رای به سایت :
773
محبوب
ناحیه مقاومت بسیج ولی عصر (عج)
جمعه 02 فروردين 1398 -
اثرات ترافیک شبکه بر نفوذ در شبکه
اثرات ترافیک شبکه بر نفوذ در شبکه

کلید واژه: امنیت شبکه، سیستمهای تشخیص نفوذ در شبکه، حمله DOS، تولید ترافیک شبکه است.
calendar
تاریخ : 1394/04/04 - 18:13
4
محبوب  
رای به خبر :

به نام خدا

 

((اثرات ترافیک شبکه بر نفوذ در شبکه))

 

م ذبیحی طاری

دانشجوی ترم آخر مهندسی فناوری شبکه

Zabihimajid54@gmail.com

 

اردیبهشت سال 1394

 

 

اثرات ترافیک شبکه بر نفوذ در شبکه

چکیده

اهمیت امنیت شبکه روز به روز افزایش یافته است و سیستم های تشخیص نفوذ به سرعت بالایی توسعه یافته اند تا به این هدف و امنیت بیشتر کمک نمایند. سیستمهای تشخیص نفوذ در شبکه شامل جمع آوری اطلاعات شبکه، آنالیز این اطلاعات بر اساس قوانین تشخیص حمله و تولید هشدار و در صورت لازم از بین بردن بسته های حمله میباشد. در این مقاله سعی نمودیم تا بررسی بر عملکرد سیستمهای تشخیص نفوذ در شبکه بر اساس ترافیک شبکه داشته باشیم. ابتدا عملکرد سیستم بر اثر حمله DOS مورد بررسی قرارداده ، سپس با تولید ترافیک شبکه، عملکرد سیستم IPS بر شناسایی DOS مورد بررسی قرار داده ایم.

کلید واژه: امنیت شبکه، سیستمهای تشخیص نفوذ در شبکه، حمله DOS، تولید ترافیک شبکه

 

1.     مقدمه

عملکرد سیستمهای تشخیص نفوذ در شبکه میتوان به پنج ماژول اصلی تقسیم شود که در شبکه 1 قابل مشاهده میباشد.[1,2]. اولین ماژول سنسورها میباشند که اطلاعات را از سر تا سر شبکه جمع آوری مینمایند. دومین ماژول ، ماژول دیکد اطلاعات میباشد که سر آیند بسته را شناسایی میکند . ماژول سوم مسئول شناسایی ناهنجاری در بسته میباشد . ماژول چهارم، موتور تشخیص میباشد که مسئول تشخیص حمله و ارزیابی ناهنجاری ها میباشد . ماژول آخر نیز مسئول تولید هشدار و از بین بردن بسته های حمله میباشد.

شکل 1- ماژولهای سیستم تشخیص نفوذ در شبکه

در این مقاله، بر این هستیم که اثرات ترافیک شبکه را بر عملکرد سیستم تشخیص نفوذ در شبکه مورد بررسی قرار دهیم. این ارزیابی را بر حسب پارامترهایی از قبیل tp ، tn ، fp و fn انجام میدهیم که در کارهای مشابه از انها استفاده شده است [3,4]. این پارامترها دقت سیستم را مورد بررسی قرار میدهد بطور مثال TP نمایانگر تعداد حمله هایی است که به درستی تشخیص داده شده است. در ادامه ابتدا روند کار را توضیح داده و سپس ارزیابی سیستمهای تشخیص را مورد بررسی قرار داده و سپس نتایج را ارائه میدهیم.

2.    روند انجام کار

در این مقاله برای بررسی عملکرد سیستم تشخیص نفوذ در شبکه نیازمند تولید ترافیک شبکه به شرح زیر میباشیم:

1.      ترافیک نرمال شبکه که اثراتی بر تشخیص حمله در شبکه ندارد

2.      ترافیک فعال که منابع سیستم تشخیص نفوذ در شبکه را از بین میبرد و کارایی آن را کاهش میدهد.

ابزارهایی که در این مقاله از آن بهره برده ایم به ترتیب عبارتند از :

·        استفاده از نرم افزار Snort بعنوان یک ابزار تشخیص نفوذ در شبکه سبک و منبع باز ، ماژول های این نرم افزار در شکل 1 نمایش داده شده است[5,9].

·        استفاده از D-ITG بعنوان ابزار تولید ترافیک شبکه، این نرم افزار شامل بخشهای مختلف میباشد که از ITG-Send بعنوان تولید ترافیک ارسالی و ITG-REcv به عنوان دریافت ترافیک تولید شده استفاده میشود.

·        برای حمله در شبکه از حمله DOS استفاده شده است که بالاترین نرخ حمله بر سرورها را دارد.  نوع های مختلفی از این حمله میباشد که ما در این مقاله از حمله سیل آسا مورد استفاده قرار داده ایم[6].

ترافیک دریافتی و سیستم تشخیص نفوذ در شبکه میباشد. هر کدام از این ماژول در سیستم جداگانه ای توسعه داده شده ·        انتخاب محیط شبکه تست که شامل وب سرور، حمله کننده به وب سرور، ماژول تولید ترافیک ارسالی و دریافت کننده اند که مشخصات آن ها در جدول 1 آماده است.

جدول 1

مشخصات سخت افزاری کامپیوترها

component

CPU

RAM

OS

IP

وب سرور

 

 

Intel® Core™2 Duo Processor E7500

2 GB DDRII

Windows Server 2003 SP2

192.168.1.218

حمله کننده

Intel® Core™2 Duo Processor E7500

2 GB DDRII

Windows Server 2003 SP2

192.168.1.214

192.168.2.1

تولید کننده ترافیک ارسالی

Intel® Core™2 Duo Processor E7500

2 GB DDRII

Windows XP SP2

192.168.1.217

تولید کننده ترافیک دریافتی

Intel® Core™2 Duo Processor E7500

2 GB DDRII

Windows XP SP2

192.168.2.2

حمله کننده

Intel® Core™2 Duo Processor P8800

4 GB

DDRII

Windows 7 ultimate

192.168.2.216

           

 

3- ارزیابی عملکرد سیستم تشخیص نفوذ در شبکه

در ارزیابی عملکرد شبکه از پارامتر جدیدی به نام AR  استفاده نموده ایم که در مقاله های پیشین از آن استفاده نشده است [7,8] که این پارامتر تعداد بسته های ترافیک آنالیز شده به تعداد بسته های دریافت شده را نمایش میدهد . عدم وجود منابع نامحدود باعث میشود که درصد ی از بسته های دریافتی آنالیز شوند.

بر اساس این پارامتر، ارزیابی را در چندین مرحله انجام داده ایم.

·        مرحله اول

در مرحله اول ، ابتدا حمله کننده بدون وجود سیستم تشخیص نفوذ در شبکه به وب سرور حمله میکند ، که در این صورت مشاهده نمودیم که وب سرور دیگر قابلیت سرویس دادن به دیگران را ندارد و از کار می افتد. در این مرحله مشاهده نمودیم که با استفاده از حمله DOS و افزایش تعداد ارتباطات همزمان زیاد ، کارایی وب سرور کاهش میابد به صورتی که با افزایش تعداد ارتباطات همزمان به 200 ارتباط، در حدود 80% بسته های ارسالی از بین میروند.

·        مرحله دوم

سیستم تشخیص نفوذ در شبکه حمله کننده را تشخیص میدهد و ترافیک آن را حذف میکند و مانع رسیدن این ترافیک به وب سرور در این مرحله سیستم تشخیص نفوذ در شبکه را میان حمله کننده و وب سرور قرار میدهیم.  در این صورت مشاهده مینماییم که میشود. نمونه هشدار تولید شده را در شکل 2 مشاهده مینمایید.

شکل 2- نمونه هشدار تولید شده بر حمله DOS

 

·        مرحله سوم

در این مرحله سعی نمودیم با ایجاد ترافیک شبکه مجازی ، یک نمونه شبکه واقعی را شبیه سازی نماییم که در شکل 3 ، این نمونه را مشاهده مینماییم.

شکل 3- شبیه سازی شبکه واقعی

برای ترافیک عادی شبکه، بسته های UDP را مورد استفاده قرار داده ایم که نرخ آن 70000 بسته در ثانیه میباشد. در این حالت ، Snort حمله DOS را 100% تشخیص میدهد. حال آنکه اگر به جای ترافیک عادی شبکه، از ترافیک محرک ICMP  با نرخ 20000  بسته در ثانیه که بعنوان یکی از حمله های Snort میباشد استفاده نماییم ، مشاهده میکنیم که تنها 19% حمله DOS تشخیص داده شده است و حمله کننده توانسته است که وب سرور را از کار بیاندازد. دلیل این اتفاق این بوده است که منابع سیستم Snort بیش از حد استفاده شده است و نتوانسته است که بسته ها مورد  آنالیز قرار دهد و AR به شدت کاهش یافته است.

 

 

 

 

4- نتیجه گیری

در این مقاله ، اثرات ترافیک شبکه را بر عملکرد سیستم تشخیص نفوذ در شبکه IPS مورد بررسی قرار داده ایم.  در این مقاله از معیار AR بعنوان میزان کارایی سیستم تشخیص نفوذ در شبکه استفاده نموده ایم که نشان دهنده میزان بسته های آنالیز شده به میزان بسته های دریافتی میباشد. 

برای بررسی حمله در شبکه از سه فاز استفاده نموده ایم . در فاز اول حمله کننده را مورد بررسی قرار داده ایم، در فاز دوم، اثر سیستم تشخیص نفوذ در شبکه بر جلوگیری از حمله را بررسی کرده ایم و در فاز سوم اثر ترافیک بر نفوذ شبکه را بررسی کردیم. مشاهده نمودیم که ترافیک عادی هیچ گونه اثری بر عملکرد سیستم تشخیص نفوذ در شبکه ندارد حال آنکه ترافیک محرک منابع سیستم  تشخیص نفوذ در شبکه را مورد استفاده قرار میدهد و مانع تشخیص حمله کننده میشود بعبارتی دیگر باعث DOS شدن سیستم تشخیص نفوذ در شبکه میشود.

 

منابع

 

[1]

Daniel Padilla, Yudy Colorado Edward Guillen, 2009. "Weaknesses and Strengths Analysis over Networkbased," .

[2]

Mohsen Beheshti,Kazimierz Kowalski Jianchao Han, "Component-based Software Architecture Design For Network Intrusion Detection and Prevention System," in Information Technology New Generation, 2009, pp. 245-253.

[3]

Abdul Hanan Abdullah,Mohd. Yazid Idris Deris Stiawan, 2010.  "The Trends of Intrusion Prevention System Network," in 2nd International Conference on Education Technology and Computer (ICETC), 2010, pp. 217-221.

[4]

A.Movaghar F.Sabahi, "Intrusion Detection: A Survey, 2008. " in The Third International Conference on Systems and Networks Communications, 2008, pp. 23-36.

[5]

Paul Wolfe, and Bert Hayes Charlie Scott, 2004, Snort For Dummies, 1st ed. Indianapolis, Indiana: Willey.

[6]

Richard Wagoner, 2007," PERFORMANCE TESTING AN INLINE NETWORK INTRUSION DETECTION SYSTEM USING SNORT ".M.S thesis. Department of Computer Science, Morehead State University.

[7]

Sailesh Kumar. (2010, Oct.) Survey of Current Network Intrusion Detection. 20.

[8]

Chen Zhongwen , Zhou Ti echeng, Guan Xiaohui Zhou Zhimin, 2010.  "The Study on Network Intrusion Detection System of Snort," in International Conference on Networking and Digital Society, 2010, pp. 194-196.

[9]

Chris Green Martin Roesch. (2010, December) http://www.snort.org. [Online].   HYPERLINK "http://www.snort.org/assets/156/snort_manual.pdf"  

 http://www.snort.org/assets/156/snort_manual.pdf

 


انتهای پیام /
کدخبرنگار: 675


tags
                                                   ناحیه ولیعصر        علی کوثری        مقاله        ارتباطات        دانشکاه علمی کار بردی            





مطالب مرتبط