RU2768536C1 - Способ защиты сервера услуг от DDoS атак - Google Patents

Способ защиты сервера услуг от DDoS атак Download PDF

Info

Publication number
RU2768536C1
RU2768536C1 RU2021111490A RU2021111490A RU2768536C1 RU 2768536 C1 RU2768536 C1 RU 2768536C1 RU 2021111490 A RU2021111490 A RU 2021111490A RU 2021111490 A RU2021111490 A RU 2021111490A RU 2768536 C1 RU2768536 C1 RU 2768536C1
Authority
RU
Russia
Prior art keywords
service server
addresses
server
list
connections
Prior art date
Application number
RU2021111490A
Other languages
English (en)
Inventor
Владимир Владимирович Бухарин
Валерий Игоревич Курносов
Original Assignee
Федеральное государственное бюджетное образовательное учреждение высшего образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное бюджетное образовательное учреждение высшего образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" filed Critical Федеральное государственное бюджетное образовательное учреждение высшего образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича"
Priority to RU2021111490A priority Critical patent/RU2768536C1/ru
Application granted granted Critical
Publication of RU2768536C1 publication Critical patent/RU2768536C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к вычислительной технике. Технический результат заключается в повышении защищенности сервера услуг. Способ защиты сервера услуг от DDoS атак содержит переключение текущих соединений сервера услуг, кроме узлов из «Белого» списка IP-адресов, на резервный сервер, где каждому соединению присваивают численный идентификатор i={1...I}; сбрасывают текущее соединение на резервном сервере, имеющее первый идентификатор; осуществляют мониторинг сетевого трафика на резервном сервере и вычисляют промежуток времени t1 до повторного запроса на соединение, имеющего первый идентификатор, и записывают его в массив памяти Т; последовательно сбрасывают каждое текущее соединение i и осуществляют мониторинг сетевого трафика; при повторном запросе на соединение с текущим идентификатором вычисляют промежутки времени ti, которые записывают в массив памяти T и проверяют наличие совпадения значений промежутков времени ti, при котором объединяют идентификаторы соединений в соответствующие массивы Pj, из которых формируется «Черный» список IP-адресов; переключают соединения, не принадлежащие массивам Рj, с резервного сервера на сервер услуг; сбрасывают все соединения на резервном сервере и осуществляют дальнейшее функционирование сервера услуг с учетом «Черного» списка IP-адресов. 2 ил.

Description

Изобретение относится к области обеспечения безопасности сетей связи и может быть использовано для защиты серверов услуг от DDoS атак.
Введем основные понятия, используемые в данной области техники.
«Черный» список IP-адресов - это пользовательская база данных IP-адресов, сообщения с которых будут блокироваться (см. 1. Электронный ресурс. Режим доступа: http://support.gfi.com/manuaIs/ru/me2014/Content/Admini-strator/Anti-Spam/Anti-Spam_Filters/IP_Blocklist.htm).
Альтернативой «Черного» списка является «Белый» список IP-адресов (см. 2. Электронный ресурс. Режим доступа: http://dic.academic.ru/dic.nsf/ruwiki/701664/Черный_список).
Сетевой трафик - объем информации, передаваемой через компьютерную сеть за определенный период времени посредством IP-пакетов, (см. 3. А. Винокуров Принципы организации учета IР-трафика. Электронный ресурс. Режим доступа: http://habrahabr.ru/post/136844).
Известна система и способ уменьшения ложных срабатываний при определении сетевой атаки, (см. 4. патент РФ на изобретение №2480937, М.кл. H04L 29/06, G06F 15/16, G06F 21/30, опубл. 27.04.2013 г. Бюлл. №12). Способ заключается в том, что перенаправляют трафик к сервису на сенсоры и центры очистки, обрабатывают на сенсорах все запросы к сервису с дальнейшим агрегированием полученной информации, обновляют правила фильтрации на коллекторах, используя полученную от сенсоров информацию, корректируют обновленные правила фильтрации с помощью управляющего модуля на основании статистики предыдущих сетевых атак, фильтруют трафик на центрах очистки, используя заданные правила фильтрации.
Недостатком известного способа является низкая защищенность сервиса при сетевой атаке из-за отсутствия резервирования и дополнительного анализа «Черного» списка IP-адресов.
Известен также способ защиты элементов виртуальных частных сетей связи от DDoS-атак (см. 5. патент РФ на изобретение №2636640, М.кл. G06F 21/55, G06F 21/62, H04L 12/28, G06F 11/30 опубл. 27.11.2017 г. Бюлл. №33.) заключающийся в том, что в базу данных заносят «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, в которой «Белые» и «Черные» списки IP-адресов задаются на основе поведенческих критериев, включающих анализ измеренных параметров атак, фильтрацию сетевого трафика для защиты сервиса от сетевых атак, содержащий этапы, на которых перенаправляют трафик к сервису на сенсоры и центры очистки, обрабатывают на сенсорах все запросы к сервису с дальнейшим, агрегированием полученной информации, обновляют правила фильтрации на коллекторах, используя полученную от сенсоров информацию, корректируют обновленные правила фильтрации с учетом статистики предыдущих сетевых атак, фильтруют трафик на центрах очистки, используя заданные правила фильтрации, при этом центры очистки подключены к магистральным каналам связи по каналам с высокой пропускной способностью, при обнаружении атаки прогнозируют влияние атаки на элемент VPN, «Белые» списки IP-адресов своевременно дополняются при появлении новых IP-адресов, осуществляют сбор статистики о функционировании VPN.
Недостатком известного способа является низкая защищенность сервера услуг, связанная с необходимостью значительного времени для его восстановления и отсутствием дополнительного анализа «Черного» списка IP-адресов, для соблюдения их актуальности.
Наиболее близким по технической сущности и выполняемым функциям аналогом (прототипом) к заявленному способу является способ защиты сервера услуг от DDoS атак (см. 6. патент РФ на изобретение №2679219, М.кл. H04L 29/06, опубл. 06.02.2019 г. Бюлл. №4.) заключающийся в том, что формируют резервный сервер, сервер оповещения и подключают их по независимому каналу к сети связи, а так же задают максимальную производительность сервера услуг, далее во время мониторинга сетевого трафика определяют и записывают данные о текущих соединениях сервера услуг, после чего рассчитывают текущую нагрузку на сервер услуг и сравнивают ее с максимальной производительностью, если текущая нагрузка на сервер услуг превышает заданную максимальную производительность сервера услуг, то передают с сервера оповещения служебные команды о переводе узлов из «Белого» списка IP-адресов на резервный сервер, и записывают IP-адреса с которых происходило обращение к серверу услуг в массив памяти M1, после чего сбрасывают все соединения из «Белого» списка IP-адресов, восстанавливают функционирование сервера услуг, для чего включают его для сброса и осуществляют дополнительный анализ сетевого трафика, при этом записывают IP-адреса с которых происходило поступление запроса на соединение с сервером услуг в массив памяти М2, затем выделяют IP-адреса из массива памяти М2 которые совпали с IP-адресами из массива памяти M1, и записывают их в «Черный» список IP-адресов, после обновления правил фильтрации с учетом откорректированного «Черного» списка IP-адресов, в случае продолжения атаки осуществляют взаимодействие узлов «Белого» списка IP-адресов с резервным сервером, а в случае окончания атаки передают служебные команды о переводе узлов «Белого» списка IP-адресов на основной сервер, после чего осуществляют дальнейшее функционирование сервера услуг с учетом откорректированного «Черного» списка IP-адресов.
