Наука и технологии России

Вход Регистрация

Алгоритм борьбы с хакерами

Вопросам информационной безопасности была посвящена одна из секций первой международной научной конференции «Управление и виртуализация в современных сетях: SDN&NFV (Сети 2014)», организованной Центром прикладных исследований компьютерных сетей при поддержке Минобрнауки России. Младший научный сотрудник Факультета вычислительной математики и кибернетики МГУ имени М.В. Ломоносова Светлана Гайворонская прокомментировала STRF.ru предложенное ей и её соавтором Михаилом Беляевым из СПбГУ решение для борьбы с DDoS-атаками:

Светлана_Гайворонская
Светлана Гайворонская, младший научный сотрудник Факультета вычислительной математики и кибернетики МГУ имени М.В. Ломоносова

– DDoS-атаки направлены на исчерпание ресурсов. Когда атака генерируется большим количеством узлов и трафика, который поступает на узел «жертвы», её ресурсы, пропускная способность не выдерживают такой нагрузки. Соответственно, легитимные клиенты, пытающиеся получить доступ к какому-то сервису, не могут этого сделать.

Существует два основных механизма борьбы с DDoS-атаками. Первый – это попытка обнаружения атакующих узлов и их фильтрация. Второй – стратегия выживания, которую мы и рассматриваем. Она заключается в наращивании и максимальном использовании собственных ресурсов.

Допустим, есть некоторое количество серверов, на которые идёт атака, и которые мы пытаемся защитить. В SDN-сети между точкой входа и ресурсами, к которым мы хотим получить доступ, стоит оборудование. SDN-сеть прокладывает маршрут, отправляя по нему пакеты легитимных клиентов. При отсутствии атаки сеть работает нормально, а при DDoS-атаке ограниченное количество узлов генерирует очень большое количество трафика. И если пакеты отправляются по одному пути, то он будет попросту забит. Что делает в таком случае SDN-сеть? Она перестроит маршрут и пустит пакеты по другому пути. Но это не решит проблему, поскольку разгрузив один путь, мы забьём другой.

Наш алгоритм объясняет, как максимально эффективно использовать все имеющиеся ресурсы при DDoS-атаке. Вместо разгрузки одного пути и загрузки другого мы равномерно распределяем нагрузку по всему сетевому оборудованию. Благодаря SDN-сетям появилась возможность смотреть на систему в динамике, включая загрузку каждого отдельно взятого канала. В традиционных же сетях возможности быстро, оперативно прописать новые правила маршрутизации нет, а вручную, когда DDoS-атаки идут одна за другой, это делать бессмысленно.

Для меня, как для специалиста по безопасности, SDN-сети предоставляют огромные возможности с точки зрения менеджмента и рероутинга потоков. С их появлением мы в состоянии гибко и эффективно использовать различные решения в борьбе с DDoS-атаками, а также решать вопросы аутентификации, авторизации, шифрования важного трафика. С точки зрения ресурсов, предоставления сервисов каким-то DATA-центром совершенно не важно, традиционная у вас сеть или SDN-сеть. Специфика последней в том, она более низкоуровневая – именно на этапе коммутаций у нас есть большая гибкость решениях по безопасности, маршрутизации, включая динамическую.

РЕЙТИНГ

2.67
голосов: 6

Обсуждение