сканирования атакуемой вычислительной сети и, как результат, накладывает ограничение на используемый нарушителем вычислительный ресурс, что приводит к невозможности осуществлять сетевой информационный обмен. Рассмотренные способы проактивной защиты реализованы в виде инструментальных средств сетевого обмана, так называемых сетевых «ловушек» (network tarpits), которые описаны, например, в книге Andres, S., Kenyon, В. Birkolz, Е, Security Sage's Guide to Hardening the Network Infrastructure // Sungress Publishing, 2004. 608 p., на стр. 414-416.
В свою очередь, нарушителями информационной безопасности также активно разрабатываются и совершенствуются средства снижения результативности сетевых «ловушек», реализующие следующие способы их компрометации: детектирование уникальных идентификаторов (демаскирующих признаков) сетевых «ловушек»; детальный анализ сетевого трафика поступающего с сетевых «ловушек». Такими демаскирующими признаками сетевой «ловушки», реализованной в способе-прототипе, являются активность любого IP-адреса из диапазона IP-адресов вычислительной сети, а также использование единственного и неизменяемого значения (00:00:0F:FF:FF:FF)16 (в шестнадцатеричной системе счисления) MAC-адреса независимо от реального адреса сетевого адаптера при ответах на ARP-запросы к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети. Протокол разрешения адресов ARP (Address Resolution Protocol) предназначен для определения адреса канального уровня по известному адресу сетевого уровня и описан, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc826). Формат дейтаграммы ARP представлен на фиг. 1. В локальных сетях протокол ARP использует широковещательные кадры протокола канального уровня для поиска в сети узла с заданным IP-адресом. Узел, которому нужно разрешить отображение (соответствие) IP-адреса на локальный (физический) адрес, формирует ARP-запрос, инкапсулирует его в кадр протокола канального уровня, указывая в нем известный IP-адрес, и рассылает запрос широковещательно. Все узлы локальной сети получают ARP-запрос и сравнивают указанный там IP-адрес с собственным. В случае их совпадения узел формирует ARP-ответ, в котором указывает свой IP-адрес и свой локальный адрес и посылает его уже направленно, так как в ARP-запросе отправитель указывает свой локальный адрес.
В качестве средств компрометации сетевых «ловушек», использующих обнаружение активных IP-адресов в помощью ARP-запросов нарушителем применяются различные утилиты (nmap, ethereal, arping, tethreal и др.), предназначенные для анализа сетевого трафика и топологии вычислительной сети, описанные, например, в книге Андрончик А.Н., Богданов В.В., Домуховский Н.А., Коллеров А.С., Синадский Н.И., Хорьков Д.А., Щербаков М.Ю. Защита информации в компьютерных сетях. Практический курс: учебное пособие / А.Н. Андрончик, В.В. Богданов, Н.А. Домуховский и др.; под редакцией Н.И. Синадского. - Екатеринбург: УГТУ-УПИ, 2008. - 248 с.
Таким образом, возникает противоречие между результативностью защиты вычислительных сетей и возможностями нарушителей по определению структуры вычислительных сетей и идентификации характеристик средств защиты, имеющих демаскирующие признаки. На устранение указанного противоречия направлен заявленный способ.
Заявленный способ реализуют следующим образом. В общем случае (фиг. 2а) вычислительная сеть представляет собой совокупность корреспондентов 1, 2, 6, 7, являющихся источниками и получателями сетевого трафика, периферийного и коммуникационного оборудования 4, 9, ретранслирующего сетевой трафик корреспондентов, объединенного физическими линиями (каналами) связи 3, 10, соединяющих n узлов вычислительной сети в единую инфраструктуру, в том числе с использованием сети передачи данных типа «Internet» 5. При этом пространство IP-адресов сетевых устройств занято корреспондентами вычислительной сети не полностью: корреспонденты K1, K2, K3, выделенные на фиг. 2а в совокупность 1, подключены к вычислительной сети. Тогда как корреспонденты K4, K5, … Kn, выделенные на фиг. 2а в совокупность 2 (иконки ПЭВМ на фиг. 2а изображены пунктиром), не подключены к вычислительной сети, то есть IP-адреса корреспондентами K4, K5, … Kn не заняты (не используются).
Для защиты вычислительной сети и введения в заблуждение нарушителя относительно структуры вычислительной сети, на одном из выделенных компьютеров 7 вычислительной сети устанавливают сетевую «ловушку», осуществляющую перехват ARP-запросов к i-ому неиспользуемому IP-адресу сетевого устройства 2 вычислительной сети, посредством анализатора пакетов 8. После перехват ARP-запросов осуществляют отправление пакета сообщений с ложным MAC-адресом отправителю пакетов сообщений и последующее удержание с ним соединения в двухстороннем порядке.
На фиг. 2б представлена вычислительная сеть с разделением адресного пространства на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети. На фиг. 3 представлена графическая интерпретация разделения адресного пространства вычислительной сети с использованием математических выражений, принятых в теории множеств. Разностью {R} множеств {А} и {U} называется операция, результатом которой является множество, состоящее из тех элементов, которые принадлежат {А} и не принадлежат {U} одновременно. То есть {RIP}={AIP\UIP}={RIP∈AIP∧RIP∉UIP}, что и показано на фиг. 3.
На фиг. 4 представлена блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей, в которой приняты следующие обозначения:
{MIP} - множество всех i IP-адресов сетевых устройств вычислительной сети, где i=1, 2, …, n, а n - максимально допустимое значение диапазона IP-адресов для вычислительной сети;
{AIP} - множество разрешенных для использования в вычислительной сети IP-адресов сетевых устройств, где {AIP}∈{MIP};
{DIP} - множество запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, где {DIP}={MIP\AIP}={DIP∈MIP∧DIP∉AIP};
{UIP} - множество разрешенных и временно неподключенных IP-адресов сетевых устройств в вычислительной сети из множества AIP, где {UIP}={AIP\RIP}={UIP∈AIP∧UIP∉RIP};
{RIP} - множество разрешенных и подключенных IP-адресов сетевых устройств в вычислительной сети из множества AIP, где {RIP}={AIP\UIP}={RIP∈AIP∧RIP∉UIP};
SMAC - массив памяти для хранения считанных MAC-адресов сетевых устройств в вычислительной сети;
GMAC - массив памяти для хранения сформированных MAC-адресов;
AG - массив памяти для хранения матрицы соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из массива AIP j-го сформированного MAC-адреса из массива памяти GMAC.
Для снижения вероятности обнаружения нарушителем факта использования и идентификации характеристик средств защиты, предварительно разделяют адресное пространство вычислительной сети (фиг. 2б) на множества 1 - разрешенных и подключенных IP-адресов сетевых устройств, 2 - разрешенных и временно неподключенных IP-адресов сетевых устройств, 3 - запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, обеспечивающие реалистичность функционирования защищаемой вычислительной сети.
Для этого предварительно задают (см. блок 1 на фиг. 4) множество {MIP}={K1, K2 , … Kn} всех i IP-адресов сетевых устройств вычислительной сети, где i=1, 2, …, n, а n - максимально допустимое значение диапазона IP-адресов для вычислительной сети.
В множестве {MIP} задают множество {AIP}={K1, K2, K3, K4, K5, K6} разрешенных для использования в вычислительной сети IP-адресов сетевых устройств, где {AIP}∈{MIP}.
Затем в множестве {MIP} задают множество {DIP}={K7, … Kn) запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, где {DIP}={MIP\AIP}={DIP∈MIP∧DIP∉AIP}.
После этого в множестве {MIP} задают множество {UIP}={K4, K5, K6} разрешенных и временно неподключенных IP-адресов сетевых устройств в вычислительной сети из множества {AIP}, где {UIP}={AIP\RIP}={UIP∈AIP∧UIP∉RIP}.
Также предварительно задают множество {RIP}={K1, K2, K3} разрешенных и подключенных IP-адресов сетевых устройств в вычислительной сети из множества {AIP}, где {RIP}={AIP\UIP}={RIP∈AIP∧RIP∉UIP}.
