Розмір і число оброблюваних пакетів

Розмір і число оброблюваних пакетів

Головна | Про нас | Зворотній зв'язок

Пропускна здатність = число оброблюваних пакетів * розмір пакета (в бітах) / 1000000

Наприклад, для розміру мережевого пакету, що дорівнює 1500 байтам, і при 30 000 оброблюваних пакетів в секунду пропускна здатність системи виявлення атак складе 360 Мбіт / с. На перший погляд непогано. Але в мережах дуже рідко циркулюють пакети тільки такого розміру. У трафік входять ще й службові пакети істотно меншого обсягу. Крім того, зловмисники дуже часто фрагментують свої атаки, що призводить до неможливого їх виявлення деякими системами виявлення атак. З огляду на викладені міркування, при тому ж числі оброблюваних пакетів, але при зменшенні довжини до 64 байтів пропускна спроможність складе всього 15,36 Мбіт / с.

Насправді є ще один аспект, який треба враховувати при обчисленні пропускної спроможності системи виявлення атак. Це число сигнатур в базі даних виявляються атак. При цьому маються на увазі саме сигнатури, а не події безпеки. Наприклад, для вже згадуваного в розділі 2 події безпеки "атака на CGI-сценарій PHF" може існувати кілька різних сигнатур:

З урахуванням сказаного наведена раніше формула буде виглядати наступним чином:

Пропускна здатність = число оброблюваних пакетів * середній розмір пакета * число сигнатур в базі даних * середній розмір сигнатури

Для зазначених вище даних і при наявності 4000 сигнатур в базі даних при середньому їх розмір в 20 байтів, число необхідних обчислень становить 3 600 000 000 000 (при 1500-байтовому розмірі пакета) або 153 600 000 000 (при 64-байтовому пакеті) операцій в секунду. На сьогоднішній день такі обчислювальні можливості недоступні для звичайних комп'ютерів. Саме тому багато існуючі системи виявлення атак пропускають деякі модифікації відомих сигнатур.

Розподілене за часом сканування

Виведення з ладу системи виявлення атак

Крім уже названих проблем, самі системи виявлення атак, як вже демонструвалося вище, можуть бути метою для атак зловмисників. Усунення "лінії оборони" дозволить зловмисникам непоміченими проникнути в корпоративну мережу і виконати будь-які несанкціоновані дії.

Системи виявлення атак насилу справляються з високошвидкісними мережами. В результаті високого завантаження мережевий сенсор не тільки почне пропускати деякі атаки, але і сам може бути виведений з ладу. Таким чином, зловмисник може "знешкодити" систему виявлення атак шляхом генерації великого обсягу трафіку. Однак ця атака можлива тільки в двох I випадках. По-перше, вона може бути здійснена порушником, що діють у тому ж сегменті, що і мета атаки, і мають можливість згенерувати великі обсяги трафіку. По-друге, ця атака реальна в разі розподіленого нападу на періметрових вузли. У цьому варіанті кілька сотень і тисяч вузлів можуть посилати пакети зі швидкістю 28,8 Кбіт / с, але за рахунок великого числа учасників розподіленої атаки досягається ефект лавини, в результаті чого атакується вузол виводиться з ладу.

Відмова в обслуговуванні

· Атаки на перевантаження (overload).

· Атаки на відмову (crash).

Для усунення зазначених впливів на систему виявлення атак можна задіяти різні механізми. Наприклад, система RealSecure Network Sensor володіє механізмом Event Propagation, який дозволяє зменшити число відображуваних подій на консолі і записуються в базу даних, що захищає останню від переповнення. Крім того, цей механізм дозволяє не відволікати увагу адміністратора на зайві події.

Розмір і число оброблюваних пакетів

Мал. 11.6. Event Viewer

Другий клас атак схожий на атаки на перевантаження. Але, якщо перший тип атак можна побічно зафіксувати, то з другим класом все набагато складніше. Наприклад, скориставшись помилками в коді системи виявлення атак, можна вивести її з ладу. Така ситуація виникала з системою RealSecure Network Sensor застарілої версії 3.2.2, яка "падала" при обробці фрагментованих пакетів. Крім того, цей тип атак особливо актуальний для систем, захоплюючих мережевий трафік не за допомогою власного драйвера, що прямо працює з мережевою картою, а за допомогою драйвера операційної системи. В цьому випадку атаки можуть орієнтуватися на уразливості в реалізації стека протоколів самої операційної системи, що призведе до виведення з ладу не тільки самої ОС, але і всіх працюючих під її управлінням додатків.

Фрагментація - механізм розбиття IP-пакета на безліч більш дрібних фрагментів. При отриманні таких пакетів TCP / IP-пристрій збирає (reassembly) ці пакети і передає кінцевому додатком або повторно фрагментірует їх і передає далі. Багато з систем виявлення атак не вміють відновлювати сегментовані IP-пакети, що призводить до потенційної можливості обійти їх або вивести з ладу. Це небезпечно в принципі, т. К. Існують спеціальні програмні засоби, фрагментуються звичайний мережевий трафік (наприклад, FragRouter).