Ч а с т ь V i молодой ученый
Информационные технологии
жүктеу/скачать 6,09 Mb. Pdf көрінісі
|
| 364
Информационные технологии 3) потенциально опасные — до определённого порога па- кетов в единицу времени считаются безопасными, по превы- шению этого порога наступают блокирующие действия. Ал- горитм обработки пакетов по этому Правилу представлен на рисунке 7; 4) опасные пакеты — моментальная блокировка источника пакета. На хранение данных Правил в БД выделена отдельная та- блица, формат которой представлен на рисунке 6. В этой та- блице указаны следующие параметры: rule_id — уникальный идентификатор Правила, type — тип пакета, protocol — название протокола, protocol_info — дополнительная информация и па- кете, src — источник пакета, limit — ограничение количества па- кетов, limit_interval — интервал учёта лимита пакетов. Рис. 7. Алгоритм обработки пакетов с временным ограничением Рис. 8. Алгоритм обнаружения аномалий протокола ARP Дополнительно в помощь администратору разработаны ал- горитмы обнаружения аномалий в полностью автоматическом режиме (рисунки 7 и 8). Алгоритм обнаружения аномалий про- токола ARP (рисунок 8) реализуется в 2 этапа [8]: 1 этап. Обучение — выучивание связок MAC — IP. 2 этап. Слежение — регистрация изменений с последую- щими действиями. Алгоритм обнаружения аномалий протокола ICMP (ри- сунок 9) базируется на блокировке сообщений некоторых типов: 5 тип — перенаправление, 9 тип — объявление маршру- тизатора, 10 тип — запрос маршрутизатора. Блокировка сооб- щений типа 5 и 9 будут срабатывать на злоумышленнике, в то время как 10 тип сработает на клиенте, предотвращая замену безопасного маршрутизатора, полученного по DHCP. В этом “Young Scientist” . # 17 (412) . April 2022 365 Information Technology случае требуется уведомление администратора по средствам syslog. При управлении оборудованием конечные клиенты под- ключаются к Ethernet коммутатором. Поэтому принято ре- шение управлять только коммутаторами. В сети использу- ются коммутаторы фирмы Cisco (модели: 2950, 2960 и 3750). Они схожи в управлении и имеют почти идентичные MIB. Для блокировки злокачественного клиента необходимо знать его MAC или IP адрес. Общий алгоритм отключения порта пред- ставлен на рисунке 10. Для его реализации требуются следу- ющие узлы: 1 узел. База коммутаторов с их данными для подключения. 2 узел. База связок IP — MAC и IPv6 — MAC. 3 узел. SNMP Manager для взаимодействия с коммутаторами. База с данными для подключения к коммутаторам хра- нится в MySQL в виде таблицы (рисунок 11). Здесь: sw_id — уни- кальный идентификатор коммутатора, sw_ip — IP-адрес комму- татора, snmp_community — строка авторизации протекла SNMP. Рис. жүктеу/скачать 6,09 Mb. Достарыңызбен бөлісу:
|