Разделением таким образом адресного пространства вычислительной сети достигается реалистичность функционирования защищаемой вычислительной сети, что позволяет снизить вероятность обнаружения нарушителем факта использования средств защиты и с высокой степенью вероятности идентифицировать факт ведения сетевой разведки нарушителем, заключающийся в его обращении к IP-адресам временно неподключенных сетевых устройств {UIP}, а также снизить информативность демаскирующего признака сетевой «ловушки» (заключающегося в активности всего диапазона IP-адресов вычислительной сети) исключением из диапазона IP-адресов, обращения к которым перехватывают «ловушкой», множество IP-адресов {DIP}.
Для снижения вероятности идентификации характеристик средств защиты в заявленном способе обеспечивают уменьшение информативности демаскирующего признака сетевой «ловушки», заключающемся в использовании единственного и неизменяемого значения (00:00:0F:FF:FF:FF)16 MAC-адреса независимо от реального адреса сетевого адаптера, при ответах на ARP-запросы к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети. Для этого применяют случайные значения MAC-адресов сетевых адаптеров.
Применение случайных значений MAC-адресов сетевых адаптеров достигают тем, что задают (см. блок 1 на фиг. 4) массив памяти SMAC для хранения считанных MAC-адресов сетевых устройств в вычислительной сети, массив памяти GMAC для хранения сформированных MAC-адресов и массив памяти AG для хранения матрицы соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC.
Затем, после подключения сетевых устройств к вычислительной сети (см. блок 2 на фиг. 4), запоминают IP-адреса временно неподключенных сетевых устройств в множество {UIP} (см. блок 3 на фиг. 4). Считывают MAC-адреса подключенных сетевых устройств вычислительной сети (см. блок 4 на фиг. 4) и запоминают их (см. блок 5 на фиг. 4) в массиве памяти SMAC. Далее генерируют случайную последовательность шестнадцатеричных чисел (см. блок 6 на фиг. 4), например, как описано в книге Дональд Э. Кнут Случайные числа // Искусство программирования. 3 изд. - М: Вильяме, 2000. Т. 2. Получисленные алгоритмы. - 832 с., и формируют из нее (см. блок 7 на фиг. 4) J значений, где J=1, 2, … j, MAC-адресов временно неподключенных сетевых устройств вычислительной сети.
После этого запоминают (см. блок 8 на фиг. 4) сформированные J значений MAC-адресов временно неподключенных сетевых устройств вычислительной сети в массиве памяти GMAC и, для исключения появления в вычислительной сети двух сетевых устройств с одинаковыми MAC-адресами, сравнивают (см. блок 10 на фиг. 4) сформированные J значений MAC-адресов временно неподключенных сетевых устройств вычислительной сети из массива памяти GMAC с MAC-адресами временно неподключенных сетевых устройств вычислительной сети из массива памяти SMAC. По результатам сравнения, в случае их совпадения, j-й MAC-адрес удаляют (см. блок 9 на фиг. 4) из массива памяти GMAC, а в противном случае, то есть при их несовпадении, запоминают (см. блок 11 на фиг. 4) в массиве памяти AG соответствие i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC.
Далее принимают (см. блок 12 на фиг. 4) ARP-запрос к любому i-му IP-адресу сетевого устройства из множества {MIP} и сравнивают (см. блок 14 на фиг. 4) IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств. По результатам сравнения, в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, игнорируют ARP-запрос (см. блок 13 на фиг. 4).
В противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP}, сравнивают (см. блок 16 на фиг. 4) IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {RIP} разрешенных и подключенных IP-адресов сетевых устройств, и по результатам сравнения в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP} разрешенных и подключенных IP-адресов формируют (см. блок 19 на фиг. 4) сообщение о доступности узла получателя пакетов сообщений, что соответствует обращению легитимного абонента к сетевому устройству вычислительной сети.
В противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP}, сравнивают (см. блок 17 на фиг. 4) IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {UIP} временно неподключенных IP-адресов, и по результатам сравнения в случае несовпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP} временно неподключенных IP-адресов формируют (см. блок 18 на фиг. 4) сообщение о доступности узла получателя пакетов сообщений.
