Ч а с т ь V i молодой ученый


Информационные технологии



Pdf көрінісі
бет19/90
Дата18.11.2022
өлшемі6,09 Mb.
#51157
1   ...   15   16   17   18   19   20   21   22   ...   90
Байланысты:
moluch 412 ch6 (1)

364
Информационные технологии
3) потенциально опасные — до определённого порога па-
кетов в единицу времени считаются безопасными, по превы-
шению этого порога наступают блокирующие действия. Ал-
горитм обработки пакетов по этому Правилу представлен на 
рисунке 7;
4) опасные пакеты — моментальная блокировка источника 
пакета.
На хранение данных Правил в БД выделена отдельная та-
блица, формат которой представлен на рисунке 6. В этой та-
блице указаны следующие параметры: rule_id — уникальный 
идентификатор Правила, type — тип пакета, protocol — название 
протокола, protocol_info — дополнительная информация и па-
кете, src — источник пакета, limit — ограничение количества па-
кетов, limit_interval — интервал учёта лимита пакетов.
Рис.
 7. Алгоритм обработки пакетов с временным ограничением
Рис.
 8. Алгоритм обнаружения аномалий протокола ARP
Дополнительно в помощь администратору разработаны ал-
горитмы обнаружения аномалий в полностью автоматическом 
режиме (рисунки 7 и 8). Алгоритм обнаружения аномалий про-
токола ARP (рисунок 8) реализуется в 2 этапа [8]:
1 этап. Обучение — выучивание связок MAC — IP.
2 этап. Слежение — регистрация изменений с последую-
щими действиями.
Алгоритм обнаружения аномалий протокола ICMP (ри-
сунок 9) базируется на блокировке сообщений некоторых 
типов: 5 тип — перенаправление, 9 тип — объявление маршру-
тизатора, 10 тип — запрос маршрутизатора. Блокировка сооб-
щений типа 5 и 9 будут срабатывать на злоумышленнике, в то 
время как 10 тип сработает на клиенте, предотвращая замену 
безопасного маршрутизатора, полученного по DHCP. В этом 


“Young Scientist”  # 17 (412)  April 2022
365
Information Technology
случае требуется уведомление администратора по средствам 
syslog.
При управлении оборудованием конечные клиенты под-
ключаются к Ethernet коммутатором. Поэтому принято ре-
шение управлять только коммутаторами. В сети использу-
ются коммутаторы фирмы Cisco (модели: 2950, 2960 и 3750). 
Они схожи в управлении и имеют почти идентичные MIB. Для 
блокировки злокачественного клиента необходимо знать его 
MAC или IP адрес. Общий алгоритм отключения порта пред-
ставлен на рисунке 10. Для его реализации требуются следу-
ющие узлы:
1 узел. База коммутаторов с их данными для подключения.
2 узел. База связок IP — MAC и IPv6 — MAC.
3 узел. SNMP Manager для взаимодействия с коммутаторами.
База с данными для подключения к коммутаторам хра-
нится в MySQL в виде таблицы (рисунок 11). Здесь: sw_id — уни-
кальный идентификатор коммутатора, sw_ip — IP-адрес комму-
татора, snmp_community — строка авторизации протекла SNMP.
Рис.


Достарыңызбен бөлісу:
1   ...   15   16   17   18   19   20   21   22   ...   90




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет