С. И. ХИТРОВ
Научный руководитель – Н. П. ВАСИЛЬЕВ, к. т.н., доцент
Московский инженерно-физический институт (государственный университет)
Разработка механизма гарантированной
доставки сообщений в IP-сетях
Предлагается метод, который позволит существенно улучшить доставку сообщений и снизить уязвимость хостов при DOS – Атаках в ip – сетях.
При организации межпрограммного взаимодействия на различных вычислительных системах одной из задач является организация качественного канала связи между взаимодействующими приложениями. Для решения такой задачи требуется провести исследование данной области, провести анализ имеющихся методов и выбрать наиболее подходящий из них. После проведенного анализа было принято решение использовать базовый протокол стека TCP\IP, а при необходимости доработать его.
В течение последних 20 лет приложения и конечные пользователи, имевшие дело с семейством TCP/IP, работали с одним из двух протоколов: TCP или UDP. Однако уже сегодня некоторые приложения требуют функциональности, выходящей за рамки той, которую в состоянии предоставить TCP или UDP, а в будущем эти требования возрастут еще больше[1].
Каждый из выше названных протоколов имеет свои достоинства и недостатки. Например, протокол UDP в отличие от TCP не гарантирует доставку пакета, что позволяет ему гораздо быстрее и эффективнее доставлять данные для приложений, которым не требуется большая пропускная способность линий связи, либо требуется малое время доставки данных. При этом TCP в отличие от UDP позволяет продублировать потерянные пакеты.
Основанный на механизме TCP-сокетов API-интерфейс не поддерживает множественную адресацию. С конкретным TCP-соединением с другим хостом приложение может связать только один IP-адрес. Если интерфейс, назначенный этому IP-адресу, отключается, TCP-соединение прерывается и его необходимо устанавливать заново. Также TCP-хосты восприимчивы к атакам типа «отказ в обслуживании» (DoS — denial of service). Для таких атак характерны своего рода «штормы», огромное количество пакетов TCP SYN, сигнализирующих ничего не подозревающему хосту о том, что отправитель хочет установить с ним TCP-соединение. Хост-получатель резервирует память и отвечает на запрос сообщениями SYN ACK. Когда атакующая система не возвращает сообщения ACK, необходимые для завершения трехэтапной процедуры установки TCP-соединения, ресурсы хоста, подвергнувшегося атаке, остаются неосвобожденными. Поэтому он оказывается не готов к обслуживанию легитимных запросов на установку TCP-соединения [2].
Для решения данной задачи требуется разработать механизм установки соединения и взаимодействия, который бы позволил объединить все положительные стороны TCP и UDP протоколов. Разрабатываемый механизм взаимодействия должен отвечать следующим основным требованиям:
· Дублирование потерянных пакетов
· Возможность организации резервного канала связи
· Механизм смягчения влияния DOS – Атак
Дублирование потерянных пакетов, возможно, унаследовать от протокола TCP.
Для решения проблемы разрыва соединения планируется внести некоторые дополнения в механизм протокол TCP, которые бы позволили при недоступности основного адреса перенаправлять поток данных на альтернативный адрес. Применение подобной схемы позволит снизить избыточность, возникающую при организации резервного канала связи между узлами, что приведет к снижению нагрузки в системе маршрутизации.
Что касается DOS – Атак, то одним из вариантов смягчения воздействия атак, передающих массу пакетов TCP SYN на хост-адресат, может служить механизм cookie при инициализации взаимодействия. Это отражено на рисунке 1:
Рис. 1. Механизм установки соединения с использованием cookie
Список литературы
1. J. Postel, "Transmission Control Protocol", IETF RFC 793, Sept. 1981
2."Defining Strategies to Protect against TCP SYN Denial of Service Attacks", Cisco Systems, tech. memo, Aug. 2001;