В противном случае, то есть при совпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP}, после формирования ответного пакета сообщений и записывания (см. блок 20 на фиг. 4) в поле «размер окна» TCP-заголовка ответного пакета сообщений значения Wнач равное 10 байт, записывают (см. блок 21 на фиг. 4) в заголовок ответного пакета j-й сгенерированный MAC-адрес для i-го IP-адреса из массива памяти GMAC. После этого направляют (см. блок 22 на фиг. 4) отправителю ответный пакет сообщений со значением j-го сгенерированного MAC-адреса для i-го IP-адреса из массива памяти GMAC.
Запоминание в массиве памяти AG соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC осуществляют путем записи в ячейку |i, j| двумерного массива памяти AG логической единицы. Двумерный массив памяти в результате содержит простую матрицу, содержащую нули и единицы. Единица в ячейке матрицы означает соответствие i-го IP-адреса сетевого устройства j-му MAC-адресу.
Результативность сформулированного технического результата была проверена путем программной реализации заявленного способа и проведении натурного эксперимента. Суть эксперимента - сравнение результативности обнаружения сетевой «ловушки», реализованной в способе-прототипе, с результативностью обнаружения сетевой «ловушки» при программной реализации заявленного способа. Для идентификации сетевой «ловушки», то есть для идентификации характеристик средств защиты в процессе эксперимента применен перехват из сетевого трафика ответов на запросы по протоколу ARP с использованием анализатора пакетов Wireshark описанного, например в (Abbhinav, Singh. Instant Wireshark Starter. Pakt Publishing, UK. 69 p. ISBN 978-1-84969-564-0). На фиг. 5 представлена экранная форма, иллюстрирующая результаты первого этапа эксперимента. Результат анализа сетевого трафика - использование единственного и неизменяемого значения (00:00:0F:FF:FF:FF)16 MAC-адреса. Обнаружение данного MAC-адреса позволяет однозначно идентифицировать факт использования в качестве средства защиты вычислительной сети сетевую «ловушку».
На втором этапе эксперимента использовалась программная реализация заявленного способа. Результат случайной генерации MAC-адресов сетевых устройств вычислительной сети и анализа сетевого трафика с использованием анализатора пакетов Wireshark представлен на фиг. 6. Использование таких МА С-адресов при ответах на запросы по протоколу ARP позволило полностью устранить демаскирующий признак сетевой «ловушки» и скрыть таким образом тип используемого в вычислительной сети средства защиты.
Таблица на фиг. 6 содержит следующие основные элементы. В таблице записано чередование широковещательных (Broadcast) запросов (нечетная строка, например, № п/п 465) по протоколу ARP и ответов на них. Нарушитель осуществляет запросы через маршрутизатор AsustekC. Суть запроса отражается в столбце таблицы «Содержимое ARP-запроса». Рассмотрим пример. В строке №465 маршрутизатор AsustekC запрашивает физический адрес (MAC-адрес) устройства с IP-адресом 10.0.0.40. В строке №466 п/п устройство с физическим адресом (MAC-адресом) be:97:a6:1c:2a:ef отвечает маршрутизатору AsustekC отвечает своим соответствием запрашиваемому IP-адресу. Аналогичный диалог происходит и в остальных парах строк таблицы. При этом все ответы на ARP-запросы отправляет сетевая «ловушка», реализованная заявленным способом, устанавливая соответствие ложных узлов вычислительной сети запрашиваемым маршрутизатором AsustekC IP-адресам.
Таким образом, в заявленном способе достигается достижение сформулированной цели, заключающейся в повышении результативности защиты и введении в заблуждение нарушителя относительно структуры вычислительной сети, за счет снижения вероятности обнаружения нарушителем факта использования средств защиты и идентификации их характеристик, достигаемых путем разделения адресного пространства вычислительной сети на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети, а также путем формирования множества случайных значений MAC-адресов, соответствующих ложным узлам вычислительной сети.

