МЕХАНІЗМ ТРИШАРОВОГО ЗАХИСТУ НА ОСНОВІ WEB-СЕРВЕРІВ ВІД РОЗПОДІЛЕНОЇ ВІДМОВИ ВІД ОБСЛУГОВУВАННЯ

Рахманов Аскар Таджибаєвич, кандидат технічних наук, доцент Ташкентського університету інформаційних технологій ім. Мухаммада аль-Хорезми, Узбекистан

Камалов Шухрат Камалович, доцент Ташкентського університету інформаційних технологій ім. Мухаммада аль-Хорезми, Узбекистан

Керимов Комил Фикратович, кандидат технічних наук, зав. кафедрою Ташкентського університету інформаційних технологій ім. Мухаммада аль-Хорезми, Узбекистан 

pages 64–72

DOI: 10.1615/JAutomatInfScien.v51.i9.30

Визнано, що атаки з розподіленою відмовою від обслуговування (DDoS)ь можуть порушити веб-сервіс і призвести до великих втрат доходів. Атаки DDoS обмежують і блокують законних користувачів для доступу до веб- серверів шляхом вичерпання ресурсів жертви. Оскільки використовуються системні витоки і прихована проблема безпеки, дана атака має характеристики природної поведінки і її складно заблокувати. Захист веб- сервісів має першорядне значення, оскільки Інтернет є базовою технологією, яка лежить в основі електронної комерції — це і є основною метою DDoS-атак. Запропоновано ізолювати і захистити правильний трафік від великих обсягів трафіку DDoS, коли відбувається атака. Розроблено новий механізм безпеки DDoS — тришаровий захисний механізм, заснований на веб-серверах. Поєднуючи характеристику трафіка веб-серверів і націленість на опорну модель TCP/IP, використовуються кошти статистичної фільтрації та обмеження трафіку в мережевому, транспортному і прикладному рівнях для фільтрації незаконного трафіку для забезпечення проходу нормального трафіку. Більшість нелегітимного трафіку фільтрується за алгоритмом SHCF (спрощена фільтрація кількості хопів) на мережевому рівні. Інша частина незаконного трафіку фільтрується за алгоритмом SYNProxyFirewall на рівні передачі. Обмеження трафіку використовується на рівні додатку для DDoS-атак з використанням законної IP-адреси. Завдяки спільному захисту тришарового механізму підтримка доступності веб-сервісів може забезпечуватися при атаках DDoS. Механізм захисту реалізований і протестований всередині ядра Linux. Результат показує, що тришаровий захисний механізм може ефективно захищати від атаки DDoS.
Ключові слова: розподілені DOS-атаки, виявлення загроз, тришаровий механізм, математичний аналіз, незаконний трафік, TTL, веб-сервери.

1. Керимов К.Ф. Модель выявления угроз информационной безопасности в электронных ресурсах. Перспективы развития техники и технологии и достижения горно- металлургической отрасли за годы независимости Республики Узбекистан: Тез. докл. Респ. науч. конф. 12–14 мая 2011. Навои, 2011. С. 339–340.
2. Козлов Д.Д., Петухов А.А. Методы обнаружения уязвимостей в web-приложениях. Программные системы и инструменты. 2006. № 7. С. 156–166.
3. Керимов К.Ф., Мухсинов Ш.Ш. Исматуллаев С.О. Брандмауэр баз данных, основанный на обнаружении аномалий. Проблемы информатики и энергетики. 2015. № 3–4.
4. Низамутдинов М.К. Тактика защиты и нападения на ИТ- приложения. Санкт-Петербург: БХВ-Петербург, 2005. C. 10–30.
5. Пазизин С.В. Основы защиты информации в компьютерных системах. М. : ТВП-ОпиПМ, 2003. 73 с.
6. Петренко С. А., Петренко А. А. Аудит безопасности Intranet. М. : ДМК Пресс, 2002.  416 с.
7. Ржавский К.В. Информационная безопасность: практическая защита информационных технологий и телекоммуникационных систем. Волгоград: ВолГУ, 2002. 122 с.
8. Хорев П.Б. Методы и средства защиты информации в компьютерных системах. М. : Гелиос, 2006. 62 с.
9. Opanasenko V.N., Kryvyi S.L. Synthesis of adaptive logical networks on the basis of Zhegalkin polynomials. Cybernetics and Systems Analysis. 2015. 51, N 6. P. 969–977. DOI:
10.1007/s10559-015-9790-1.