Методы обнаружения неочевидных DoS-атак

Методы обнаружения неочевидных DoS-атак

Существует, на первый взгляд аргументированное мнение, что специальные средства для обнаружения DoS-атак не требуются, поскольку факт такой атаки становится очевидным при достижении целей, которые ставит перед собой злоумышленник: выход из строя системы, отказ в доступе большому количеству пользователей извне и так далее.

Однако были отмечены случаи, когда DoS-атаки обнаруживались жертвами по прошествии некоторого времени после самого инцидента. Например, урон, причиненный атакой типа флуд, заключался в перерасходе трафика, что было выяснено только при выставлении счета за этот излишний трафик поставщиком услуг хостинга. Кроме того, для эффективного противодействия DoS-атакам необходимо иметь определенную информацию о них, что достигается также средствами обнаружения DoS-атак.

Некоторые средства обнаружения DoS-атак неэффективны при установлении на самом ресурсе, однако дают результат при анализе информации в большем масштабе сети. Поэтому имеет смысл устанавливать их удаленно от самого защищаемого объекта. Но не дожидаться, пока DoS-атака будет обнаружена пользователями по её последствиям. Эти средства дают возможность оперативно узнать тип, характер, другие показатели DoS-атаки, которые необходимы для противодействия ей. Способность хостера грамотно организовать системы оповещения, оперативного взаимодействия с клиентами в ситуациях DoS-атаки и защиты в таких случаях может быть наиболее важным аспектом его работы, особенно если ваш сайт часто становится мишенью для подобных действий хакеров.

Основные методы обнаружения DoS-атак условно делятся на три группы:

- сигнатурные – анализирующие содержание текущего трафика, и ищущие в потоке информации последовательности, отвечающие критериям;

- статистические – анализирующие количественные показатели трафика и его аномальные отклонения;

- гибридные – сочетающие в себе наиболее эффективные средства двух вышеперечисленных методов.


Карта сайта


Информационный сайт Webavtocat.ru