Μηχανισμός Αυτόματης Υλοποίησης Πολιτικών Για Αντιμετώπιση Επιθέσεων Ddos

Abstract

Οι επιθέσεις σε κάθε είδους δικτυακούς τόπους συνδεδεμένους στο Internet είναι παρούσες από τα πρώτα στάδια ανάπτυξης του . Εξελίχθηκαν δε σε συχνότητα και επικινδυνότητα σημαντικά με την πάροδο του χρόνου , ακολουθώντας τη γιγάντωση τόσο σε σημασία , όσο και σε πολυπλοκότητα του κυβερνοχώρου . Το τελευταίο διάστημα μια από τις πλέον διαδεδομένες , αλλά και επικίνδυνες μορφές τέτοιων περιστατικών ασφαλείας αποτελούν οι επιθέσεις άρνησης υπηρεσίας (Denial of Service - DoS) . Στόχος της μορφής αυτής επιθέσεων σε δικτυακούς τόπους είναι όχι πλέον η παραβίαση των συστημάτων ασφαλείας προκειμένου να αποκτηθεί χωρίς πρέπουσα αρμοδιότητα ο έλεγχος υπολογιστικών συστημάτων , ή η πρόσβαση σε απόρρητα δεδομένα , αλλά η παρακώλυση της εύρυθμης λειτουργίας των δικτυακών αυτών τόπων . Δεδομένης της αποτελεσματικότητας που επιτρέπει αυτή η μεθοδολογία επιθέσεων , εκμεταλλευόμενη αφενός σχεδιαστικές αδυναμίες των δικτυακών τόπων και αφετέρου την πολύπλοκη και χαοτική οργάνωση του διαδικτύου , το όλο φαινόμενο προβληματίζει ιδιαίτερα . Εξ’ άλλου δεν έχει νόημα η ανάπτυξη ολοένα πιο εύχρηστων , χρήσιμων και με ταχύτατη πρόσβαση δικτυακών τόπων στα πλαίσια του Internet εφόσον είναι τόσο εύκολο να τεθούν εκτός λειτουργίας .Η ευρύτερη οικογένεια του διαδικτύου αρχίζει να αντιλαμβάνεται τέτοιας φύσης κινδύνους και ως συνέπεια αυτού μια εκτεταμένη προσπάθεια ενίσχυσης των συστημάτων ασφάλείας έχει ξεκινήσει . Η αποτελεσματική αντιμετώπιση επιθέσεων του τύπου DoS πάντως παρουσιάζει δυσκολίες , καθώς ειδικά οι πιο εξελιγμένες κατανεμημένες μορφές τους ( Distributed DoS - DDoS ) από τη φύση τους προϋποθέτουν συντονισμένες προσπάθειες μεταξύ αρκετών δικτύων τόσο κορμού ,όσο και πρόσβασης για να αντιμετωπισθούν με επιτυχία . Επιπλέον , η τεχνική υλοποίησης τους καθιστά τον εντοπισμό της πραγματικής πηγής μιας επίθεσης DDoS ιδιαίτερα επίπονη καθώς ο εγκέφαλος της επίθεσης καλύπτεται συνήθως πίσω από παραβιασμένους δικτυακούς τόπους χαμηλών προδιαγραφών ασφαλείας , ώστε να αποφύγει τις συνέπειες των πράξεων του .Στα πλαίσια της εξεύρεσης μιας ικανοποιητικής λύσης αναπτύσσεται από το εργαστήριο διαχείρισης και βέλτιστου σχεδιασμού δικτύων του Εθνικού Μετσοβείου Πολυτεχνείου μια δομή για την ανίχνευση και την αντιμετώπιση επιθέσεων DDoS . Η δομή αυτή αποτελείται από συνεργατικές οντότητες που στόχο έχουν , με την υλοποίηση τους σε επιμέρους δικτυακούς τόπους να επιτρέψουν τη συστηματική συνεργασία των τόπων αυτών . Τελικός στόχος αποτελεί η όσο το δυνατόν πιο εμπεριστατωμένη εκτίμηση των χαρακτηριστικών της επίθεσης σε πρώτο στάδιο , πράγμα που θα επιτρέψει τον περιορισμό των συνεπειών της στους προσβαλλόμενους δικτυακούς τόπους σε δεύτερο στάδιο . Αντικείμενο της παρούσας διπλωματικής εργασίας είναι η μελέτη αυτοματοποιημένων μεθόδων επιβολής των κατάλληλων φίλτρων ασφαλείας που θα περιορίζουν τη δικτυακή κυκλοφορία με στόχο τον περιορισμό των συνεπειών επιθέσεων τύπου DDoS που έχουν ήδη εντοπισθεί και προσδιορισθεί από τη Μονάδα Ανάλυσης στα πλαίσια της δομής συνεργατικών οντοτήτων .Η μελέτη συμπεριλαμβάνει την αξιολόγηση πρακτικών μεθόδων υλοποίησης των φίλτρων ασφαλείας επεμβαίνοντας στις κατάλληλες δικτυακές συσκευές έλέγχου της κυκλοφορίας . Μέρος της , επίσης , αποτελεί και ο λειτουργικός σχεδιασμός της εσωτερικής μονάδας αντίδρασης μιας συνεργατικής οντότητας που είναι επιφορτισμένη με την αυτόματη επιβολή φίλτρων δικτυακής κίνησης ως απάντηση σε ανιχνευμένες επιθέσεις DDoS . Καταλήγει δε σε μια προσομοίωση της λειτουργίας της , προκειμένου να επιδείξει την αρτιότητα της .