Техническая проблема заключается в низкой защищенности сервера услуг связанная с необходимостью значительного времени для его восстановления и использования резервного, а также недостаточностью дополнительного анализа при формировании «Черного» списка IP-адресов.
Техническим результатом является повышение защищенности сервера услуг, за счет непрерывности обслуживания «Белого» списка IP-адресов, переводя на резервный сервер только соединений к данному списку не относящихся, а также расширение дополнительного анализа «Черного» списка IP-адресов используя временные параметры их формирования.
Технический результат достигается тем, что в способе защиты сервера услуг от DDoS атак, заключающийся в том, что создают управляющий модуль, который использует «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, при этом «Белые» списки IP-адресов задаются на этапе формирования управляющего модуля, задают правила фильтрации сетевого трафика, формируют резервный сервер, так же задают максимальную производительность сервера услуг, далее во время мониторинга сетевого трафика определяют и записывают данные о текущих соединениях сервера услуг, после чего рассчитывают текущую нагрузку на сервер услуг и сравнивают ее с максимальной производительностью, после формирования «Черного» списка IP-адресов обновляют правила фильтрации сетевого трафика, после чего осуществляют дальнейшее функционирование сервера услуг с учетом откорректированного «Черного» списка IP-адресов, согласно изобретению после сравнения максимальной производительности с текущей нагрузкой на сервер услуг, в случае ее превышения переключают текущие соединения сервера услуг, кроме узлов из «Белого» списка IP-адресов на резервный сервер, затем каждому соединению на резервном сервере присваивают численный идентификатор i={1…I}, после чего сбрасывают текущее соединение на резервном сервере имеющее первый идентификатор, далее осуществляют мониторинг сетевого трафика на резервном сервере, вычисляют промежуток времени t1 до повторного запроса на восстановление соединения имеющее первый идентификатор, и записывают его в массив памяти Т, затем последовательно для всех соединений на резервном сервере сбрасывают текущее соединение i, далее осуществляют мониторинг сетевого трафика, и при повторном запросе на соединение с текущим идентификатором вычисляют для них промежутки времени ti, которые записывают в массив памяти T, в сформированном массиве Τ проверяют наличие совпадений значений промежутком времени ti, и при их совпадении объединяют идентификаторы соединений в соответствующие массивы Pj, далее из полученных массивов Pj формируют дополнительный «Черный» список IP-адресов, после обновления правила фильтрации сетевого трафика переключают соединения, не принадлежащие массивам Pj с резервного сервера на основной сервер услуг, затем сбрасывают все соединения на резервном сервере, после чего осуществляют дальнейшее функционирование сервера услуг с учетом дополнительного «Черного» списка IP-адресов.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности «новизна».
Перечисленная новая совокупность существенных признаков обеспечивает расширение возможности способа прототипа за счет непрерывности обслуживания «Белого» списка IP-адресов, путем перевода на резервный сервер только соединений к данному списку не относящихся, а также расширение дополнительного анализа «Черного» списка IP-адресов используя новые параметры их формирования.
Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния отличительных существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».
Заявленный способ поясняется чертежами, на которых показано:
на фиг. 1 - обобщенная структурно-логическая последовательность способа защиты сервера услуг от DDoS атак;
на фиг. 2 - схема поясняющая формирование бот-сети.
Согласно фиг. 1 в блоке 1 создают управляющий модуль, который использует «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, в которых задаются «Белые» и начальные «Черные» списки, кроме того в блоке 17 формируют дополнительные «Черные» списки, которые используются в дальнейшем при функционировании (см. 7. Справка Dr. Web. Черный и «Белый» списки Электронный ресурс. Режим доступа: http://download.geo.drweb.com/pub/drweb/windows/workstation/9.0/documentation/html/ru/pc_whitelist.htm]. Помимо этого, в блоке 1 задают максимальную производительность сервера услуг
Figure 00000001
Формируют резервный сервер услуг для переключения соединений с основного сервера услуг в случае DDoS атаки.
Подключают резервный сервер услуг к сети связи по независимому каналу. В блоке 2 задают правила фильтрации сетевого трафика.
Правила фильтрации трафика являются результатом действия правил антиспуфинга, выбранного режима безопасности для каждого сетевого интерфейса, списка сетевых фильтров для соединений и работой системы обнаружения атак.
