Анализ трафика и методы противодействия

Необходимость анализатора трафика объясняется тем, что слишком много народа по сети может проникнуть на компьютер и использовать Ваши пользовательские возможности в Интернете за счет ваших средств! а АНАЛИЗАТОР ТРАФИКА помогает следить за состоянием Вашего трафика.

Анализатор трафика, или снифер (от англ. to sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.

Перехват трафика может осуществляться:

• обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на снифер попадают лишь отдельные фреймы);
• подключением снифера в разрыв канала;
• ответвлением (программным или аппаратным) трафика и направлением его копии на снифер;
• через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;
• через атаку на канальном (2) (MAC-spoofing) или сетевом (3) уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на снифер с последующим возвращением трафика в надлежащий адрес.

В начале 1990-х широко применялся хакерами для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде. Широкое распространение хабов позволяло захватывать трафик без больших усилий в больших сегментах сети практически без риска быть обнаруженным.

Сниферы применяются как в благих, так и в деструктивных целях. Анализ прошедшего через снифер трафика позволяет:

• Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (сниферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и её последующий анализ).
• Выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных сниферов — мониторов сетевой активности).
• Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.
• Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели сниферы часто применяются системными администраторами)

Поскольку в «классическом» снифере анализ трафика происходит вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока), то он подходит для анализа лишь небольших его объёмов.

В порядке противодействия атакам, производители оборудования стараются прикрыть наиболее "узкие" места в своих маршрутизаторах (как правило, это процессор маршрутизации) различными средствами – специальными фильтрами (rACL), очередями, шейперами (SPD) и т.д.

                                         

 

                                        Методы противодействия

Рассмотрим основные меры противодействия флудам. Их можно разделить на превентивные и реакционные, а также на пассивные и активные.

1 Предотвращение флуда

Флуд, как, впрочем, и любую другую сетевую атаку, проще предотвратить, чем бороться с его последствиями. Позволим себе проиллюстрировать это утверждение примером из жизни. В 2004 году хостинг-провайдер П и его аплинк, провайдер Р в течение месяца боролись с флудом, направленным на один из хостинговых серверов П. Фильтры помогали слабо. Метод уклонения от флуда также не работал – флуд оперативно следовал за изменением IP-адреса. Быстро изыскать пригодный межсетевой экран также не удалось. В общем, флуд нанёс существенный ущерб обоим провайдерам, а также их клиентам. В процессе расследования инцидента удалось выяснить мотивы злоумышленника. Оказалось, что у хостинг-провайдера П на этом сервере жил веб-форум, который администрировался одним из внештатных сотрудников. Один из участников форума допустил оскорбительное выражение, и его постинг был удалён. Тогда этот участник негативно высказался в адрес администратора форума. Администратор удалил учётную запись этого участника и в дальнейшем препятствовал ему регистрироваться на форуме вновь. Обиженный на администратора участник пообещал уничтожить форум и прибег к флуд-атаке. По-видимому, осуществлял он атаку не сам, а заплатил тем, кто на таких атаках специализируется.

Конечно, заказавший атаку был кругом неправ. Но дальновидно ли поступил администратор форума? Ведь он знал, что хостинговый сервер не способен выдержать серьёзного флуда. И он должен был предполагать, что у любого обидчивого грубияна может найтись пара сотен долларов на удовлетворение своих амбиций. Но администратор форума об этом не подумал, дал волю чувствам и спровоцировал флуд, который, можно сказать, достиг своей цели. А провайдерам и их клиентам был нанесён существенный ущерб.

Образно выражаясь, Интернет сейчас – дикий Запад, где закона практически нет, зато у каждого за поясом вполне может оказаться револьвер. В такой ситуации не стоит отвечать грубостью на грубость, даже если кто-то этого заслуживает. По крайней мере, пока сам не владеешь револьвером лучше всех.

2 Предотвращение последствий

Суть метода состоит в том, чтобы загодя построить инфраструктуру, устойчивую к флуду и DoS-атакам вообще. Устойчивую – значит не прекращающую обслуживать пользователей (во всяком случае, большую их часть) даже под воздействием атаки. Как правило, подразумевается распределённая структура. В англоязычной литературе часто используется термин "content delivery network", а в военной терминологии это звучит как "рассредоточение и мобильность". Оба эти качества вносят вклад в трудноуязвимость такой системы.

3 Уклонение

В тех случаях, когда целью флуда является определённый вебсайт, флуд зачастую ориентируется на доменное имя этого сайта. Чтобы минимизировать ущерб, имеет смысл увести сайт-жертву на отдельный сервер путём изменения записи в DNS. Поскольку генерация флуда обычно автоматизирована, в некоторых частных случаях бывает возможно иным образом «поиграть» с DNS-записями, чтобы отвести или рассеять основной удар флуд-атаки и при этом оставить вебсайт доступным для пользователей.

4 Фильтрация

Фильтрация и блэкхолинг трафика на маршрутизаторах – пока самые распространённые методы противодействия. К сожалению, они работают не всегда. Правильно построенный флуд невозможно зафильтровать без вреда для валидного трафика. Фильтры и блэкхолинг следует вводить возможно ближе к источнику флуда. Межсетевые экраны и специализированные антифлудовые средства фильтрации – наиболее эффективная мера, но и наиболее дорогая. Снизить издержки можно, разделяя такие системы между многими клиентами (фильтрация по требованию).

5 Наращивание

Коль скоро флуд направлен на исчерпание ресурсов, самый примитивный способ противодействия флуду – наращивание своих ресурсов, чтобы противник не смог их исчерпать.

Во всяком случае, необходимо иметь запас мощности на маршрутизаторах если не для того, чтобы "держать удар", то хотя бы для того, чтобы ввести необходимые фильтры, которые иногда сильно сказываются на производительности.

6 Ответные меры

Весьма распространённой ошибкой при защите от сетевых атак (не только от флуда) является применение провайдерами активных ответных мер. Когда провайдер или владелец сайта является коммерческим предприятием, целью которого является извлечение прибыли, то меры противодействия сетевым атакам должны иметь ту же самую цель – способствовать увеличению дохода и сокращению издержек производства. Постановка таких задач, как наказание злоумышленника, защита от атак чужих ресурсов и прочих чисто идеалистических не может рассматриваться как приемлемый способ действий для сотрудников коммерческой компании.

Но попытки применения активных ответных мер, тем не менее, весьма часты. Это объясняется тем, что рядовые сотрудники компании забывают (или никогда и не знали) о коммерческих целях и руководствуются исключительно собственными убеждениями, понятиями о справедливости и т.д.

Бывают очень редкие случаи, когда некоторые ответные меры против атакующего имеют смысл. Для такого случая перечислим эти меры:

Выявление уязвимостей, которыми воспользовался злоумышленник для захвата чужих ресурсов, которые затем использовал для атаки. Нейтрализация этих уязвимостей. Информирование владельца "дырявых" компьютеров.

Жалоба провайдеру узла, который предположительно участвует в атаке с просьбой отключить узел, зафильтровать или ограничить его трафик в сторону атакуемого.
Обращение в правоохранительные органы.

Самостоятельный или с помощью соответствующего провайдера сбор (фиксация) доказательств, которые в дальнейшем могут быть использованы при расследовании.