[go: up one dir, main page]

RU2679219C1 - Method of protection of service server from ddos attack - Google Patents

Method of protection of service server from ddos attack Download PDF

Info

Publication number
RU2679219C1
RU2679219C1 RU2018104734A RU2018104734A RU2679219C1 RU 2679219 C1 RU2679219 C1 RU 2679219C1 RU 2018104734 A RU2018104734 A RU 2018104734A RU 2018104734 A RU2018104734 A RU 2018104734A RU 2679219 C1 RU2679219 C1 RU 2679219C1
Authority
RU
Russia
Prior art keywords
addresses
list
service server
server
white
Prior art date
Application number
RU2018104734A
Other languages
Russian (ru)
Inventor
Владимир Владимирович Бухарин
Павел Владимирович Закалкин
Сергей Юрьевич Карайчев
Юрий Иванович Стародубцев
Михаил Игоревич Сергеев
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации filed Critical Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации
Priority to RU2018104734A priority Critical patent/RU2679219C1/en
Application granted granted Critical
Publication of RU2679219C1 publication Critical patent/RU2679219C1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/32Flooding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: network communication technologies.
SUBSTANCE: invention relates to the field of securing communication networks and can be used to protect service servers from DDoS attacks. Technical problem is the low security of the server services, associated with the need for considerable time to restore it and the lack of additional analysis of the “Black” list of IP addresses to ensure their relevance. Technical problem is solved due to the absence of a break in the maintenance of connections from the “White” list of IP addresses and additional analysis of the “Black” list of IP addresses.
EFFECT: increasing the security of the service server due to continuous maintenance of connections from the “White” list of IP addresses and additional analysis and correction of the “Black” list of IP addresses.
1 cl, 2 dwg

Description

Изобретение относится к области обеспечения безопасности сетей связи и может быть использовано для защиты серверов услуг от DDoS атак.The invention relates to the field of security of communication networks and can be used to protect service servers from DDoS attacks.

«Чёрный» список IP-адресов – это пользовательская база данных IP-адресов, сообщения с которых будут блокироваться [Электронный ресурс. Режим доступа: http://support.gfi.com/manuals/ru/me2014/Content/Admini-strator/Anti-Spam/Anti-Spam_Filters/IP_Blocklist.htm].The “black” list of IP addresses is a user database of IP addresses from which messages will be blocked [Electronic resource. Access Mode: http://support.gfi.com/manuals/en/me2014/Content/Admini-strator/Anti-Spam/Anti-Spam_Filters/IP_Blocklist.htm].

Альтернативой «Черного» списка является «Белый» список IP-адресов [Электронный ресурс. Режим доступа: http://dic.academic.ru/dic.nsf/ruwiki/ 701664/Чёрный_список].An alternative to the "Black" list is the "White" list of IP addresses [Electronic resource. Access mode: http://dic.academic.ru/dic.nsf/ruwiki/ 701664 / Black_list].

Сетевой трафик – объём информации, передаваемой через компьютерную сеть за определенный период времени посредством IP-пакетов. [А. Винокуров Принципы организации учёта IP-трафика. Электронный ресурс. Режим доступа: http://habrahabr.ru/post/136844].Network traffic - the amount of information transmitted through a computer network over a certain period of time via IP packets. [BUT. Vinokurov Principles of IP traffic accounting. Electronic resource. Access mode: http://habrahabr.ru/post/136844].

Известна система и способ уменьшения ложных срабатываний при определении сетевой атаки, (патент РФ №2480937, H04L 29/06, G06F 15/16, G06F 21/30, опубл. 27.04.2013 г. Бюлл. № 12) заключающийся в том, что перенаправляют трафик к сервису на сенсоры и центры очистки, обрабатывают на сенсорах все запросы к сервису с дальнейшим агрегированием полученной информации, обновляют правила фильтрации на коллекторах, используя полученную от сенсоров информацию, корректируют обновленные правила фильтрации с помощью управляющего модуля на основании статистики предыдущих сетевых атак, фильтруют трафик на центрах очистки, используя заданные правила фильтрации.A known system and method for reducing false positives when determining a network attack, (RF patent No. 2480937, H04L 29/06, G06F 15/16, G06F 21/30, published on 04/27/2013 Bull. No. 12) is that redirect traffic to the service to sensors and cleaning centers, process all service requests on the sensors with further aggregation of the received information, update the filtering rules on the collectors using the information received from the sensors, adjust the updated filtering rules using the control module based on statistics from previous networks out attacks, filter traffic at the cleaning centers using the specified filtering rules.