Фильтрация трафика осуществляется с учетом установленных соединений, то есть соединений, образующихся на основании разрешенного правилами входящего или исходящего пакета. При поступлении пакета фиксируются разные параметры разрешенного фильтрами входящего или исходящего пакета. На основании этих данных создается временное правило соединения для дальнейшего пропуска пакетов в прямом и обратном направлении. Такое правило существует, пока есть трафик, соответствующий данному соединению, (см. 8. Основные принципы фильтрации. Электронный ресурс. Режим доступа: http://mybiblioteka.su/10-39332.html].
В блоке 3 осуществляют мониторинг сетевого трафика.
Под мониторингом сети понимают процесс сбора и анализа сетевого трафика, по результатам которого можно судить о качественных и количественных характеристиках работоспособности сети или ее отдельных компонентов. Программы мониторинга сети позволяют выполнять захват пакетов и их реассемблирование для дальнейшего анализа (см. 9. Мониторинг сети. Сниффер Wireshark. Электронный ресурс. Режим доступа: http://www.4stud.info/networking/work2.html).
Обрабатывают полученные данные о всех запросах к серверу услуг с дальнейшим агрегированием полученной информации (см. 10. Мониторинг сетевого трафика с помощью Netflow. Перевод: Сгибнев Михаил Электронный ресурс. Режим доступа: http://www.opennet.ru/base/cisco/monitor_netflow.txt.html. И. Чубин NetFlow Электронный ресурс. Режим доступа: http://www.opennet.ru/docs/RUS/netflow_bsd/].
В блоке 4 собирают сведения о текущих соединениях сервера.
Проводится сбор (инвентаризация) соединений сервера (см. 11. Отчеты наборов элементов сбора системных данных. Электронный ресурс. Режим доступа: https://msdn.microsoft.com/ru-ru/library/cc280385(v=sql.110).aspx). При этом записывают данные о IP-адресе отправителя и IP-адресе получателя, а также количество IP-пакетов переданных между этими парами.
В блоке 5 рассчитывают текущую нагрузку на сервер.
В общем случае нагрузку на сервер услуг можно представить, как произведение количества абонентов, подключенных к серверу услуг, и объема передаваемой абонентами информации:
Figure 00000002
где
Figure 00000003
- общая нагрузка на сервер услуг;
Na6 - количество абонентов;
Figure 00000004
- объем передаваемой абонентами информации.
В условиях проведения сетевых атак общая нагрузка на сервер услуг будет формироваться как сумма нагрузки DDoS атаки и информационной нагрузки от узлов связи:
Figure 00000005
где R - общая нагрузка на сервер услуг;
Figure 00000006
- нагрузка от узлов связи, подключенных к серверу услуг;
Rат - нагрузка на сервер производимая DDoS атакой.
В блоке 6 проверяют выполнение условия
Figure 00000007
Если условие выполняется, то переходят к блоку 7 и переключают текущие соединения кроме узлов связи из «Белого» списка IP-адресов с основного сервера услуг на резервный, в противном случае переходят к блоку 3 и продолжают мониторинг сетевого трафика.
В блоке 8 присваивают всем соединениям на резервном сервере услуг численный идентификатор. Таким образом формируется массив i={1…I}, где i - номер соединения, I - количество соединений на резервном сервере услуг. При этом каждому соединению будет соответствовать IP-адрес с которого происходит обращение к серверу.
В блоке 9 сбрасывают первое текущее соединение, т.е. имеющее идентификатор i=1 на резервном сервере услуг.
Это осуществляется для возможности в дальнейшем на основе параметров повторного запроса на сеанс к запасному серверу услуг определить является ли узел элементом бот-сетей.
В блоке 10 осуществляют мониторинг сетевого трафика на резервном сервере услуг.
Атаки «отказ в обслуживании» (DDoS) влияют на доступность информационных ресурсов. Атака «отказ в обслуживании» считается успешной, если она привела к недоступности информационного ресурса. В данном случае речь идет о большом количестве злонамеренных запросов, поступающих на сервер из множества разных мест. Обычно такие атаки организуются посредством бот-сетей. Бот-сеть генерирует большое количество запросов к серверу, что приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании легитимных пользователей (см. 12. DDoS-атаки: типы атак и уровни модели OSI. Электронный ресурс. Режим доступа: https://firstvds.ru/technology/types-of-ddos].
В данном блоке 10 обрабатывают полученные данные о всех запросах к серверу услуг с дальнейшим агрегированием полученной информации (см. 13. Мониторинг сетевого трафика с помощью Netflow. Перевод: Сгибнев Михаил Электронный ресурс.Режим доступа: http://www.opennet.ru/base/cisco/ monitor_netflow.txt.html. И. Чубин NetFlow Электронный ресурс. Режим доступа: http://www.opennet.ru/docs/RUS/netflow_bsd/). При обработке данных о запросах к серверу услуг выделяются все IP-адреса, от которых получен запрос на соединение, но соединение не установлено. Формальные признаки, по которым можно определить DDoS атаку представлены в (см. 14. Определение DoS/DDoS атак на сервер. Электронный ресурс. Режим доступа: https://www.stableit.ru/2010/01/dosddos.html).
В блоке 11 вычисляют промежуток времени t1 до повторного запроса на восстановление соединения, имеющее первый идентификатор и записывают его значение в массив памяти Т.
В формируемом массиве памяти Τ храниться значения промежутков времени от сброса соединения до повторного запроса на восстановление ti={t1…tI} для всех соединений резервного сервера услуг.
