Internet-телескоп помогает собирать развернутые данные о сетевых угрозах

«Сетевой телескоп», созданный ассоциацией CAIDA, собирает сведения о DoS-атаках, а также о червях Code Red и Code Red 2 путем мониторинга трафика, попадающего в одну из частей Сети
Ученые, которым необходима точная информация о таких угрозах «со стороны» Internet, как черви и атаки типа «отказ в обслуживании» (denial of service, DoS), экспериментируют с технологией, которая «рассматривает» Сеть примерно так же, как астрономы рассматривают Вселенную.

«Сетевой телескоп», созданный ассоциацией Cooperative Association for Internet Data Analysis (CAIDA), собирает сведения о DoS-атаках, а также о червях Code Red и Code Red 2 путем мониторинга трафика, попадающего в одну из частей Сети.

По словам Дэвида Мура, технического менеджера CAIDA, такая методика позволяет получать на сегодняшний день наиболее точную информацию об имеющихся видах событий.

Мур рассказал об этой методике и результатах ее применения на симпозиуме Usenix Security Symposium.

Полученная по технологии CAIDA информация о масштабах атак Internet поможет понять, что это за события и какой ущерб они способны нанести. Она необходима страховым компаниям, чтобы определить, какова вероятность для пользователя оказаться жертвой одного из таких событий, и разработать надлежащие меры для покрытия ущерба.

CAIDA ведет мониторинг трафика, направленного на один из крупных блоков IP-адресов в Калифорнийском университете в Сан-Диего; блок настолько большой, что он охватывает 1/256, или 0,4%, всех адресов в мире. Поведение типичных крупномасштабных DoS-атак и червей таково, что они практически наверняка затронут эту часть сети. Дополнительно для сравнения ассоциация ведет мониторинг двух блоков адресов меньшего размера.

Сетевой телескоп работает следующим образом.

  • В большинстве DoS-атак исходный адрес фальсифицируется программным обеспечением, в силу чего возникает впечатление, что атака инициирована с другого IP-адреса. Эти фальшивые адреса отправителей генерируются более или менее случайным образом, поэтому они, скорее всего, совпадут с некоторыми из адресов крупного блока, которые отслеживает CAIDA. Когда сообщения DoS-атаки достигают своей цели, машина, ставшая жертвой нападения, автоматически отсылает пакеты назад, по адресу "отправителя". CAIDA анализирует эти незатребованные ответы, или "отраженные" пакеты, и шаблоны записей.
  • Такие черви, как Code Red, вынуждают инфицированные системы передавать червя по более или менее случайно выбранным IP-адресам. Распространяемые в массовом порядке черви, вероятнее всего, будут отправлены по адресам из этого крупного адресного блока примерно на той скорости и в такое время, которые отражают общую картину распространения червей по всей Сети. CAIDA выявляет такие пакеты, когда они появляются, и записывает шаблоны.

До сих пор, как заметил Мур, отследить распространение червей и определить масштабы атак вне узла-жертвы было крайне сложно.

Сетевой телескоп имеет определенные ограничения. В большинстве случаев он не может отследить DoS-атаки на сам телескоп, поскольку они вынуждают системы отвечать сайту, ставшему объектом атаки.

По мнению Мура, чем больше телескоп, тем он лучше. Небольшие телескопы, которые ведут мониторинг меньшего набора адресов, как правило, недооценивают пиковую интенсивность атаки и обнаруживают ее позже, чем крупный телескоп.

Смогут ли «сетевые астрономы», не имеющие доступа к столь же крупному фрагменту Internet, что и CAIDA, организовать распределенные Internet-телескопы, сканирующие несколько блоков адресов небольшого размера? Лучше работать с блоком адресов, который используется не очень интенсивно.

Данные, полученные ассоциацией с помощью своего Internet-телескопа, имеют серьезное значение для организации защиты в Сети. Проведя мониторинг трафика в течение первых трех недель февраля 2001 года, CAIDA обнаружила 12 тыс. DoS-атак, обрушившихся на 5 тыс. компьютеров. По оценкам сотрудников ассоциации, 10-20% этих атак были направлены против домашних пользователей, причем они возникали регулярно в течение нескольких недель. Мур считает, что эти атаки могут являться местью отдельным пользователям за их высказывания на Internet-форумах.

«Мы намерены найти решение, чтобы помочь пользователям-неспециалистам организовывать защиту своих компьютеров», — сказал Мур. Но сначала разработчики должны потрудиться в трех направлениях:

  • создать простые в управлении средства защиты;
  • разработать защиту, понятную даже неспециалистам;
  • автоматизировать некоторые аспекты защиты.

Хотя таблицы CAIDA свидетельствуют о том, что DoS-атаки чаще всего в любом часовом поясе возникают в течение рабочего дня с понедельника по пятницу, они ведутся практически непрерывно.

«В каждый момент по крайней мере 20 человек являются объектами такой атаки», — подчеркнул Мур.

Поделитесь материалом с коллегами и друзьями