Как защититься от
отказа
в обслуживании.
Нет и не может быть приемлемых способов защиты от
отказа в обслуживании в стандарте IPv4 сети Интернет. Это
связано с тем, что невозможен контроль за маршрутом сообщений.
Поэтому невозможно обеспечить надежный контроль за сетевыми
соединениями, так как у одного субъекта сетевого взаимодействия
существует возможность занять неограниченное число каналов связи
с удаленным объектом и при этом остаться анонимным. Из-за этого
любой сервер в сети Интернет может быть полностью парализован
при помощи удаленной атаки. Единственное, что можно предложить
для повышения надежности работы системы, подвергаемой данной
атаке, - это использовать как можно более мощные компьютеры. Чем
больше число и частота работы процессоров, чем больше объем
оперативной памяти, тем более надежной будет работа сетевой ОС,
когда на нее обрушится направленный "шторм" ложных запросов на
создание соединения. Кроме того, необходимо использование
соответствующих вашим вычислительным мощностям операционных
систем с внутренней очередью, способной вместить большое число
запросов на подключение.
Как защититься от подмены одной из сторон при
взаимодействии с использованием базовых протоколов семейства
TCP/IP.
Единственным базовым протоколом семейства TCP/IP, в котором
изначально предусмотрена функция обеспечения безопасности
соединения и его абонентов, является протокол транспортного
уровня - протокол TCP. Что касается базовых протоколов
прикладного уровня: FTP, TELNET, r-служба, NFS, HTTP, DNS, SMTP,
то ни один из них не предусматривает дополнительную защиту
соединения на своем уровне и оставляет решение всех проблем по
обеспечению безопасности соединения протоколу более низкого
транспортного уровня - TCP. При использовании базовых протоколов
семейства TCP/IP обеспечить безопасность соединения практически
невозможно! К сожалению, все базовые протоколы сети Интернет с
точки зрения обеспечения информационной безопасности устарели.
Единственно, можно порекомендовать сетевым администраторам для
защиты только от межсегментных атак на соединения - в качестве
базового "защищенного" протокола использовать протокол TCP и
сетевые ОС, в которых начальное значение идентификатора
TCP-соединения действительно генерируется случайным образом
(неплохой псевдослучайный алгоритм генерации используется в
последних версиях ОС FreeBSD).
|