Далее в блоках 12-15 производится последовательное определение промежутков времени от сброса соединения до повторного запроса на восстановление соединения для всех соединений I на резервном сервере услуг, которые позволят сформировать массив Т.
В блоке 16 проверяют наличие совпадений определенных значений промежутков времени ti из массива Т. В случае совпадений нескольких значений промежутков времени соответствующие соединения объединяют в массив Р1. При наличии последующих совпадений других значений промежутков времени соответствующие соединения объединяют в массив Pj. Таким образом, после полной проверки массива Τ на наличии совпадений значений промежутков времени будут сформированы J массивов Р, т.е. определенные соединения будут объединены в массивы учитывая их одинаковые значения промежутков времени ti.
Для осуществления DDoS атак злоумышленник формирует бот-сеть, которая состоит из компьютеров-зомби зараженные ботом управляемых удаленно (фиг. 2). Под ботом понимается программа, выполняющая определенные действия, например, отправка пакетов на атакуемый компьютер, по командам удаленного центра управления - компьютера злоумышленника (см. 15. В.Г. Олифер, П.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (5-е издание) СПб.: Питер - 2016., стр. 928). В большинстве случаях бот-сети организуются злоумышленником из существенно большого количества компьютеров расположенных в непосредственной близости к атакуемому компьютеру, что упрощает реализацию DDoS атаки и гарантирует ее успешное завершение. На фиг. 2 выделены компьютеры из сегментов сети являющимися бот-сетыо и осуществляющие DDoS атаку на компьютер, расположенный во внешней сети.
При этом на компьютерах-зомби, входящих в одну и ту же бот-сеть, злоумышленник устанавливает одну и ту же управляющую программу. Учитывая, что действия, выполняемые на компьютерах-зомби одни и те же, то и запросы на повторные соединения на сервер услуг при реализации DDoS атаки будут производиться через достаточно одинаковые (имеющие существенно небольшое расхождение значений) промежутки времени после сброса соединения, что позволяет использовать их в качестве дополнительного параметра при анализе сетевого трафика по IP-адресам.
Таким образом, из имеющихся соединений на резервном сервере услуг будут сформированы множества Pj={1…J}, где J - количество зафиксированных бот-сетей, узлов сети имеющие определенные IP-адреса, которые в блоке 17 объединяются в дополнительный «Черный» список.
В блоке 18 обновляют правила фильтрации сетевого трафика с учетом дополнительного «Черного» списка IP-адресов.
В блоке 19 переключают соединения, не вошедшие в массивы Pj с резервного сервера на основной сервер услуг. Не вошедшие в дополнительный «Черный» список узлы сети считаются как не участвующие в DDoS атаке и дальнейшее их обслуживание осуществляет основной сервер услуг.
В блоке 20 сбрасывают все соединения на резервном сервере услуг. Учитывая, что на резервном сервере остались только соединения, вошедшие в дополнительный «Черный» список IP-адресов, необходим их сброс и освобождения его от нежелательной нагрузки.
В блоке 21 осуществляют функционирование сервера услуг с учетом скорректированного «Черного» списка IP-адресов.
Далее если принятые пакеты получены из списка «Белых» IP-адресов, то пакет обрабатывается. Если пакет принят с IP-адреса не из «Белого» списка, то IP-адрес сравнивается с «Черным» списком IP-адресов. Если принятый пакет получен из списка «Черных» IP-адресов, то пакет перенаправляется на центр очистки и уничтожается (см. 16. Сетевая защита на базе технологий фирмы Cisco System. Практический курс. Уральский федеральный университет имени первого Президента России Б.Н. Ельцина. Екатеринбург, с. 180. 2014).
Достижение технического результата поясняется следующим образом.
В способе-прототипе при начале DDoS атаки все соединения, в том числе и из списка «Белых» IP-адресов, установленные с сервером услуг, будут переведены на резервный сервер услуг, что потребует определенного времени. Это приведет к задержке в обслуживании данных соединений около 10 минут. В заявленном способе соединения из списка «Белых» IP-адресов не переключаются на резервный, а остаются на основном сервере услуг, что означает отсутствие времени перерыва в обслуживании.
Кроме того, в предлагаемом способе «Черный» список IP-адресов формируется путем анализа по дополнительному параметру, что позволяет более точно определить принадлежность узлов сети к бот-сетями злоумышленника. При этом даже если он использует различные варианты конфигураций бот-сетей при реализации DDoS атаки предлагаемый способ позволяет определить их в режиме реального времени.
Приведенные ссылки на источники информации, показывают возможность осуществления операций предлагаемого способа, приведенных на фиг. 1, известными средствами и свидетельствуют о его промышленной применимости.
Таким образом, заявленный способ за счет непрерывности обслуживания «Белого» списка IP-адресов, осуществляя перевод на резервный сервер только соединений к данному списку не относящихся, а также расширение дополнительного анализа «Черного» списка IP-адресов используя временные параметры их формирования позволяет повысить защищенность сервера услуг.