Наиболее близким по технической сущности и выполняемым функциям аналогом (прототипом) к заявленному является способ защиты элементов виртуальных частных сетей связи от DDoS-атак (патент РФ №2636640, G06F 21/55, G06F 21/62, H04L 12/28, G06F 11/30 опубл. 27.11.2017 г. Бюлл. № 33.) заключающийся в том, что в базу данных заносят «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, в которой «Белые» и «Черные» списки IP-адресов задаются на основе поведенческих критериев, включающих анализ измеренных параметров атак, фильтрацию сетевого трафика для защиты сервиса от сетевых атак, содержащий этапы, на которых перенаправляют трафик к сервису на сенсоры и центры очистки, обрабатывают на сенсорах все запросы к сервису с дальнейшим, агрегированием полученной информации, обновляют правила фильтрации на коллекторах, используя полученную от сенсоров информацию, корректируют обновленные правила фильтрации с учетом статистики предыдущих сетевых атак, фильтруют трафик на центрах очистки, используя заданные правила фильтрации, при этом центры очистки подключены к магистральным каналам связи по каналам с высокой пропускной способностью, при обнаружении атаки прогнозируют влияние атаки на элемент VPN, «Белые» списки IP-адресов своевременно дополняются при появлении новых IP-адресов, осуществляют сбор статистики о функционировании VPN.The closest in technical essence and functions performed analogue (prototype) to the claimed one is a method of protecting elements of virtual private communication networks from DDoS attacks (RF patent No. 2636640, G06F 21/55, G06F 21/62, H04L 12/28, G06F 11 / 30 publ. November 27, 2017 Bull. No. 33.) consisting in the fact that in the database are entered “White” and “Black” lists of IP addresses to adjust filtering rules, in which “White” and “Black” lists of IP -addresses are set based on behavioral criteria, including analysis of measured attack parameters, filtering network traffic to protect with A service from network attacks, which contains stages where redirecting traffic to the service to sensors and cleaning centers, processes all service requests on the sensors with further aggregation of the received information, updates the filtering rules on the collectors, using the information received from the sensors, and updates filtering rules taking into account the statistics of previous network attacks, they filter traffic at the cleaning centers using the specified filtering rules, while the cleaning centers are connected to the main communication channels on the channel For high-bandwidth alarms, when an attack is detected, the effect of the attack on the VPN element is predicted, the “White” lists of IP addresses are timely updated when new IP addresses appear, and statistics are collected on the functioning of the VPN.

Техническая проблема. Низкая защищенность сервера услуг связанная с необходимостью значительного времени для его восстановления и отсутствием дополнительного анализа «Черного» списка IP-адресов, для соблюдения их актуальности.Technical problem. Low security of the service server associated with the need for significant time to restore it and the lack of additional analysis of the "Black" list of IP addresses to comply with their relevance.

Техническая проблема решается за счет отсутствия перерыва в обслуживании соединений из «Белого» списка IP-адресов, дополнительного анализа «Черного» списка IP адресов.The technical problem is solved due to the absence of an interruption in servicing connections from the White List of IP addresses, additional analysis of the Black List of IP addresses.

Технический результат. Повышение защищенности сервера услуг за счет непрерывного обслуживания соединений из «Белого» списка IP-адресов и дополнительного анализа и корректировки «Черного» списка IP-адресов.The technical result. Increasing the security of the service server due to the continuous maintenance of connections from the White List of IP addresses and additional analysis and adjustment of the Black List of IP addresses.

Технический проблема решается тем, что в способе защиты сервера услуг от DDoS атак, выполняется следующая последовательность действий, создают управляющий модуль, который использует «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, при этом «Белые» списки IP-адресов задаются на этапе формирования управляющего модуля, задают правила фильтрации сетевого трафика, осуществляют мониторинг сетевого трафика путем обработки всех запросов поступающих к серверу услуг с дальнейшим агрегированием полученной информации, после формирования «Черного» списка IP-адресов обновляют правила фильтрации сетевого трафика, после перевода узлов «Белого» списка IP-адресов на основной сервер услуг принимаемые пакеты проверяются в «Белом» списке IP-адресов затем в «Черном» списке IP-адресов, при обнаружении IP-адреса в «Черном» списке принимаемый трафик с этого IP-адреса перенаправляется на центр очистки, согласно изобретению дополнительно формируют резервный сервер, сервер оповещения и подключают их по независимому каналу к сети связи, а так же задают максимальную производительность сервера услуг, далее во время мониторинга сетевого трафика определяют и записывают данные о текущих соединениях сервера услуг, после чего рассчитывают текущую нагрузку на сервер услуг и сравнивают ее с максимальной производительностью, если текущая нагрузка на сервер услуг превышает заданную максимальную производительность сервера услуг, то передают с сервера оповещения служебные команды о переводе узлов из «Белого» списка IP-адресов на резервный сервер, и записывают IP-адреса с которых происходило обращение к серверу услуг в массив памяти M1, после чего сбрасывают все соединения из «Белого» списка IP-адресов, восстанавливают функционирование сервера услуг, для чего включают его для сброса и осуществляют дополнительный анализ сетевого трафика, при этом записывают IP-адреса с которых происходило поступление запроса на соединение с сервером услуг в массив памяти M2, затем выделяют IP-адреса из массива памяти M2 которые совпали с IP-адресами из массива памяти M1, и записывают их «Черный» список IP-адресов, после обновления правил фильтрации с учетом откорректированного «Черного» списка IP-адресов, в случае продолжения атаки осуществляют взаимодействие узлов «Белого» списка IP-адресов с резервным сервером, а в случае окончания атаки передают служебные команды о переводе узлов «Белого» списка IP-адресов на основной сервер, после чего осуществляют дальнейшее функционирование сервера услуг с учетом откорректированного «Черного» списка IP-адресов.The technical problem is solved in that in the method of protecting the service server from DDoS attacks, the following sequence of actions is performed, a control module is created that uses the “White” and “Black” lists of IP addresses to adjust filtering rules, while the “White” lists are IP addresses are set at the stage of formation of the control module, set the rules for filtering network traffic, monitor network traffic by processing all requests received by the server services with further aggregation of received information, last e the formation of the “Black” list of IP addresses updates the rules for filtering network traffic, after transferring the nodes of the “White” list of IP addresses to the main service server, the received packets are checked in the “White” list of IP addresses and then in the “Black” list of IP addresses upon detection of an IP address in the Black List, received traffic from this IP address is redirected to the cleaning center, according to the invention, an additional backup server, an alert server are additionally formed and connected via an independent channel to the communication network, and they also set the maximum performance the service server’s activity, then during monitoring of network traffic, data on the current connections of the service server are determined and recorded, then the current load on the service server is calculated and compared with the maximum performance, if the current load on the service server exceeds the specified maximum service server performance, then from the notification server, service commands about transferring nodes from the “White” list of IP addresses to the backup server, and record the IP addresses from which the service server was accessed an M1 memory array, after which all connections from the White List of IP addresses are reset, the service server is restored, for which they are turned on for reset and additional network traffic analysis is performed, while the IP addresses from which the connection request was received were recorded the service server in the M2 memory array, then allocate IP addresses from the M2 memory array that match the IP addresses from the M1 memory array and write them to the “Black” list of IP addresses, after updating the filtering rules taking into account the adjusted The black list of IP addresses, in the case of a continuation of the attack, the nodes of the White List of IP addresses interact with the backup server, and if the attack ends, service commands are sent to transfer the nodes of the White List of IP addresses to the main server, after which further functioning of the service server, taking into account the adjusted "Black" list of IP addresses.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "новизна".The analysis of the prior art allowed us to establish that analogues, characterized by sets of features that are identical to all the features of the claimed method, are absent. Therefore, the claimed invention meets the condition of patentability "novelty."

