3.1. Моделирование процесса атаки типа «простой dns-flood»
Рассмотрим процесс атаки на DNS-сервер типа «простой DNS-flood». Смоделируем процесс, с момента отправки данных злоумышленником, до момента отказа в обслуживании сервера, с помощью сети Петри-Маркова [39], где:
- позиции, - переходы;
– отправка запросов с хоста злоумышленника
на атакуемый сервер;
– поступление данных отправленных на сервер злоумышленником;
– запросы получены;
– постановка в очередь полученных запросов;
– запросы атакующего попали в очередь
на обработку;
– передача запросов на обработку серверу;
– очередь переполнена;
– запросы злоумышленника ушли на
обработку;
– обработка запроса;
– запрос отправлен в базу данных;
– обработка запроса в базе данных;
– ответ от базы данных получен;
– отправка ответа;
– ответ отправлен;
– проверка очереди;
– отказ в обслуживании.
Граф данной сети представлен на рис. 3.1.
Рис. 3.1. Граф сети Петри-Маркова для атаки типа «DNS-flood»
Логические функции срабатывания сети (рис. 3.1), сведены в табл. 3.1.
Таблица 3.1
Элементы матрицы для атаки «DNS-flood»
Из табл. 3.1 следует система интегрально-дифференциальных уравнений (3.1).
Применяя пуассоновское приближение, найдем среднее время перемещения по сети Петри-Маркова (рисунок 3.1) из начальной позиции до конечного перехода. В результате имеем:
где вероятность будет равна:
Для
примера исходным параметрам атаки
придадим следующие значения:
= 0,5 с – среднее время открытии запросов
от атакующего,
= 0,2 с – среднее время нахождения в
очереди, 
= 2,5 с – среднее время обработки полученного
запроса, 
= 2,5 с – время обработки в базе данных,
= 10 с – время отправки обратного ответа.
Тогда из (3.2) среднее время перехода по
всей сети
= 15,7 с. Соответствующая зависимость
вероятности заражения хоста от времени
представлена на рис. 3.2.
t
Рис. 3.2. Пример зависимости от времени вероятности реализации атаки типа «DNS-flood»
3.2. Моделирование процесса атаки типа «рекурсивный dns-flood»
Рассмотрим процесс атаки типа «рекурсивный DNS-flood» на DNS-сервер. Смоделируем проведение атаки, с момента отправки данных злоумышленником, до момента отказа в обслуживании DNS-сервера, с помощью сети Петри-Маркова [100], где:
- позиции; - переходы;
– отправка запросов с хоста злоумышленника на атакуемый сервер;
– поступление данных отправленных на сервер злоумышленником;
– запросы получены;
– постановка в очередь полученных запросов;
– запросы атакующего попали в очередь на обработку;
– передача запросов на обработку серверу;
– очередь переполнена;
– запросы злоумышленника ушли на обработку;
– обработка запроса;
– запрос отправлен в базу данных;
– обработка запроса в базе данных;
– ответ от базы данных получен;
– отправка запроса на вышестоящий сервер;
– запрос отправлен;
– проверка очереди;
– отказ в обслуживании;
– ожидание ответ на сервере;
– получение ответа от сервера;
Граф данной сети представлен на рисунке 3.3.
Рис. 3.3. Граф сети Петри-Маркова для атаки типа «рекурсивный DNS-flood»
Логические функции срабатывания сети (рис. 3.3), сведены в табл. 3.2.
Таблица 3.2
Элементы матрицы для атаки типа «рекурсивный DNS-flood»
Для данной матрицы имеет место следующая система интегрально-дифференциальных уравнений [99]:
Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения в следующем виде:
Рассмотрим пример, где исходные параметры атаки принимают следующие значения:
= 0,5 с – среднее время открытии запросов
от атакующее,
= 0,2 с – среднее время нахождения в
очереди,
= 2,5 с – среднее время обработки полученного
запроса,
= 2,5 с – время обработки в базе данных,
= 10 с – время отправки обратного ответа,
– время ответа верхнего сервера.
Тогда среднее время перехода по всей сети равно = 16,2 с, а зависимость от времени вероятности заражения хоста приобретает вид, представленный на рис. 3.4.
P(t)
t
t
Рис. 3.4. Зависимость от времени вероятности реализации атаки типа «рекурсивный DNS-flood»
С изменением крутизна кривой очевидно будет меняться.