Огляд запобігання flood-атак

Visual Basic (Декларація)
C #
C ++
J #
JScript
Xml
Сценарій Visual Basic

Шлюз Microsoft Forefront Threat Management дозволяє запобігати Flood-атаки, які для багатьох підприємств, на жаль, вже стали буденністю. Flood-атакою називається спроба атаки на мережу, що вживається зловмисником при використанні множини неперервно вдосконалюваних методів. Метою Flood-атаки є виснаження ресурсів атакується комп'ютера або мережі і відключення служб. Іншим сценарієм Flood-атаки є поширення вірусу-хробака на інші вузли. Для сервера Forefront TMG Flood-атака може мати такі наслідки.

  • Сильна завантаження диска.
  • Високе завантаження ЦП.
  • Надмірне споживання пам'яті.
  • Зниження пропускної здатності мережі.

    Forefront TMG включає ряд параметрів функцій запобігання Flood-атак, що дозволяють гарантувати захист мережі від шкідливих атак. Механізм запобігання Flood-атак використовує такі кошти.

    • Обмеження на число підключень, які використовуються для виявлення і блокування шкідливого трафіку.
  • Запис в журнал подій, пов'язаних із запобіганням Flood-атак.
  • Сповіщення, що спрацьовують при перевищенні обмеження на число підключень.

    Встановлені за замовчуванням параметри конфігурації навіть в умовах Flood-атаки дозволяють гарантувати стабільну роботу Forefront TMG завдяки диверсифікації трафіку і забезпечення різних рівнів обслуговування для різних його типів. Імовірно шкідливий трафік (який використовується для проведення Flood-атаки) може бути заборонений, тоді як весь інший трафік продовжує обслуговуватися.

    Forefront TMG використовує лічильники підключень і обмеження на число підключень, щоб виявляти і блокувати трафік від клієнтів, що створюють надмірний обсяг трафіку. Це дозволяє уникнути зниження продуктивності через тривале відмови в обслуговуванні запитів, викликаного Flood-атакою.

    Механізм запобігання Flood-атак Forefront TMG дозволяє виявляти різні типи атак, включаючи наступні.

  • Flood-атаки по TCP-підключень. Атакуючий комп'ютер встановлює велике число TCP-підключень з сервером Forefront TMG або іншим атакується сервером, захищеним Forefront TMG. У ряді випадків зловмисник послідовно відкриває і закриває величезне число TCP-підключень, намагаючись таким чином обійти механізм обмеження за квотами. При цьому споживаються величезні ресурси.
  • SYN-атаки. Атакуючий комп'ютер намагається виснажити ресурси сервера Forefront TMG за допомогою наполовину відкритих TCP-підключень, посилаючи велика кількість TCP-повідомлень SYN сервера Forefront TMG і не завершуючи підтвердження TCP, внаслідок чого TCP-підключення залишаються наполовину відкритими.
  • Атаки типу «відмова в обслуговуванні» (DoS) по протоколу HTTP. Один або кілька атакуючих комп'ютерів відправляють величезна кількість HTTP-запитів на сервер Forefront TMG. У ряді випадків зловмисник з високою швидкістю відправляє HTTP-запити через стійке (keep-alive) TCP-підключення. При цьому веб-проксі Forefront TMG проводить перевірку справжності кожного запиту, споживаючи величезні ресурси сервера Forefront TMG.
  • Атаки типу «відмова в обслуговуванні» (DoS) не по протоколу TCP. Велике число атакуючих комп'ютерів відправляють запити на сервер Forefront TMG. Хоча загальний обсяг трафіку, що передається на атакується комп'ютер, величезний, кількість трафіку від окремого атакуючого комп'ютера може бути незначним.
  • Flood-атаки по UDP-підключень. Атакуючий комп'ютер одночасно відкриває велике число UDP-сеансів з сервером Forefront TMG.

    При досягненні обмеження на число підключень для одного правила за поточну секунду для трафіку, з яким не пов'язані підключення, нові підключення створюватися не будуть. Пакети будуть відкидатися, а Forefront TMG згенерує подія, яке може привести до спрацьовування оповіщення «Перевищено обмеження на число підключень для правила». Після закінчення секунди лічильник скидається, і протягом наступного секунди можуть створюватися нові підключення до тих пір, поки знову не буде досягнуто максимальне значення.

    Додаткові обмеження на число підключень для трафіку, що обробляється фільтром веб-проксі, можуть бути налаштовані у властивостях кожного веб-Прослуховувач будь-якої мережі, з якої можлива відправка вихідних веб-запитів.

    При завданні обмеження на число підключень у властивостях веб-проксі певної мережі, вказується максимальна дозволена кількість одночасних вихідних веб-підключень з мережі через порт 80 в будь-який момент часу.

    При спрацьовуванні оповіщення враховуються тільки спроба встановлення дозволені політикою брандмауера. Якщо спроба підключення заборонена політикою брандмауера, Forefront TMG враховує помилкові підключення окремо.

    У цій таблиці наведено параметри запобігання Flood-атак, наведені на сторінці Запобігання Flood-атак диспетчера Forefront TMG.