Перечисленная новая совокупность существенных признаков обеспечивает расширение возможности способа прототипа за счет отсутствия перерыва в обслуживании соединений из «Белого» списка IP-адресов, дополнительного анализа «Черного» списка IP-адресов, уменьшения времени восстановления сервера услуг и применением дополнительного сервера оповещения.The listed new set of essential features provides an extension of the capabilities of the prototype method due to the absence of an interruption in servicing connections from the “White” list of IP addresses, additional analysis of the “Black” list of IP addresses, reducing the recovery time of the service server and the use of an additional notification server.

Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".Search results for known solutions in this and related fields of technology in order to identify features that match the distinctive features of the claimed invention from the prototypes showed that they do not follow explicitly from the prior art. From the prior art determined by the applicant, the influence of the provided by the essential features of the claimed invention on the achievement of the specified technical result is not known. Therefore, the claimed invention meets the condition of patentability "inventive step".

«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении результата."Industrial applicability" of the method is due to the presence of the element base, on the basis of which devices can be made that implement this method with the achievement of the result specified in the invention.

Заявленный способ поясняется чертежами, на которых показано:The claimed method is illustrated by drawings, which show:

фиг. 1 - обобщенная структурно-логическая последовательность способа защиты сервера услуг от DDoS атак;FIG. 1 is a generalized structural and logical sequence of a method for protecting a service server from DDoS attacks;

фиг. 2 - схема взаимодействия сервера услуг.FIG. 2 is a diagram of a service server interaction.

Заявленный способ поясняется блок-схемой способа защиты сервера услуг от DDoS атак (фиг.1), где в блоке 1 задают максимальную производительность сервера услуг –

Figure 00000001
, создают управляющий модуль, который использует «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, в которой «Белые» списки задаются на начальном этапе, а «Черные» списки формируют в блоке 11. [Справка Dr. Web. Черный и «Белый» списки Электронный ресурс. Режим доступа: http://download.geo.drweb.com/pub/drweb/windows/workstation/9.0/documentation/html/ru/pc_whitelist.htm].The claimed method is illustrated by a flowchart of a method for protecting a service server from DDoS attacks (Fig. 1), where in block 1 the maximum performance of the service server is set -
Figure 00000001
 , create a control module that uses the White and Black lists of IP addresses to adjust filtering rules, in which the White lists are set at the initial stage, and the Black lists are created in block 11. [Help Dr. Web Black and White Lists Electronic resource. Access Mode: http://download.geo.drweb.com/pub/drweb/windows/workstation/9.0/documentation/html/en/pc_whitelist.htm].

Формируют резервный сервер услуг и дополнительный сервер оповещения для рассылки служебных команд на переключение на резервный сервер услуг. A backup service server and an additional notification server are formed for sending service commands to switch to the backup service server.

Сервер оповещения может быть представлен в виде почтового сервера, сервера рассылки SMS сообщений и т.п. Реализация почтового сервера возможна с помощью следующих средств: hmailserver [https://www.hmailserver.com/], hmailserver [http://www.xmailserver.org/], mailenable [http://www.mailenable.com/standard_edition.asp].The notification server can be represented as a mail server, a server for sending SMS messages, etc. The mail server can be implemented using the following tools: hmailserver [https://www.hmailserver.com/], hmailserver [http://www.xmailserver.org/], mailenable [http://www.mailenable.com/standard_edition .asp].

Реализация сервера рассылки SMS возможна с помощью следующих средств: fast sms [http://fastsms.pro/], Diafaan SMS Server [https://www.diafaan.com/], smsdeliverer [http://www.smsdeliverer.com/].Implementation of the SMS distribution server is possible using the following tools: fast sms [http://fastsms.pro/], Diafaan SMS Server [https://www.diafaan.com/], smsdeliverer [http://www.smsdeliverer.com /].

Подключают резервный сервер услуг и дополнительный сервер оповещения к сети связи по независимому каналу.Connect a backup service server and an additional notification server to the communication network via an independent channel.

В блоке 2 задают правила фильтрации сетевого трафикаIn block 2, rules for filtering network traffic are set

Правила фильтрации трафика являются результатом действия правил антиспуфинга, выбранного режима безопасности для каждого сетевого интерфейса, списка сетевых фильтров для соединений и работой системы обнаружения атак.Traffic filtering rules are the result of anti-spoofing rules, the selected security mode for each network interface, the list of network filters for connections, and the operation of the attack detection system.