Claims (1)

  1. Способ защиты сервера услуг от DDoS атак, заключающийся в том, что создают управляющий модуль, который использует «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, при этом «Белые» списки IP-адресов задаются на этапе формирования управляющего модуля, задают правила фильтрации сетевого трафика, формируют резервный сервер, так же задают максимальную производительность сервера услуг, далее во время мониторинга сетевого трафика определяют и записывают данные о текущих соединениях сервера услуг, после чего рассчитывают текущую нагрузку на сервер услуг и сравнивают ее с максимальной производительностью, после формирования «Черного» списка IP-адресов обновляют правила фильтрации сетевого трафика, после чего осуществляют дальнейшее функционирование сервера услуг с учетом откорректированного «Черного» списка IP-адресов, отличающийся тем, что после сравнения максимальной производительности с текущей нагрузкой на сервер услуг, в случае ее превышения переключают текущие соединения сервера услуг, кроме узлов из «Белого» списка IP-адресов на резервный сервер, затем каждому соединению на резервном сервере присваивают численный идентификатор i={1…I}, после чего сбрасывают текущее соединение на резервном сервере, имеющее первый идентификатор, далее осуществляют мониторинг сетевого трафика на резервном сервере, вычисляют промежуток времени t1 до повторного запроса на восстановление соединения, имеющее первый идентификатор, и записывают его в массив памяти Т, затем последовательно для всех соединений на резервном сервере сбрасывают текущее соединение i, далее осуществляют мониторинг сетевого трафика, и при повторном запросе на соединение с текущим идентификатором вычисляют для них промежутки времени ti, которые записывают в массив памяти Т, в сформированном массиве Τ проверяют наличие совпадений значений промежутком времени ti, и при их совпадении объединяют идентификаторы соединений в соответствующие массивы Рj, далее из полученных массивов Рj формируют дополнительный «Черный» список IP-адресов, после обновления правила фильтрации сетевого трафика переключают соединения, не принадлежащие массивам Рj с резервного сервера на основной сервер услуг, затем сбрасывают все соединения на резервном сервере, после чего осуществляют дальнейшее функционирование сервера услуг с учетом дополнительного «Черного» списка IP-адресов.
RU2021111490A 2021-04-21 2021-04-21 Способ защиты сервера услуг от DDoS атак RU2768536C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2021111490A RU2768536C1 (ru) 2021-04-21 2021-04-21 Способ защиты сервера услуг от DDoS атак

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2021111490A RU2768536C1 (ru) 2021-04-21 2021-04-21 Способ защиты сервера услуг от DDoS атак

Publications (1)

Publication Number Publication Date
RU2768536C1 true RU2768536C1 (ru) 2022-03-24

Family

ID=80819447

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2021111490A RU2768536C1 (ru) 2021-04-21 2021-04-21 Способ защиты сервера услуг от DDoS атак

Country Status (1)

Country Link
RU (1) RU2768536C1 (ru)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100095351A1 (en) * 2007-04-28 2010-04-15 Huawei Technologies Co., Ltd. Method, device for identifying service flows and method, system for protecting against deny of service attack
US20140150095A1 (en) * 2012-11-28 2014-05-29 Yujie ZHAO Systems and methods to detect and respond to distributed denial of service (ddos) attacks
RU2636640C2 (ru) * 2016-03-11 2017-11-27 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ защиты элементов виртуальных частных сетей связи от ddos-атак
US20180091547A1 (en) * 2016-09-26 2018-03-29 Arbor Networks, Inc. Ddos mitigation black/white listing based on target feedback
RU2679219C1 (ru) * 2018-02-07 2019-02-06 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100095351A1 (en) * 2007-04-28 2010-04-15 Huawei Technologies Co., Ltd. Method, device for identifying service flows and method, system for protecting against deny of service attack
US20140150095A1 (en) * 2012-11-28 2014-05-29 Yujie ZHAO Systems and methods to detect and respond to distributed denial of service (ddos) attacks
RU2636640C2 (ru) * 2016-03-11 2017-11-27 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ защиты элементов виртуальных частных сетей связи от ddos-атак
US20180091547A1 (en) * 2016-09-26 2018-03-29 Arbor Networks, Inc. Ddos mitigation black/white listing based on target feedback
RU2679219C1 (ru) * 2018-02-07 2019-02-06 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК

Similar Documents

Publication Publication Date Title
US10097578B2 (en) Anti-cyber hacking defense system
KR101070614B1 (ko) 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법
Prasad et al. An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic
KR100800370B1 (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
JP6726331B2 (ja) アクセス要求を規制するシステムおよび方法
US20120174220A1 (en) Detecting and mitigating denial of service attacks
US20050278779A1 (en) System and method for identifying the source of a denial-of-service attack
RU2480937C2 (ru) Система и способ уменьшения ложных срабатываний при определении сетевой атаки
CN110266650B (zh) Conpot工控蜜罐的识别方法
AU2013272211A1 (en) Path scanning for the detection of anomalous subgraphs, anomaly/change detection and network situational awareness
CN110417717B (zh) 登录行为的识别方法及装置
RU2679219C1 (ru) СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК
Andropov et al. Network anomaly detection using artificial neural networks
Thakur et al. Detection and prevention of botnets and malware in an enterprise network
Zhu Attack pattern discovery in forensic investigation of network attacks
Fachkha Cyber threat investigation of SCADA modbus activities
Garant et al. Mining botnet behaviors on the large-scale web application community
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
Das et al. Flood control: Tcp-syn flood detection for software-defined networks using openflow port statistics
Ono et al. A design of port scan detection method based on the characteristics of packet-in messages in openflow networks
RU2705773C1 (ru) Способ защиты информационно-вычислительной сети от вторжений
RU2768536C1 (ru) Способ защиты сервера услуг от DDoS атак
Prasad et al. IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots
RU2703329C1 (ru) Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак
RU2531878C1 (ru) Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети