DESIGN AND DEVELOPMENT OF A PROTOTYPE INSTALLATION FILTERING RAW
MATERIALS OF ANIMAL ORIGIN
A.K. Kakimov, N.K. Ibragimov, Zh.S. Yessimbekov,E.S. Zharykbasov,Zh.Kh. Kakimova
Article is devoted to the development of a prototype for filtering liquid foods using sorbents.
Studies using this equipment will permit the study of heavy and toxic metals in raw milk before and after
filtration.
47
ӘОЖ: 004.75: 004.42.3
Г.А. Шангытбаева
1
, Оспанов Е. А.
2
, Жанузаков Е. Т.
2
1
Қ.И.Сәтбаев атындағы Қазақ ұлттық техникалық университеті, Алматы
2
Семей қаласының Шәкәрім атындағы мемлекеттік университеті, Семей
“ҚЫЗМЕТ КӨРСЕТУДЕН БАС ТАРТУ” БӨЛІСТІК ЖЕЛІЛІК ШАБУЫЛДАРДЫ
АНЫҚТАУ ӘДІСІН ӘЗІРЛЕУ
Аннотация: Мақалада “қызмет көрсетуден бас тарту” бөлістік (распределённая) желілік
шабуылдарды анықтау мүмкіндіктері қарастырылады. Бұл мақалада ұсынылып отырған әдіс өте
үлкен “қызмет көрсетуден бас тарту” бөлістік желілік шабуылдар кезінде компьютерлік
желілердегі есептелінетін ресурстарды пайдалану тиімділігін арттырады.
Түйін сөздер: шабуылдар мен қауіп-қатерлер, желілік шабуылдар, DoS-шабуылдар, DDoS-
шабуылдар, “қызмет көрсетуден бас тарту”.
Кіріспе
Егер де сіз компьютерлік технологиялар негізінде немесе желілік қауіпсіздік саласында
жұмыс істейтін болсаңыз, онда сізге, міндетті түрде, қазіргі таңда «DoS шабуылы» деген атқа ие
“қызмет көрсетуден бас тарту” термині таныс болар. Қазіргі кезде ол Интернет желісінде өте кең
тараған желілік шабуылдар түріне жатады.
“Қызмет көрсетуден бас тарту” немесе «DoS шабуылы» – Интернеттегі желілік машиналарды
қажеті жоқ, өте көп мөлшердегі интернет трафиктермен толтырып жіберетін, желілерге зиянын
тигізуге арналған желілік шабуылдардың бір түрі. Оның әсерінен көптеген желілік машиналар қайта-
қайта жүктеліп, зардап шегеді, тіптен, қолданыстан да шығып қалады.
DoS шабуылдарының негізгі мақсаты – желідегі негізгі машинаның қызметтерін (мысалы, web-
сайттар, DNS сервері т.б.) белгілі бір пайдаланушылар үшін уақытша тоқтата тұру.
Ал, DDoS шабуылдары өте қажетті қызметтер, мысалы, банктік қызмет көрсету, электронды
коммерция, жеке деректерді өңдеу, несиелік карталар, басқа да қызметтер атқара алатын web-
серверлерде жүзеге асады.
DoS шабуылдарының ең көп тараған түрі соңғы кездері кеңінен таныла бастаған DDoS
(Distributed Denial of Service — распределенный отказ в обслуживании, қызмет көрсетуден бас тарту)
шабуылы болып табылады. Ол әрі қуатты, әрі күрделі шабуыл болып табылады.
DoS шабуылының бір ғана шығыс орны болады, ал DDoS бернеше бөлістік желілер арқылы
жайылатын көптеген IP-мекен-жайдан таралады [1].
DoS және DDoS шабуылдары
DDoS – бұл ағылшын тілінен Distributed Denial of Service сөз тіркесінен қысқартылып алынған,
қазақ тіліне аударғанда “Бөлістік қызмет көрсетуден бас тарту” деген мағынаны білдіреді. Яғни, ол
дегеніміз – көптеген бөлістік (әртүрлі интернет-қосылыс нүктелерінен шығатын) сұраныстардың
әсерінен желілік ресурстар қызметтерінен бас тарту деган сөз. DoS-шабуылдарынан (Denial of Service
— «Отказ от обслуживания», “Қызмет көрсетуден бас тарту”) DDoS – шабуылының айырмашылығы
бұл жағдайда қайта жүктелу қандай да нақты бір интернет-түйіндеріндегі сұраныстар нәтижесінде
орын алады.
Егер DDos-шабуылдары өте қиын да күрделі болатын болса, онда кез келген ресурстың –
кішігірім ақпараттық сайттардан бастап өте ірі интернет-дүкендеріне дейін немесе пошталық
серверлерге дейін жұмыстан шығып қалу қаупі басым болады. Шабуыл кезінде сайт-серверде
қолданушылардан миллиондаған сқраныстарға дейін келіп түседі, соның салдарынан желі серверінде
келеңсіз жағдайлар орын алып, қайта жүктеліп, істен шығуға дейін алып келеді. Сан мыңдаған келіп
түскен сұраныстарды өңдеп үлгере алмайды, соның әсерінен желі серверіның жылдамдығы төмендеп,
кейіннен жұмысын мүлдем тоқтатады. Сол себептен де желі серверінің жұмысы күрделеніп,
қиындап кетеді [2].
DDoS-шабуылы – қазіргі кезде өте кең таралған және өте қауіпті желілік шабуылдардың бірі
болып саналатын, желілік шабуылдың “Қызмет көрсетуден бас тарту” түріне жататын бөлістік
48
шабуыл болып табылады. Оның нәтижесінде жоғарыда айтып өтілгендей, заңды қалданушылардың,
желілер мен жүйелердің, басқа да ресурстардың қызметтері бұзылады немесе толық бұғатталады.
DDoS-шабуылдарының басым көпшілігі негізгі базалық Internet (TCP/IP) хаттаманы қолданады,
атап айтсақ, SYN сұранысты жүйені өңдеу әдісін пайдаланады.
Қызмет көрсетуден бас тартуға әкелетін негізгі екі түрлі шабуылды бөліп қарауға болады.
Бірінші түрге жататын шабуыл нәтижесінде барлық жүйенің немесе желінің жұмысы
тоқтатылады. Бұл жағдайда хакер жүйеге күтпеген жерден деректерді жібереді, оның әсерінен жүйе
қайта жүктеледі немесе істен шығады.
DDoS-шабуылдардың екінші түрі өңдеу мүмкін болмайтын өте көп мөлшердегі ақпараттардың
әсерінен жүйе немесе жергілікті желі шамадан тыс толып қалады.
DDoS-шабуыл кезінде сайтқа деректер әлемнің әр бөліктерінде орналасқан көптеген
компьютерлерден үздіксіз келіп түседі. Көптеген жағдайларда бұл компьютерлер алаяқтарды бір
жүйеге біріктіретін және бір орталықтан басқаруға мүмкіндік беретін вираустар жұқтырған болып
табылады. Мұндай жүйеге кіретін компьютерлер DDoS-шабуылдарына өз үлестерін қосып,
спамдарды таратады.
DDoS-шабуылдарының жұмыс жасау қызметтері төмендегі диаграммада берілген (сурет-1).
Сурет 1. DDoS бөлістік желілік шабуылы
DoS-шабуылында мақсатын жүзеге асыруда, яғни, шабуыл кезінде зиянкес тек бір ғана
компьютерді немесе желіні қолданса, ал әдетте, әртүрлі желілерге тиесілі көптеген желілер мен
серверлерден шығады. Осылайшы DDoS-шабуылы кезінде зиянкес әр алуан желілердің, тіпті, өзге
елдердің компьютерлері мен серверлерін пайдаланады.Оны анақтау қиын болғандықтан, алғашында
қауіпсіздік қызметтерінің арасында күдік туғыза қоймайды.
“Қызмет көрсетуден бас тарту” бөлістік шабуылы тқтас желіні немесе жүйені қайта жүктеуге
алып келеді. Бұл шабуылдың негізгі мақсаты шабуыл үшін түрлі көздерді (демоны) және басқару
кезінде «иелерді» пайдалану болып табылады [3].
DDoS (бөлістік қызмет көрсетуден бас тарту) шабуылын ұйымдастыруда қолданылатын ең көп
танымал утилиттерге Tribal Flood Network (TFN), TFN2K, Trinoo және Stacheldraht утилиттері
жатады.
Төменде беріліп отырған 13-суретте DdoS-шабуылын ұйымдастыру мысалы көрсетілген.
49
Сурет 2. “Қызмет көрсетуден бас тарту” бөлістік желілік шабуылы
Зиянкес шабуыл көздерін басқару үшін «Иелерді» (masters) пайдаланады. TCP қосылу үшін
«Иелерді» қолдану оларды баптау және шабуылға дайындау кезінде қажет. «Иелер» тек қана UDP
хаттамасы арқылы шабуыл көздеріне командаларды жібереді. «Иелерсіз» зиянкес шабуылдың әрбір
көзімен өзі жеке-жеке байланыс жасап отырар еді. Мұндай жағдайда, шабуыл көзін тауып алу оңай
болар еді және оны жүзеге асыру үшін өте көп уақыт қажет болар еді.
Шабуылдың әрбір көзі «Иесімен» арнайы хабарламалар арқылы байланысып отырады.
Қолданылатын утилиттерге байланысты байланыс қуаттау (авторизации) немесе шифрлеу
механизмдері арқылы жүзеге асып отырады. Шабуыл көзі мен «Иесін» орнату үшін зиянкес белгілі
күдіктікті (мысалы, буферді келесі қызметтермен - RPC, FTP т.б. толтыру) пайдаланады. Шабуылдың
өзі Smurf немесе SYN-тасқыны болып табылады және негізгі желінің немесе жүйенің қызметінен бас
тартуға әкеледі [4]
Қызмет көрсетуден бас тарту бөлістік желілік шабуылын анықтау әдісі
Қазіргі заманғы компьютерлік желілерді құру кезінде сенімділігі мен қолжетімділікке арналған
желілік есептеу ресурстарын есепке алу қажет. b - бағдарлағыш (маршрутизатор, Router)
хабарламаларын таңбалауға арналған IP-тақырыбындағы биттер саны болсын. Мысалы, b = 25 [2-4].
Желідегі шабуылдарда әрбір X бағдарлағыштан V қолданушыға M
X
хабарламаны жеткізу
алгоритмі кездейсоқ сілтеме әдісіне негізделген. Бұл әдістің негізі M
X
үшін келесі түрлендірулерді
қолдану болып табылады:
- M
X
–тің мәні мынадай болуы тиіс, |M
X
| l-ге еселі болуы керек.
- M
X
тізбегінде өте үлкен (және статистикалық кездейсоқ) C = C(M
X
) бақылау қосындысын
есептеу керек. Негізгі мақсат C(M
X
) бақылау қосындысы кездейсоқ немесе статикалық кездейсоқ
(мысалы, кездейсоқ хэш функция) және бастамашы шабуылдарға төзімді бола білуі тиіс.
- M
X
тізбегін W бір бірімен қиылыспайтын M
0
, M
1
, M
2
,..., M
l -1
сөздер бөліктеріне бөлу.
- b
i
= [i, C, M
i
] болатындай b битті қайта жазуда қолданылатын блоктар жиынтығын құру.
Осылайша блок индекстен, бақылау қосындысынан және i хабарлама үзіндісінен тұрады.
b
i
блогы M
X
хабарламаны V қолданушыға жеткізу үшін қолданылады, бірақ, олар еркін
реттілікпен берілмейді. Мысалы, M
X
хабарламасы үшін C = C (M
X
) M
X
–тің ассоциативті мекен-жайы
ретінде және M
X
–тің барлық бөліктерінің сілтемесіне арналған бақылау қосындысы ретінде
қолданылады. C-ның мәні статистикалық кездейсоқ және бастамашы шабуылдарға төзімді болады,
сол себепті де хабарламаны қалпына келтіру алгоритмі үшін қолданылады.
Хабарламаны қалпына келтіру алгоритмі өте қарапайым, сондықтан C мәнімен бірдей болатын
b
i
блоктар жиыны үшін қолданушы бірге хабарлама блоктарының тізбегі дұрыс болатындай етіп, C
бақылау қосындысын қолдана отырып, еркін реттілікпен b
i
блоктар құрады.
V қолданушы дұрыс реттілікпен құрылған b
i
нақты тізбегіне ие болған кезде ғана M
X
хабарламасын қалпына келтіре алады.
Егер бағдарлағышты таңбалауға арналған IP-тақырыпты кейбір биттерді қайтадан қолданатын
болса, онда сәйкесінше IP-тақырыбындағы b бірнеше битті төмендегідей тәсілмен бөлуге болады:
- i индекс үзіндісіне арналған [log l] биттер;
- ассоциативті мекен-жай және бақылау қосындысы болып есептелетін C бақылау қосындысына
арналған бит;
50
- M
i
сөздерға арналған h = b - c – [log l] бит.
C(M
X
) немесе M
X
функциясы кездейсоқ болсын, онда C(M
X
) бақылау қосындысының мәні
статистикалық кездейсоқ және шабуыл бастамашысы үшін күтілмеген жағдай. Бірақ, хэш-функция
бастапқы өлшеммен сәйкес әрі екі әртүрлі хабарламалы M
X
және М
y
бағдарлағыштарына арналған
C(M
X
) = C(M
Y
) үшін кездейсоқ болады. Атап айтқанда, C(M
X
) барлық M
X
хабарламасын біле
бермейтін, тек X мәнін ғана білетін бастамашы үшін болжанбайтын болуы тиіс. M
X
-тің мәні l-ге еселі
болуы керек, сол кезде ғана M
X
үшін C = C(M
X
) бақылау қосынды c-битті есептеуге болады және M
X
мәнін әрбірі h бит биіктікті l-ден M
0
, M
1
, M
2
,..., M
l -1
сөздер W тізбегіне бөлуге болады. L блоктан b
i
=
[i, C, M
i
] болатындай b
0
, b
1
, …, b
l -1
жиынтығын анықтаймыз, мұнда C бақылау қосындысы әрбір b
i
блогына кіреді. C-ның мәні b
i
блогын бірге байланыстырады және блоктар үшін ассоциативті мекен-
жайы болып табылады [5].
Осылайша, кездейсоқ сілтемелер тәсілі өлшемі үлкен тізбекті хабарламаның бақылау
қосындысын пайдаланады. Бұл әдісте M
X
хабарлама үзіндісі C бақылау қосындысы тізбегі
ассоциативті мекен-жайы және берілген хабарлама деректерінің бүтіндігі ретінде қолданыла
алатындай етіп құрылады.
Қорытынды
Мақалада қарастырылып отырған мұндай әдіс желілік шабуылдарда бағдарлағыш
(маршрутизатор, router) саны 500 болған жағдайда қолданушылар хабарламаларын қалпына келтіруге
арналған ең тиімді де жедел тәсілі болып табылады. Сондықтан, мұндай кездейсоқ сілтеме әдісін
қолдану қысқа уақыт кезеңінде хабарламаларды қалпына келтіруге және желілік шабуылдардың
үлкен көлемінде шабуылдарын көздерін анықтауға мүмкіндік береді. Олай болса, ғылыми мақалада
ұсынылып отырған тәсіл компьютерлік желілердегі өте үлкен “қызмет көрсетуден бас тарту” бөлістік
шабуылдарда компьютерлік ресурстарды пайдалану тиімділігін арттыратыны сөзсіз.
Әдебиет
1.Халиль Х. А. Алгоритмы маршрутизации в мобильных сетях / Х. А. Халиль, А. Шкерат //
Горная электромеханика и автоматика: наук.-техн. – 2002. – 94–100 стр.
2.Dean D. An algebraic approach to IP traceback / D. Dean, M. Franklin, A. Stubblefield // In Network and
Distributed System Security Symposium (NDSS). – 2001. – P. 3–12.
3.Goodrich M. T. Efficient packet marking for large-scale IP traceback / M. T. Goodrich // In 9th ACM
Conf. on Computer and Communications Security (CCS). – 2002. – P. 117–126.
4.Goodrich M. T. Implementation of an authenticated dictionary with skip lists and commutative
hashing / M. T. Goodrich, R. Tamassia, A. Schwerin // In Proc. 2001 DARPA Information
Survivability Conference and Exposition. – 2001. – Vol. 2. – P. 68–82.
5.URL:http://arduinokit.ru/computers/administration-of-computers/chto-takoe-otkaz-v-obsluzhivanii-dos-
ddos.html
РАЗРАБОТКА МЕТОДА ОБНАРУЖЕНИЯ РАСПРЕДЕЛЁННЫХ СЕТЕВЫХ АТАК НА
ОТКАЗ В ОБСЛУЖИВАНИИ
Г.А. Шангытбаева, Е.А.Оспанов, Е.А.Жанузаков
В статье приведен подход к обнаружению распределённых сетевых атак на отказ в
обслуживании, предложенный метод увеличивает продуктивность использования вычисляемого
ресурса компьютерной сети при больших распределенных сетевых атаках на отказ в
обслуживании.
DEVELOPMENT OF THE METHOD OF DISTRIBUTED OF NETWORK ATTACKS TO
DENIAL OF SERVICE
G.A. Shangytbayevа, E.A. Ospanov, E.T. Zhanuzakov
The article presents an approach to detection of the distributed network attacks to refusal in service, the
offered method increases efficiency of use of the calculated resource of a computer network at the big
distributed network attacks to “denial of service”.
51
Draft: 324.04.37
N.P. Karpinski
1
, G.A. Shangytbayeva
2
, E.A. Ospanov
3
, E.M. Mukhametov
3
1
Academy of Technologies and the Humanities in Bielsko-Biala, Poland.
2
Kazakh national technical university named after K.I.Satpayev, Kazakhstan
3
Shakarim state university of Semey, Semey, Kazakhstan
IDENTIFICATION AND LOCALIZATION OF DISTRIBUTED NETWORK ATTACKS
Summary: The article discusses an identification and localization of distributed network attacks
and attacks of malicious behavior and attacks of abnormal activity in distributed networks.
Keywords: information security, attacks, threats, network attacks.
Introduction
Computer viruses are currently one of the most dangerous threats to the information security of
automated information systems. Computer viruses are currently one of the most significant threats to
information security, as evidenced by the numerous data on the annual financial losses of the company as a
result of exposure to viral attacks.
To minimize the risk of information security in corporate networks of information currently relevant
development and implementation of systems to detect network attacks. They are a specialized software or
firmware that enable active audit and security management (predict, detect, prevent, monitor, react in real
time to security risks) in a corporate network. Solution of the problem of developing an effective information
protection from network attacks requires the development of new methods that can withstand a distributed
network attacks of different origin and to more adequately reflect the complex dynamics of stochastic
processes of these attacks. Requires the development of methods to identify the distributed network attacks
using modern methods in the complex decision support based on the theory of intelligent systems, allows us
to go in solving problems of protection products and information technology systems of the principle of "the
discovery and elimination of" the principle of "prediction and prevention in real time " .
Shortcomings of existing approaches
Currently many companies to effectively protect automated information systems from malicious
software is sufficient to establish anti-virus products on all workstations and servers that will automatically
provide the desired level of security. Unfortunately, experience shows that this approach does not allow to
fully solve the problem of protection against malicious code. This is due to the following reasons:
• the vast majority of antivirus tools based on the signature method detection of malicious software
that does not allow them to detect new viruses whose signatures are not available in their databases;
• In some cases, organizations are no regulatory guidance documents governing the work of antivirus
protection equipment. This can lead to possible violations of the rules of operation - namely, failure to update
signature databases, disabling antivirus components, run the program with unverified information carriers,
etc.;
• antivirus protection does not allow to identify and eliminate vulnerabilities based on which
computer viruses can penetrate in automated information systems of enterprises;
• antivirus software does not have the features that enable to eliminate the consequences of virus
attacks [1].
52
Figure 1. Antiviral Laboratories, responsive to emerging viruses differently
Another common approach to protecting against malicious code is the use of automated information
systems, antivirus protection is only one producer, which are installed on the servers, workstations and
network gateways. The disadvantage of this method is the high level of dependence on products of this
manufacturer. This means that if, for whatever reason, will not operate a scan engine or the vendor
(manufacturer software) is not able to timely update its database, under threat of a virus outbreak would be
the entire infrastructure of the company. The urgency of the problem stems from the fact that the Antiviral
Laboratories, responsive to emerging viruses differently (Figure 1). The difference in reaction time of up to
eight hours, during which the automated information system could potentially be successfully attacked by
hackers. It is also necessary to note the difference in time of response of companies to a particular virus, the
manufacturer, which is now the first to respond to the emergence of the virus, Class A, tomorrow may
release the latest virus signature for type B [2].
Next, consider what way should build protection system. It is indisputable that only a comprehensive
approach to protecting against viruses and to detect distribution network attacks avoids the above drawbacks.
Detection of malicious attacks conduct
Accepted provide two basic kinds of Intrusion Detection System: Work First is to find evidence of
previously known attacks; The second comprises a program to detect anomalies in the functioning of the
system.
If the detection of attack requires an understanding of the expected behavior of the controlled
offender information, the technology - the technology of detecting malicious behavior. Work abuse detection
systems based on the compilation of patterns or "signatures" attacks. Safety systems of this type are effective
for the known attack patterns, however, in case of a new unknown attacks or stroke attack deviations from a
template, there are serious problems. Therefore it is necessary to maintain a large database of every attack
and its variations, and continuously replenish the base templates. Also it is important to determine the sample
size parameters controlled by the detection of network attacks based on malicious behavior. A small number
or incorrectly selected parameters may lead to the fact that a model describing the behavior of entities in the
system based on this method will be incomplete, and many attacks can’t be detected. On the other hand, too
large a number of monitoring parameters carried method will cause a decrease productivity controlled unit
due to increased demands for resources consumed [3].
Detection of attack abnormal activity
Intrusion Detection Technology Based on the methods of detecting abnormal (suspicious) activity, in
contrast to the discussed above, is more flexible and can detect unknown attacks. Anomaly detection systems
based on the assumption that all the actions the attacker certainly something different from the behavior of
the average user.
53
Detect attacks caused by abnormal activity, based on a comparison of current values of the parameters
of activity with the values that are currently considered normal. As these parameters may be, for example,
quantitative use of system resources, the intensity of requests to resources or system service. Under the current
values of the parameters generally understood activity average computed over a short time interval (from
several minutes to several hours), immediately preceding the moment in question. The normal mean values of
these parameters are calculated over a sufficiently long period of time (days to months) [4].
This technology is based on the conclusion that the anomalous behavior of the subject (system
software, user), manifested as a deviation from normal behavior. An example of anomalous behavior can
serve a large number of compounds in a short period of time, high CPU load and network load ratio.
However, the anomalous behavior is not always attack. For example, the attack is not receiving a large
number of responses to a query about the activity of the stations from the network management system.
Work systems to detect anomalous activity is preceded by a period of accumulation of information
when building the concept of normal system activity, process or user. It becomes a benchmark for evaluating
subsequent data. Therefore, when setting up and operation of this category are faced with two problems:
– building a profile of the subject (difficult to formalize and time-consuming task that requires more
work);
– certain thresholds behavioral characteristics of the subject to reduce the probability of occurrence
of one of the above two extreme cases.
This technology requires continuous registration of all activities controlled entity, for the detection of
abnormal activity, which significantly reduces the performance of the protected host. Such systems are a lot
of CPU require large amounts of space to store the collected data and, in principle, applicable to systems that
are critical to the speed, operating in real time. Another drawback of existing systems to detect anomalous
activity is that they are based on assumptions about the stationarity of network processes and the mutual
independence of private metrics that are never fulfilled in practice. This predetermines the use of such
systems the method of stationary statistics, which are not suitable for short-term forecasting, which makes
responding to security threats in real time. Rather rarely update the database parameters of normal behavior
allows offenders to adapt their behavior to the requirements of the detection of abnormal activity, which
treats it as a result of a legitimate user. Ignoring the mutual dependence of private metrics leads to inadequate
response of the system, resulting in a large number of false positives [5].
Достарыңызбен бөлісу: |