Claims (2)

1. Способ защиты вычислительных сетей, заключающийся в том, что подключают сетевые устройства к вычислительной сети и после приема ARP-запросов к i-му неиспользуемому IP-адресу сетевого устройства вычислительной сети формируют ответный пакет сообщений, записывают в поле «размер окна» TCP-заголовка ответного пакета сообщений значение Wнач, равное 10 байт, принимают очередной пакет сообщений, формируют ответный пакет сообщений, устанавливают в поле «размер окна» ТСР-заголовка ответного пакета сообщений значение Wуд, равное 0 байт, направляют отправителю сформированные ответные пакеты сообщений, а для блокирования попыток разорвать соединение со стороны отправителя пакетов сообщений игнорируют все входящие пакеты сообщений до истечения тайм-аута соединения, отличающийся тем, что предварительно задают множество {MIP} всех i IP-адресов сетевых устройств вычислительной сети, где i=1, 2, …, n, а n - максимально допустимое значение диапазона IP-адресов для вычислительной сети, множество {АIP} разрешенных для использования в вычислительной сети IP-адресов сетевых устройств, где {AIP}∈{MIP}, множество {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, где {DIP}={МIP\AIP}={DIP∈MIP∧DIP∉AIP}, множество {UIP} разрешенных и временно неподключенных IP-адресов сетевых устройств в вычислительной сети из множества {АIP} и множество {RIP} разрешенных и подключенных IP-адресов сетевых устройств в вычислительной сети из множества {АIP}, где {UIP}={АIP\RIP}={UIP∈АIP∧UIP∉RIP} и {RIP}={AIP\UIP}={RIP∈АIP∧RIP∉UIP}, массив памяти SMAC для хранения считанных MAC-адресов сетевых устройств в вычислительной сети, массив памяти GMAC для хранения сформированных MAC-адресов, массив памяти AG для хранения матрицы соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {АIP} j-го сформированного MAC-адреса из массива памяти GMAC и после подключения сетевых устройств к вычислительной сети запоминают IP-адреса временно неподключенных сетевых устройств в множество {UIP}, считывают MAC-адреса подключенных сетевых устройств вычислительной сети и запоминают их в массиве памяти SMAC, затем генерируют случайную последовательность шестнадцатеричных чисел и формируют из нее J значений, где J=1, 2, …, j, MAC-адресов временно неподключенных сетевых устройств вычислительной сети, запоминают сформированные J значений МАС-адресов временно неподключенных сетевых устройств вычислительной сети в массиве памяти GMAC и сравнивают сформированные J значений МАС-адресов временно неподключенных сетевых устройств вычислительной сети из массива памяти GMAC с MAC-адресами временно неподключенных сетевых устройств вычислительной сети из массива памяти SMAC, а по результатам сравнения в случае их совпадения j-й MAC-адрес удаляют из массива памяти GMAC, в противном случае, то есть при их несовпадении, запоминают в массиве памяти AG соответствие i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {АIP} j-го сформированного MAC-адреса из массива памяти GMAC, после чего принимают ARP-запрос к любому i-му IP-адресу сетевого устройства из множества {МIP} и сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, а по результатам сравнения в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств игнорируют ARP-запрос, а в противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP}, сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {RIP} разрешенных и подключенных IP-адресов сетевых устройств и по результатам сравнения в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP} разрешенных и подключенных IP-адресов формируют сообщение о доступности узла получателя пакетов сообщений, а в противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP}, сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {UIP} временно неподключенных IP-адресов и по результатам сравнения в случае несовпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP} временно неподключенных IP-адресов формируют сообщение о доступности узла получателя пакетов сообщений, а в противном случае, то есть при совпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP}, после формирования ответного пакета сообщений и записывания в поле «размер окна» TCP-заголовка ответного пакета сообщений значения Wнач, равное 10 байт, записывают в заголовок ответного пакета j-й сгенерированный МАС-адрес для i-го IP-адреса из массива памяти GMAC, направляют отправителю ответный пакет сообщений со значением j-го сгенерированного MAC-адреса для i-го IP-адреса из массива памяти GMAC.
2. Способ по п. 1, отличающийся тем, что запоминание в массиве памяти AG соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {АIP} j-го сформированного МАС-адреса из массива памяти GMAC осуществляют путем записи в ячейку |i, j| массива памяти AG логической единицы.
RU2018101596A 2018-01-16 2018-01-16 Способ защиты вычислительных сетей RU2680038C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2018101596A RU2680038C1 (ru) 2018-01-16 2018-01-16 Способ защиты вычислительных сетей

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018101596A RU2680038C1 (ru) 2018-01-16 2018-01-16 Способ защиты вычислительных сетей

Publications (1)

Publication Number Publication Date
RU2680038C1 true RU2680038C1 (ru) 2019-02-14

Family

ID=65442437

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018101596A RU2680038C1 (ru) 2018-01-16 2018-01-16 Способ защиты вычислительных сетей

Country Status (1)

Country Link
RU (1) RU2680038C1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2726900C1 (ru) * 2019-12-09 2020-07-16 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6513122B1 (en) * 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
RU2267154C1 (ru) * 2004-07-13 2005-12-27 Военный университет связи Способ контроля информационных потоков в цифровых сетях связи
RU2304302C2 (ru) * 2005-03-18 2007-08-10 Государственное научное учреждение научно-исследовательский институт "СПЕЦВУЗАВТОМАТИКА" Способ обработки сетевых пакетов для обнаружения компьютерных атак
RU2307392C1 (ru) * 2006-05-02 2007-09-27 Военная академия связи Способ (варианты) защиты вычислительных сетей
RU2422892C1 (ru) * 2010-04-13 2011-06-27 Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации Способ защиты вычислительной сети

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6513122B1 (en) * 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
RU2267154C1 (ru) * 2004-07-13 2005-12-27 Военный университет связи Способ контроля информационных потоков в цифровых сетях связи
RU2304302C2 (ru) * 2005-03-18 2007-08-10 Государственное научное учреждение научно-исследовательский институт "СПЕЦВУЗАВТОМАТИКА" Способ обработки сетевых пакетов для обнаружения компьютерных атак
RU2307392C1 (ru) * 2006-05-02 2007-09-27 Военная академия связи Способ (варианты) защиты вычислительных сетей
RU2422892C1 (ru) * 2010-04-13 2011-06-27 Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации Способ защиты вычислительной сети

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2726900C1 (ru) * 2019-12-09 2020-07-16 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей

Similar Documents

Publication Publication Date Title
CN111756712B (zh) 一种基于虚拟网络设备伪造ip地址防攻击的方法
Krupp et al. Identifying the scan and attack infrastructures behind amplification DDoS attacks
US10218733B1 (en) System and method for detecting a malicious activity in a computing environment
RU2690749C1 (ru) Способ защиты вычислительных сетей
KR20080063209A (ko) 엔드포인트 리소스를 사용하는 네트워크 보안 요소
Harshita Detection and prevention of ICMP flood DDOS attack
CN110266650B (zh) Conpot工控蜜罐的识别方法
US20180302438A1 (en) Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation
Tripathi et al. Analysis of various ARP poisoning mitigation techniques: A comparison
Zhang et al. Original SYN: Finding machines hidden behind firewalls
Rohatgi et al. A detailed survey for detection and mitigation techniques against ARP spoofing
Saravanan et al. A new framework to alleviate DDoS vulnerabilities in cloud computing.
Garant et al. Mining botnet behaviors on the large-scale web application community
Rajendran DNS amplification & DNS tunneling attacks simulation, detection and mitigation approaches
Nasser et al. Provably curb man-in-the-middle attack-based ARP spoofing in a local network
CN114244801B (zh) 一种基于政企网关的防arp欺骗方法及系统
Prabadevi et al. A framework to mitigate ARP sniffing attacks by cache poisoning
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
Furfaro et al. A simulation model for the analysis of DDOS amplification attacks
RU2680038C1 (ru) Способ защиты вычислительных сетей
RU2686023C1 (ru) Способ защиты вычислительных сетей
RU2586840C1 (ru) Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем
Mantoo et al. A machine learning model for detection of man in the middle attack over unsecured devices
Nashat et al. Detecting http flooding attacks based on uniform model
US20220103582A1 (en) System and method for cybersecurity