Фильтрация трафика осуществляется с учетом установленных соединений, то есть соединений, образующихся на основании разрешенного правилами входящего или исходящего пакета. При поступлении пакета фиксируются разные параметры разрешенного фильтрами входящего или исходящего пакета. На основании этих данных создается временное правило соединения для дальнейшего пропуска пакетов в прямом и обратном направлении. Такое правило существует, пока есть трафик, соответствующий данному соединению. [Основные принципы фильтрации. Электронный ресурс. Режим доступа: http://mybiblioteka.su/10-39332.html].Traffic filtering is carried out taking into account established connections, that is, connections formed on the basis of an incoming or outgoing packet allowed by the rules. When a packet arrives, various parameters of the incoming or outgoing packet allowed by the filters are fixed. Based on this data, a temporary connection rule is created for further packets passing forward and backward. Such a rule exists as long as there is traffic corresponding to this connection. [The basic principles of filtration. Electronic resource. Access Mode: http://mybiblioteka.su/10-39332.html].

В блоке 3 осуществляют мониторинг сетевого трафикаIn block 3 monitor network traffic

Под мониторингом сети понимают процесс сбора и анализа сетевого трафика, по результатам которого можно судить о качественных и количественных характеристиках работоспособности сети или ее отдельных компонентов. Программы мониторинга сети позволяют выполнять захват пакетов и их реассемблирование для дальнейшего анализа. [Мониторинг сети. Сниффер Wireshark. Электронный ресурс. Режим доступа: http://www.4stud.info/networking/work2.html]Network monitoring is understood to mean the process of collecting and analyzing network traffic, the results of which make it possible to judge the qualitative and quantitative characteristics of the network or its individual components. Network monitoring programs allow you to capture packets and reassemble them for further analysis. [Network monitoring. Sniffer Wireshark. Electronic resource. Access Mode: http://www.4stud.info/networking/work2.html]

Обрабатывают полученные данные о всех запросах к серверу услуг с дальнейшим агрегированием полученной информации [Мониторинг сетевого трафика с помощью Netflow. Перевод: Сгибнев Михаил Электронный ресурс. Режим доступа: http://www.opennet.ru/base/cisco/monitor_netflow.txt.html. И. Чубин NetFlow Электронный ресурс. Режим доступа: http://www.opennet.ru/docs/RUS/netflow_bsd/].They process the received data on all requests to the service server with further aggregation of the received information [Monitoring network traffic using Netflow. Translation: Mikhail Sgibnev Electronic resource. Access Mode: http://www.opennet.ru/base/cisco/monitor_netflow.txt.html. I. Chubin NetFlow Electronic Resource. Access mode: http://www.opennet.ru/docs/RUS/netflow_bsd/].

В блоке 4 собирают сведения о текущих соединениях сервераBlock 4 collects information about current server connections

Проводится сбор (инвентаризация) соединений сервера. [Отчеты наборов элементов сбора системных данных. Электронный ресурс. Режим доступа: https://msdn.microsoft.com/ru-ru/library/cc280385(v=sql.110).aspx] При этом записывают данные о IP-адресе отправителя и IP-адресе получателя, а также количество IP пакетов переданных между этими парами.A collection (inventory) of server connections is in progress. [Reports of sets of system data collection elements. Electronic resource. Access mode: https://msdn.microsoft.com/en-us/library/cc280385(v=sql.110).aspx] In this case, data is recorded about the IP address of the sender and the IP address of the recipient, as well as the number of IP packets transferred between these pairs.

В блоке 5 рассчитывают текущую нагрузку на серверIn block 5, the current server load is calculated

В общем случае нагрузку на сервер услуг можно представить, как произведение количества абонентов, подключенных к серверу услуг, и объема передаваемой абонентами информации:In the general case, the load on the service server can be represented as the product of the number of subscribers connected to the service server and the amount of information transmitted by subscribers:

Figure 00000002
,
Figure 00000002
 ,

где:

Figure 00000003
– общая нагрузка на сервер услуг; Where:
Figure 00000003
 - total load on the service server;

Figure 00000004
– количество абонентов;
Figure 00000004
 - number of subscribers;

Figure 00000005
– объем передаваемой абонентами информации.
Figure 00000005
 - the amount of information transmitted by subscribers.

В условиях проведения сетевых атак общая нагрузка на сервер услуг будет формироваться как сумма нагрузки DDoS атаки и информационной нагрузки от узлов связи:Under the conditions of network attacks, the total load on the service server will be formed as the sum of the load of the DDoS attack and the information load from the communication nodes:

Figure 00000006
,
Figure 00000006
 ,

где:

Figure 00000007
– общая нагрузка на сервер услуг; Where:
Figure 00000007
 - total load on the service server;

Figure 00000003
– нагрузка от узлов связи, подключенных к серверу услуг;
Figure 00000003
 - load from communication nodes connected to the service server;

Figure 00000008
– нагрузка на сервер производимая DDoS атакой.
Figure 00000008
 - server load produced by DDoS attack.

В блоке 6 проверяют выполнение условия

Figure 00000009
. Если условие выполняется, то переходят к блоку 7 и передают команды о переводе узлов связи из «Белого» списка IP-адресов на резервный сервер услуг, в противном случае переходят к блоку 3 и продолжают мониторинг сетевого трафика. In block 6, verify the condition
Figure 00000009
 . If the condition is met, then go to block 7 and send commands about the transfer of communication nodes from the "White" list of IP addresses to the backup service server, otherwise go to block 3 and continue monitoring network traffic.

В блоке 8 записывают все IP-адреса с которых происходит обращение к основному серверу услуг (кроме IP-адресов «Белого списка»). Из полученных данных о всех запросах к серверу услуг выделяют IP-адреса (за исключением IP-адресов из «Белого» списка) с которых проходило обращение к серверу и записывают их в массив памяти M1. In block 8, all IP addresses from which the main service server is accessed (except for the IP addresses of the White List) are recorded. From the received data about all requests to the service server, IP addresses (with the exception of IP addresses from the White List) are allocated from which the server was accessed and written to the M1 memory array.

В блоке 9 сбрасывают все соединения из «Белого» списка IP-адресов.In block 9, all connections from the "White" list of IP addresses are reset.

Все соединения из «Белого» списка IP-адресов установленные с сервером услуг сбрасываются, после чего сервер услуг перезагружают.All connections from the White List of IP addresses established with the service server are reset, after which the service server is rebooted.

В блоке 10 осуществляют мониторинг сетевого трафика основного сервера услуг.In block 10, the network traffic of the main service server is monitored.

Атаки «отказ в обслуживании» (DDoS) влияют на доступность информационных ресурсов. Атака «отказ в обслуживании» считается успешной, если она привела к недоступности информационного ресурса. В данном случае речь идёт о большом количестве злонамеренных запросов, поступающих на сервер из множества разных мест. Обычно такие атаки организуются посредством бот-сетей. Бот-сеть генерирует большое количество запросов к серверу, что приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании легитимных пользователей [DDoS-атаки: типы атак и уровни модели OSI. Электронный ресурс. Режим доступа: https://firstvds.ru/technology/types-of-ddos].Denial of service (DDoS) attacks affect the availability of information resources. A denial of service attack is considered successful if it results in the unavailability of an information resource. In this case, we are talking about a large number of malicious requests arriving at the server from many different places. Typically, such attacks are organized through botnets. The botnet generates a large number of requests to the server, which leads to exceeding the allowable load on the server and, therefore, denial of service to legitimate users [DDoS attacks: attack types and levels of the OSI model. Electronic resource. Access Mode: https://firstvds.ru/technology/types-of-ddos].

В данном блоке обрабатывают полученные данные о всех запросах к серверу услуг с дальнейшим агрегированием полученной информации [Мониторинг сетевого трафика с помощью Netflow. Перевод: Сгибнев Михаил Электронный ресурс. Режим доступа: http://www.opennet.ru/base/cisco/monitor_netflow.txt.html. И. Чубин NetFlow Электронный ресурс. Режим доступа: http://www.opennet.ru/docs/RUS/netflow_bsd/]. При обработке данных о запросах к серверу услуг выделяются все IP-адреса от которых получен запрос на соединение, но соединение не установлено. Формальные признаки по которым можно определить DDoS атаку представлены в [Определение DoS/DDoS атак на сервер. Электронный ресурс. Режим доступа: https://www.stableit.ru/2010/01/dosddos.html].This block processes the received data on all requests to the service server with further aggregation of the received information [Monitoring network traffic using Netflow. Translation: Mikhail Sgibnev Electronic resource. Access Mode: http://www.opennet.ru/base/cisco/monitor_netflow.txt.html. I. Chubin NetFlow Electronic Resource. Access mode: http://www.opennet.ru/docs/RUS/netflow_bsd/]. When processing data about requests to the service server, all IP addresses from which a connection request is received are allocated, but the connection is not established. Formal signs by which you can determine a DDoS attack are presented in [Defining DoS / DDoS attacks on a server. Electronic resource. Access Mode: https://www.stableit.ru/2010/01/dosddos.html].

В блоке 11 анализируют IP адреса и формируют дополнительный «Черный» список IP-адресов.In block 11, IP addresses are analyzed and an additional “Black” list of IP addresses is formed.

Из полученных данных о всех запросах к серверу услуг выделяют IP-адреса с которых проходило обращение к серверу и записывают их в массив памяти M2. После чего сравнивают массивы М1 и М2. Совпавшие IP-адреса в массивах М1 и М2 записываются в массив памяти M. Полученный массив памяти М представляет из себя дополнительный «Черный» список IP-адресов. [Справка Dr. Web. «Черный» и «Белый» списки. Электронный ресурс. Режим доступа: http://download.geo.drweb.com/pub/drweb/windows/workstation/9.0/documentation/html/ru/pc_whitelist.htm]. IP-адреса которые присутствовали только в одном из массивов считаются не несущими угрозы и в «Черный» список IP-адресов не заносятся.From the received data on all requests to the service server, the IP addresses from which the server was accessed are allocated and written to the M2 memory array. Then compare the arrays M1 and M2. Coinciding IP addresses in the arrays M1 and M2 are recorded in the memory array M. The resulting array of memory M is an additional "Black" list of IP addresses. [Help Dr. Web "Black" and "White" lists. Electronic resource. Access Mode: http://download.geo.drweb.com/pub/drweb/windows/workstation/9.0/documentation/html/en/pc_whitelist.htm]. IP addresses that were present only in one of the arrays are considered non-threatening and are not entered into the Black List of IP addresses.

Существуют статические и динамические «Черные» списки. Динамический «черный список» представляет собой сетевую службу, предоставляемую провайдером «черных списков». Эти провайдеры отслеживают адреса IP (иногда и имена доменов), скомпрометированные спамерами. Некоторые провайдеры «черных списков» наряду со списками спамеров отслеживают адреса, с которых происходит рассылка вирусов, «троянцев», сетевых «червей», программ несанкционированного удаленного управления и другого вредоносного контента [Динамические «Черные» списки. Электронный ресурс. Режим доступа: https://www.osp.ru/winitpro/2005/04/177681]. Основным недостатком статитческих «Черных» списков является то, что для обращения к выбранной службе «черных списков» программа фильтрации почты формирует специальный запрос DNS, который передается на сервер DNS провайдера «черных списков». Как правило, такие запросы оформляются как запись PTR, запрашивающая запись типа A. При получении от провайдера положительного результата на запрос, является ли адрес известным источником спама, почтовый фильтр может принять решение о блокировании приема почты из данного источника, об удалении писем, полученных с этого адреса, или о помещении писем из этого источника в очередь для дальнейшего рассмотрения.There are static and dynamic blacklists. A dynamic blacklist is a network service provided by a blacklist provider. These providers track IP addresses (sometimes domain names) compromised by spammers. Some blacklist providers, along with spammer lists, monitor the addresses from which viruses, Trojans, network worms, unauthorized remote control programs and other malicious content are sent [Dynamic Blacklists. Electronic resource. Access mode: https://www.osp.ru/winitpro/2005/04/177681]. The main disadvantage of static Blacklists is that, to access the selected blacklist service, the mail filtering program generates a special DNS query, which is transmitted to the DNS server of the blacklist provider. Typically, such requests are issued as a PTR record requesting a type A record. When a positive result is received from the provider asking if the address is a known source of spam, the mail filter may decide to block the reception of mail from this source, and delete messages received from this address, or about placing letters from this source in the queue for further consideration.

В предлагаемом способе «Черный» список IP-адресов формируется непосредственно при проведении атаки и позволяет сформировать актуальные для конкретной атаки IP-адреса. При этом данный список обновляется в режиме реального времени и отсутствует необходимость обращения к провайдеру «черных списков». In the proposed method, the "Black" list of IP addresses is formed directly during the attack and allows you to generate relevant IP-addresses for a specific attack. Moreover, this list is updated in real time and there is no need to contact the blacklist provider.

В блоке 12 обновляют правила фильтрации сетевого трафика с учетом скорректированного «Черного» списка IP-адресов.In block 12, the rules for filtering network traffic are updated taking into account the adjusted Black List of IP addresses.

В блоке 13 осуществляется проверка окончания атаки на основной сервер услуг. Если атака продолжается, то переходят к блоку 14 и продолжают взаимодействие узлов «Белого» списка IP-адресов с резервным сервером услуг, в противном случае переходят к блоку 15 и передают служебные команды о переводе узлов «Белого» списка IP-адресов на основной сервер услуг.In block 13, the end of the attack on the main service server is checked. If the attack continues, then go to block 14 and continue the interaction of the nodes of the "White" list of IP addresses with the backup service server, otherwise go to block 15 and send service commands to transfer the nodes of the "White" list of IP addresses to the main service server .

В блоке 16 осуществляют функционирование сервера услуг с учетом скорректированного «Черного» списка IP-адресов. In block 16, the service server is operated taking into account the adjusted Black List of IP addresses.

После перевода узлов «Белого» списка IP-адресов на основной сервер услуг принимаемые пакеты проверяются в «Белом» списке IP-адресов. Если принятые пакеты получены из списка «Белых» IP-адресов, то пакет обрабатывается. Если пакет принят с IP-адреса не из «Белого» списка, то IP-адрес сравнивается с «Черным» списком IP-адресов. Если принятый пакет получен из списка «Черных» IP-адресов, то пакет перенаправляется на центр очистки и уничтожается [Сетевая защита на базе технологий фирмы Cisco System. Практический курс. Уральский федеральный университет имени первого Президента России Б.Н. Ельцина. Екатеринбург, с. 180. 2014].After the nodes of the “White” list of IP addresses are transferred to the main service server, the received packets are checked in the “White” list of IP addresses. If the received packets are received from the list of “White” IP addresses, then the packet is processed. If the packet was received from an IP address that is not from the White List, the IP address is compared with the Black List of IP addresses. If the received packet is obtained from the Black IP list, the packet is redirected to the cleaning center and destroyed [Network protection based on Cisco System technologies. Practical course. Ural Federal University named after the first President of Russia B.N. Yeltsin. Yekaterinburg, p. 180. 2014].

Среднестатистическая DDoS атака в среднем длится около 5 часов [Основные виды DDoS атак и принцип действия таких атак. Электронный ресурс. Режим доступа: https://data247.ru/2014/10/20/osnovnye-vidy-ddos-atak-i-princip-dejstviya-takix-atak/], при этом во время проведения атаки нагрузка на сервер услуг превысит допустимую нагрузку и, следовательно, приведет к отказу в обслуживании легитимных пользователей, помимо этого будет затрачено дополнительное время на восстановление работоспособности сервера. Таким образом, все время проведения DDoS атаки и время необходимое для восстановления работоспособности – сервер услуг не сможет предоставлять услуги пользователям. The average DDoS attack lasts about 5 hours on average [The main types of DDoS attacks and how these attacks work. Electronic resource. Access mode: https://data247.ru/2014/10/20/osnovnye-vidy-ddos-atak-i-princip-dejstviya-takix-atak/], while during the attack the load on the service server will exceed the allowable load and, therefore, will lead to a denial of service for legitimate users, in addition, additional time will be spent on restoring the server. Thus, all the time of the DDoS attack and the time required to restore working capacity - the service server will not be able to provide services to users.

Figure 00000010
,
Figure 00000010
 ,

где

Figure 00000011
– среднее время отказа в обслуживании; Where
Figure 00000011
 - average denial of service time;

Figure 00000012
– среднее время восстановления.
Figure 00000012
 - average recovery time.

Достижение технического результата поясняется следующим образом. В предлагаемом способе, при начале DDoS атаки за время

Figure 00000013
все соединения, установленные с сервером услуг будут переведены на резервный сервер услуг, после чего за время
Figure 00000014
 осуществляют обработку сетевого трафика и формирование скорректированного «Черного» списка IP-адресов, время
Figure 00000015
 будет затрачено не перезагрузку сервера, а время
Figure 00000016
 на восстановление работоспособности сервера услуг (с учетом «Черного» списка IP-адресов).The achievement of the technical result is illustrated as follows. In the proposed method, when starting a DDoS attack in time
Figure 00000013
 all connections established with the service server will be transferred to the backup service server, after which time
Figure 00000014
 they process network traffic and generate the adjusted "Black" list of IP addresses, time
Figure 00000015
 it will not be spent rebooting the server, but time
Figure 00000016
 to restore the service server (taking into account the "Black" list of IP addresses).

Figure 00000017
,
Figure 00000017
 ,

В среднем для перевода всех соединений с основного сервера услуг на резервный сервер может потребоваться до 10 минут (с учетом передачи команды о переводе узлов связи из «Белого» списка IP-адресов на резервный сервер услуг), на обработку сетевого трафика может потребоваться до 20 минут, на перезагрузку сервера услуг до 15 минут и порядка 40 минут на восстановление работоспособности. Таким образом, через 1 час 25 минут сервер услуг сможет предоставлять услуги пользователям. По сравнению со способом-прототипом эффективность составляет порядка 3,3 раза.On average, it may take up to 10 minutes to transfer all connections from the main service server to the backup server (taking into account the transfer of commands to transfer communication nodes from the White List of IP addresses to the backup service server), it may take up to 20 minutes to process network traffic , to restart the service server for up to 15 minutes and about 40 minutes to restore functionality. Thus, after 1 hour 25 minutes, the service server will be able to provide services to users. Compared with the prototype method, the efficiency is about 3.3 times.

На основании этого, следует вывод, что заявленный способ защиты сервера услуг от DDoS атак, позволяет повысить защищенность сервера услуг за счет непрерывного обслуживания соединений из «Белого» списка IP-адресов и дополнительного анализа «Черного» списка IP-адресов.Based on this, it follows that the claimed method of protecting the service server from DDoS attacks allows to increase the security of the service server due to the continuous maintenance of connections from the White List of IP addresses and additional analysis of the Black List of IP addresses.

Claims (1)

Способ защиты сервера услуг от DDoS атак, заключающийся в том, что создают управляющий модуль, который использует «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, при этом «Белые» списки IP-адресов задаются на этапе формирования управляющего модуля, задают правила фильтрации сетевого трафика, осуществляют мониторинг сетевого трафика путем обработки всех запросов поступающих к серверу услуг с дальнейшим агрегированием полученной информации, после формирования «Черного» списка IP-адресов обновляют правила фильтрации сетевого трафика, после перевода узлов «Белого» списка IP-адресов на основной сервер услуг принимаемые пакеты проверяются в «Белом» списке IP-адресов затем в «Черном» списке IP-адресов, при обнаружении IP-адреса в «Черном» списке принимаемый трафик с этого IP-адреса перенаправляется на центр очистки, отличающийся тем, что дополнительно формируют резервный сервер, сервер оповещения и подключают их по независимому каналу к сети связи, а также задают максимальную производительность сервера услуг, далее во время мониторинга сетевого трафика определяют и записывают данные о текущих соединениях сервера услуг, после чего рассчитывают текущую нагрузку на сервер услуг и сравнивают ее с максимальной производительностью, если текущая нагрузка на сервер услуг превышает заданную максимальную производительность сервера услуг, то передают с сервера оповещения служебные команды о переводе узлов из «Белого» списка IP-адресов на резервный сервер, и записывают IP-адреса, с которых происходило обращение к серверу услуг в массив памяти M1, после чего сбрасывают все соединения из «Белого» списка IP-адресов, восстанавливают функционирование сервера услуг, для чего включают его для сброса и осуществляют дополнительный анализ сетевого трафика, при этом записывают IP-адреса, с которых происходило поступление запроса на соединение с сервером услуг в массив памяти M2, затем выделяют IP-адреса из массива памяти M2, которые совпали с IP-адресами из массива памяти M1, и записывают их «Черный» список IP-адресов, после обновления правил фильтрации с учетом откорректированного «Черного» списка IP-адресов, в случае продолжения атаки осуществляют взаимодействие узлов «Белого» списка IP-адресов с резервным сервером, а в случае окончания атаки передают служебные команды о переводе узлов «Белого» списка IP-адресов на основной сервер, после чего осуществляют дальнейшее функционирование сервера услуг с учетом откорректированного «Черного» списка IP-адресов.A way to protect the service server from DDoS attacks, which is to create a control module that uses White and Black lists of IP addresses to adjust filtering rules, while White lists of IP addresses are set at the stage of formation of the control module , set the rules for filtering network traffic, monitor network traffic by processing all requests received by the server services with further aggregation of the received information, after the formation of the "Black" list of IP addresses, filtering rules are updated and network traffic, after the nodes of the White List of IP addresses are transferred to the main service server, the received packets are checked in the White List of IP addresses, then in the Black List of IP addresses, if an IP address is found in the Black List, the received traffic from this IP address is redirected to the cleaning center, characterized in that they additionally form a backup server, an alert server and connect them via an independent channel to the communication network, as well as set the maximum performance of the service server, then during monitoring of network traffic they limit and record data on the current connections of the service server, after which they calculate the current load on the service server and compare it with the maximum performance, if the current load on the service server exceeds the specified maximum performance of the service server, then service commands are sent from the notification server about the transfer of nodes from " Of the White list of IP addresses to the backup server, and record the IP addresses from which the service server was accessed in the M1 memory array, and then reset all connections from the White IP addresses, restore the functioning of the service server, for which they enable it for reset and perform additional analysis of network traffic, while recording the IP addresses from which the request to connect to the service server was received in the M2 memory array, then allocate IP addresses from the M2 memory array, which coincided with the IP addresses from the M1 memory array, and write their “Black” list of IP addresses, after updating the filtering rules taking into account the adjusted “Black” list of IP addresses, in case of continued attack, carry out the interaction of the nodes of the "White" list of IP addresses with the backup server, and in case of an attack, service commands are sent to transfer the nodes of the "White" list of IP addresses to the main server, after which the service server will continue to operate taking into account the adjusted IP Black List -addresses.
RU2018104734A 2018-02-07 2018-02-07 Method of protection of service server from ddos attack RU2679219C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2018104734A RU2679219C1 (en) 2018-02-07 2018-02-07 Method of protection of service server from ddos attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018104734A RU2679219C1 (en) 2018-02-07 2018-02-07 Method of protection of service server from ddos attack

Publications (1)

Publication Number Publication Date
RU2679219C1 true RU2679219C1 (en) 2019-02-06

Family

ID=65273715

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018104734A RU2679219C1 (en) 2018-02-07 2018-02-07 Method of protection of service server from ddos attack

Country Status (1)

Country Link
RU (1) RU2679219C1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2718650C1 (en) * 2019-12-26 2020-04-10 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Method of protecting communication network service servers against computer attacks
CN111241543A (en) * 2020-01-07 2020-06-05 中国搜索信息科技股份有限公司 Method and system for intelligently resisting DDoS attack by application layer
CN113765913A (en) * 2021-09-02 2021-12-07 云宏信息科技股份有限公司 Method for configuring access to blacklist by Tomcat server, storage medium and Tomcat server
RU2768536C1 (en) * 2021-04-21 2022-03-24 Федеральное государственное бюджетное образовательное учреждение высшего образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" Method of protecting service server from ddos attacks
CN116260599A (en) * 2021-12-09 2023-06-13 中国电信股份有限公司 Flood attack defense method and device, storage medium, electronic equipment

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2480937C2 (en) * 2011-04-19 2013-04-27 Закрытое акционерное общество "Лаборатория Касперского" System and method of reducing false responses when detecting network attack
US20170163680A1 (en) * 2014-09-12 2017-06-08 NSFOCUS Information Technology Co., Ltd. Method and apparatus for ddos attack detection
WO2017154012A1 (en) * 2016-03-10 2017-09-14 Telefonaktibolaget Lm Ericsson (Publ) Ddos defence in a packet-switched network
RU2636640C2 (en) * 2016-03-11 2017-11-27 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Protection method of virtual private communication networks elements from ddos-attacks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2480937C2 (en) * 2011-04-19 2013-04-27 Закрытое акционерное общество "Лаборатория Касперского" System and method of reducing false responses when detecting network attack
US20170163680A1 (en) * 2014-09-12 2017-06-08 NSFOCUS Information Technology Co., Ltd. Method and apparatus for ddos attack detection
WO2017154012A1 (en) * 2016-03-10 2017-09-14 Telefonaktibolaget Lm Ericsson (Publ) Ddos defence in a packet-switched network
RU2636640C2 (en) * 2016-03-11 2017-11-27 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Protection method of virtual private communication networks elements from ddos-attacks

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2718650C1 (en) * 2019-12-26 2020-04-10 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Method of protecting communication network service servers against computer attacks
CN111241543A (en) * 2020-01-07 2020-06-05 中国搜索信息科技股份有限公司 Method and system for intelligently resisting DDoS attack by application layer
RU2768536C1 (en) * 2021-04-21 2022-03-24 Федеральное государственное бюджетное образовательное учреждение высшего образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" Method of protecting service server from ddos attacks
CN113765913A (en) * 2021-09-02 2021-12-07 云宏信息科技股份有限公司 Method for configuring access to blacklist by Tomcat server, storage medium and Tomcat server
CN116260599A (en) * 2021-12-09 2023-06-13 中国电信股份有限公司 Flood attack defense method and device, storage medium, electronic equipment

Similar Documents

Publication Publication Date Title
Nawrocki et al. A survey on honeypot software and data analysis
US9356950B2 (en) Evaluating URLS for malicious content
Whyte et al. DNS-based Detection of Scanning Worms in an Enterprise Network.
US9628508B2 (en) Discovery of suspect IP addresses
US9769204B2 (en) Distributed system for Bot detection
US7562390B1 (en) System and method for ARP anti-spoofing security
EP2715975B1 (en) Network asset information management
Berk et al. Designing a framework for active worm detection on global networks
RU2679219C1 (en) Method of protection of service server from ddos attack
US20050278779A1 (en) System and method for identifying the source of a denial-of-service attack
US20170171244A1 (en) Database deception in directory services
JP2020521383A (en) Correlation-driven threat assessment and remediation
KR20100075043A (en) Management system for security control of irc and http botnet and method thereof
CA2714549A1 (en) Off-line mms malware scanning system and method
Arthi et al. Design and development of iot testbed with ddos attack for cyber security research
JP2006319982A (en) Worm-specifying and non-activating method and apparatus in communications network
CN117375942A (en) Method and device for preventing DDoS attack based on node cleaning
Bakos et al. Early detection of internet worm activity by metering icmp destination unreachable messages
Bou-Harb et al. Big data sanitization and cyber situational awareness: a network telescope perspective
van Oorschot Intrusion detection and network-based attacks
CN115174243A (en) Malicious IP address blocking processing method, device, equipment and storage medium
Sharma Honeypots in Network Security
RU2768536C1 (en) Method of protecting service server from ddos attacks
Badea et al. Computer network vulnerabilities and monitoring
Fukushi et al. A large-scale analysis of cloud service abuse

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20200208