СПОСОБ ОБРАБОТКИ СЕТЕВЫХ ПАКЕТОВ ДЛЯ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК

Изобретение относится к области электросвязи и вычислительной техники, а конкретнее к области способов и устройств защиты информации в компьютерных системах и сетях, и может быть использовано в связных, вычислительных и информационных системах для обнаружения злонамеренных воздействий на компьютерные системы, соединенные компьютерными сетями, при обмене данными правительственными, правоохранительными, оборонными, банковскими и промышленными учреждениями.

Известен способ обработки сетевых пакетов по правилам фильтрации [1], в котором для обеспечения безопасности защищаемой вычислительной сети используется компьютер-шлюз с установленным межсетевым экраном, и решение о пропуске сетевых пакетов определенного вида через межсетевой экран принимают пользователи защищаемой вычислительной сети.

Однако способ имеет недостатки, заключающиеся в отсутствии возможности распознавания начала компьютерных атак на защищаемую сеть, невозможности обнаружения несанкционированного сканирования, а также необходимости быстрой и постоянной корректировки правил при возникновении новых угроз безопасности защищаемой сети, что существенно для использования данного способа на практике.

Известен также другой способ межсетевого экранирования и обнаружения компьютерных атак [2], сущность которого заключается в журналировании различных сетевых пакетов для последующего анализа и принятия решения о возможности проведения атаки на защищаемую подсеть. Способ включает описание механизмов обработки пакетов для сбора статистической информации и ее последующего анализа, дополненного иерархической системой рубрикации поступающей информации о проходящих сетевых пакетах.

Недостатки данного способа связаны с невозможностью противодействия злоумышленнику, проводящему несанкционированное сканирование защищаемой сети в поисках уязвимых для взлома и проникновения сетевых служб, а также сложностью противодействия распределенным атакам на отказ в обслуживании.

Наиболее близким по технической сущности к предлагаемому является способ организации локальной вычислительной сети и межсетевого экрана [3], принятый за прототип, заключающийся в том, что защита внутренней сети обеспечивается с помощью межсетевого экрана, представляющего собой комплекс аппаратных и программных средств, содержащий по меньшей мере два сетевых интерфейса для обмена двунаправленными потоками сетевых пакетов между сетевыми интерфейсами межсетевого экрана и осуществляющий фильтрацию транслируемых сетевых пакетов в соответствии с заданными правилами фильтрации. При этом межсетевой экран исключен из числа абонентов сети путем такой настройки программы управления межсетевого экрана, при которой эта программа использует для приема и передачи пакетов сетевые интерфейсы межсетевого экрана без назначения им логических адресов, скрывает информацию об их физических адресах, а задание правил фильтрации осуществляется с помощью отдельного интерфейса управления, не имеющего связи с сетевыми интерфейсами межсетевого экрана.

Недостатками прототипа являются отсутствие механизмов распознавания фактов компьютерных атак на защищаемую вычислительную сеть, а также отсутствие механизмов предотвращения распределенных атак на отказ в обслуживании и обнаружения несанкционированного сканирования защищаемой сети.

Задачей, на решение которой направлено данное изобретение, является повышение уровня информационной защиты вычислительных сетей с использованием межсетевых экранов, а также обеспечение работоспособности сетевых служб защищаемой вычислительной сети в случае злонамеренного на них воздействия за счет обнаружения несанкционированного сканирования защищаемой сети злоумышленниками и предотвращения распределенных атак на отказ в обслуживании сетевых служб защищаемой сети.

Техническим результатом, получаемым от внедрения данного изобретения, является устранение указанных выше недостатков, то есть обнаружение несанкционированного сканирования защищаемой сети злоумышленниками и предотвращение распределенных атак на отказ в обслуживании сетевых служб защищаемой сети.

Данный технический результат достигается за счет того, что межсетевой экран изначально блокирует сетевые пакеты, инициирующие новые сеансы связи с защищаемой сетью, обрабатывая их самостоятельно, а в случае корректности запросов проводит принудительное установление сеанса связи отправителя сетевых пакетов с их получателем и осуществляет прозрачную ретрансляцию корректных пакетов.

В предлагаемом способе используется обработка сетевых пакетов, сформированных в соответствии с протоколом TCP стека сетевых протоколов TCP/IP. Известно, что установка сеанса связи по протоколу TCP стека TCP/IP происходит в три шага [4]. Обозначим компьютер, инициирующий сеанс связи, через S₁, а компьютер-приемник, который должен получить сетевые пакеты с данными, через R₁. На первом шаге компьютер S₁ (назовем его также "клиент") создает сетевой пакет P₁, в котором записывает флаг пакета SYN, свой адрес отправителя S₁ и адрес получателя R₁, заполняет остальные служебные поля сетевого пакета и посылает его получателю R₁ (назовем его также "сервер"). В ответ на пришедший сетевой пакет P₁ сервер R₁ высылает клиенту S₁ сетевой пакет Р₂, содержащий установленные флаги АСК и SYN, а также служебные поля сетевого пакета в соответствии с протоколом TCP. После получения сетевого пакета Р₂ клиент S₁ в свою очередь должен выслать последнее подтверждение - новый сетевой пакет Р₃ с установленным флагом АСК, после чего сеанс связи считается установленным и наступает этап собственно передачи данных (см. фиг.1). Если в течение заданного времени серверу от клиента не приходит пакет подтверждения, данные об устанавливаемом сеансе связи удаляются из памяти сервера.

В известных реализациях стека протоколов TCP/IP в случае, когда инициированных, но еще не подтвержденных сеансов связи становится больше, чем Z (Z=2, 3, 4...), сервер перестает принимать сетевые пакеты от новых клиентов, то есть происходит отказ в обслуживании клиентов [4].

Поскольку каждая вычислительная сеть имеет конечное и ограниченное количество каналов связи с другими вычислительными сетями, для защиты внутренней сети в известных способах на каналах связи с другими сетями устанавливается шлюз-компьютер с межсетевым экраном - программным обеспечением, предназначенным для фильтрации и блокирования нежелательных и вредоносных сетевых пакетов. Межсетевые экраны устанавливаются таким образом, чтобы иметь возможность обработки всех сетевых пакетов, проходящих внутрь сети и из нее.

В предлагаемом способе для защиты внутренней вычислительной сети от несанкционированного сканирования и выведения из строя сетевых служб используется следующий способ обработки сетевых пакетов на межсетевом экране.

При обнаружении межсетевым экраном сетевого пакета P₁ с установленным номером инкапсулированного протокола, соответствующим протоколу TCP, анализируется адрес отправителя S₁ и получателя R₁. В случае, если получателем R₁ является компьютер внутренней сети и сетевой пакет имеет установленный флаг SYN, обозначающий запрос на установление соединения, межсетевым экраном осуществляется посылка отправителю S₁ сетевого пакета Р₂ в соответствии с протоколом TCP и установленными флагами SYN и АСК, а также полем отправителя, равным адресу получателя R₁ в пришедшем пакете P₁, причем сам пришедший пакет P₁ искомому получателю R₁ не доставляется и блокируется.

В случае, если в ответ на сетевой пакет Р₂, сформированный и посланный межсетевым экраном, приходит сетевой пакет Р₃ с установленным номером инкапсулированного протокола, соответствующим протоколу TCP, причем в качестве флагов установлено только значение АСК, межсетевой экран осуществляет посылку получателю R₁ сначала пакета P₁ с установленным флагом SYN, дожидается его ответа в виде сетевого пакета Р₄ с установленными флагами SYN и АСК, затем посылает ему только что пришедший пакет Р₃ с установленным флагом АСК, после чего межсетевой экран обеспечивает беспрепятственную пересылку сетевых пакетов, принадлежащих данному ТСР-сеансу связи (см. фиг.2).

Таким образом, в случае несанкционированного сканирования портов в защищаемой внутренней сети путем посылки множества пакетов, сформированных в соответствии с протоколом TCP и с установленным флагом SYN, злоумышленник на все пакеты сканирования будет получать ответ, сформированный межсетевым экраном, а не требуемым получателем. В результате действия данного способа для злоумышленника все сканируемые им порты и сетевые службы будут считаться открытыми, вне зависимости от их состояния на компьютерах внутренней сети, что делает бессмысленным несанкционированное сканирование.

В случае, если злоумышленник пытается начать атаку на отказ в обслуживании какой-либо сетевой службы путем посылки большого количества сетевых пакетов в соответствии с протоколом TCP и установленным флагом SYN на порт этой службы, как будто бы он инициирует сеанс связи по протоколу TCP с этой службой, межсетевой экран будет отвечать на такие псевдозапросы самостоятельно, ограждая сетевую службу от излишней загрузки злонамеренными сетевыми пакетами. Это приводит к тому, что служба работает в штатном режиме, а атаку на отказ в обслуживании какой-либо сетевой службы злоумышленнику провести принципиально невозможно.

Изобретение поясняется фиг.3, на которой представлена блок-схема устройства для реализации способа в виде межсетевого экрана с помощью ПЭВМ или вычислительного устройства.

Устройство для реализации способа состоит из блока 1 приема сетевых пакетов; операционного блока 2, реализующего обработку сетевых пакетов до уровня по протоколу IP включительно; операционного блока 3 обработки сетевых пакетов по протоколу TCP; блока 4 организации буферной памяти; операционного блока 5, реализующего генерацию сетевых пакетов по протоколу IP и заданным характеристикам; операционного блока 6, реализующего генерацию сетевых пакетов по протоколу TCP; операционного блока 7, реализующего выборку и уничтожение сетевых пакетов по заданным правилам; блока 8 передачи сетевых пакетов в компьютерную сеть.

Согласно предлагаемому способу устройство работает следующим образом. Из многофункционального блока 1 (в IBM PC совместимых компьютерах им может быть, например, сетевая PCI-карта [7]) в устройство поступают сетевые пакеты канального уровня (например, по протоколу Ethernet), переданные от других компьютеров и маршрутизационного оборудования.

Далее сетевые пакеты поступают на вход блока 2, где из них извлекается служебная информация и сетевой пакет по протоколу IP. Его содержимое также обрабатывается в блоке 2, и если внутри сетевого пакета по протоколу IP инкапсулирован сетевой пакет по протоколу TCP, сетевой пакет по протоколу TCP извлекается и передается в блок 3, иначе сетевой пакет по протоколу IP передается в блок 7.

Поступив в операционный блок 3, сетевой пакет анализируется на наличие флагов установки сеанса связи согласно заявляемому способу. Для этого осуществляется посылка запроса (в виде совокупности значений полей отправителя, получателя и номеров портов приема и передачи сетевого пакета, а также данных всего сетевого пакета) в блок 4 на наличие сетевых пакетов с такими же получателями и отправителями, что и у обрабатываемого сетевого пакета. В случае, если таковых не обнаружено (блок 4 возвращает нулевое значение в ответ на запрос), осуществляется проверка установленных флагов сетевого пакета. Если установлены какие-либо другие флаги, кроме SYN, сетевой пакет передается блоку 7, иначе сетевой пакет передается блоку 6. В случае, если блок 4 вернул ненулевое значение и в сетевом пакете установлен флаг АСК, сетевой пакет помещается последовательно в блок 7 и затем в блок 6.

Блок 4 обрабатывает поступающие запросы в виде совокупности значений полей отправителя, получателя и номеров портов приема и передачи сетевого пакета, осуществляет поиск в буферной памяти, размещенной в блоке 4, сетевых пакетов с такими значениями и возвращает количество найденных сетевых пакетов и данные всех найденных сетевых пакетов. Если сетевых пакетов с такими характеристиками не найдено, блок 4 запоминает поступившую совокупность значений и данные сетевого пакета, а затем возвращает нулевое значение.

Блок 5 получает сетевые пакеты из блока 6, дополняет их служебными заголовками по протоколу IP, проводит соответствующие протоколу IP процедуры и передает сетевой пакет в блок 8 (в IBM PC совместимых компьютерах им также может быть сетевая PCI-карта [7]) для отправки получателю.

Блок 6 получает на вход сетевые пакеты из блока 3. Если поступивший сетевой пакет имеет установленный флаг SYN, блок 6 составляет сетевой пакет согласно заявленному способу, меняя местами значения получателя и отправителя исходного сетевого пакета, устанавливая флаги SYN и АСК, а также совершая необходимые действия в соответствии с протоколом TCP. Если же поступивший сетевой пакет имеет установленный флаг АСК, блок 6 составляет запрос к блоку 4, получает данные всех сетевых пакетов и передает их в блок 5. После проведения одной из этих процедур сетевой пакет передается в блок 5.

Блок 7 осуществляет проверку поступившего пакета по протоколу TCP или по протоколу IP на предмет совпадения значений служебных полей с определенными разрешенными значениями. Если сетевой пакет поступил из блока 3 и имеет установленный флаг АСК, блок 7 запоминает значения сетевого пакета и применяет их для дальнейшей проверки. При достаточном совпадении с проверяемыми значениями сетевой пакет (см. например, программную реализацию блока фильтрации [8]) поступает в блок 8 и пересылается получателю, иначе сетевой пакет уничтожается.

Таким образом, в данном способе повышается защищенность внутренней вычислительной сети от несанкционированного сканирования защищаемой сети злоумышленниками и от распределенных атак на отказ в обслуживании сетевых служб, чем достигается поставленный технический результат.

Перечень фигур

Фиг.1 - Стандартная схема установления сеанса связи согласно протоколу TCP.

Фиг.2 - Схема установления сеанса связи согласно данному способу.

Фиг.3 - Блок-схема устройства, реализующего данный способ.

Источники информации

1. Barrett J.G. Public network access server having a user-configurable firewall. Патент США №6832321, кл. G06F 011/30, G06F 012/14, H04L 009/00, H04L 009/32.

2. Campbell W.A. Method and system for detecting intrusion into and misuse of a data processing system. Патент США №6839850, кл. G06F 011/30, G06F 015/173, G06F 015/16.

3. Купреенко С. В., Заборовский B.C., Шеманин Ю.А. Вычислительная сеть с межсетевым экраном и межсетевой экран. Патент РФ №2214623, кл. G06F 15/163, 15/173 - прототип.

4. Олифер В., Олифер Н. Новые технологии и оборудование IP-сетей. СПб.: БХВ, 2000 - 512 с.

5. Семенов Ю.А. Протоколы и ресурсы Интернет. М.: Радио и связь, 1996 - 320 с.

6. Transmission Control Protocol, Request for comments, RFC793.

7. Мюллер С. Модернизация и ремонт ПК. М.: Вильямс, 2004 г. - 1344 стр.

8. Медведовский И.Д., Семьянов Б.В., Леонов Д.Г., Лукацкий А.В. Атака из Internet. М.: Солон-Р, 2002. - 368 с.