Механизм трехслойной защиты на основе веб-серверов против распределенного отказа от обслуживания
Настоящая публикация посвящена разработке механизма безопасности DDoS, который представляет собой трехслойный защитный механизм, основанный на веб-серверах. Сочетая характеристику трафика веб-серверов и нацеленность на опорную модель TCP / IP, он использует средства статистической фильтрации и огран...
Saved in:
| Published in: | Проблемы управления и информатики |
|---|---|
| Date: | 2019 |
| Main Authors: | , , |
| Format: | Article |
| Language: | Russian |
| Published: |
Інститут кібернетики ім. В.М. Глушкова НАН України
2019
|
| Subjects: | |
| Online Access: | https://nasplib.isofts.kiev.ua/handle/123456789/180834 |
| Tags: |
Add Tag
No Tags, Be the first to tag this record!
|
| Journal Title: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Cite this: | Механизм трехслойной защиты на основе веб-серверов против распределенного отказа от обслуживания / А.Т. Рахманов, Ш.К. Камалов, К.Ф. Керимов // Проблемы управления и информатики. — 2019. — № 5. — С. 64-72. — Бібліогр.: 9 назв. — рос. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| _version_ | 1862544763641659392 |
|---|---|
| author | Рахманов, А.Т. Камалов, Ш.К. Керимов, К.Ф. |
| author_facet | Рахманов, А.Т. Камалов, Ш.К. Керимов, К.Ф. |
| citation_txt | Механизм трехслойной защиты на основе веб-серверов против распределенного отказа от обслуживания / А.Т. Рахманов, Ш.К. Камалов, К.Ф. Керимов // Проблемы управления и информатики. — 2019. — № 5. — С. 64-72. — Бібліогр.: 9 назв. — рос. |
| collection | DSpace DC |
| container_title | Проблемы управления и информатики |
| description | Настоящая публикация посвящена разработке механизма безопасности DDoS, который представляет собой трехслойный защитный механизм, основанный на веб-серверах. Сочетая характеристику трафика веб-серверов и нацеленность на опорную модель TCP / IP, он использует средства статистической фильтрации и ограничения трафика в сетевом, транспортном и прикладном уровнях для фильтрации незаконного трафика, обеспечивая проход законного трафика. Упрощен алгоритм фильтрации графа хопа и используется SHCF для защиты первого слоя. Реализована предлагаемая система защиты внутри ядра Linux. Результат показывает, что механизм защиты трех уровней, основанный на веб-серверах, может эффективно защищать от атаки DDoS.
Визнано, що атаки з розподіленою відмовою від обслуговування (DDoS) можуть порушити веб-сервіс і призвести до великих втрат доходів. Атаки DDoS обмежують і блокують законних користувачів для доступу до веб-серверів шляхом вичерпання ресурсів жертви. Оскільки використовуються системні витоки і прихована проблема безпеки, дана атака має характеристики природної поведінки і її складно заблокувати. Захист веб-сервісів має першорядне значення, оскільки Інтернет є базовою технологією, яка лежить в основі електронної комерції — це і є основною метою DDoS-атак. Запропоновано ізолювати і захистити правильний трафік від великих обсягів трафіку DDoS, коли відбувається атака. Розроблено новий механізм безпеки DDoS — тришаровий захисний механізм, заснований на веб-серверах. Поєднуючи характеристику трафіка веб-серверів і націленість на опорну модель TCP/IP, використовуються кошти статистичної фільтрації та обмеження трафіку в мережевому, транспортному і прикладному рівнях для фільтрації незаконного трафіку для забезпечення проходу нормального трафіку. Більшість нелегітимного трафіку фільтрується за алгоритмом SHCF (спрощена фільтрація кількості хопів) на мережевому рівні. Інша частина незаконного трафіку фільтрується за алгоритмом SYNProxyFirewall на рівні передачі. Обмеження трафіку використовується на рівні додатку для DDoS-атак з використанням законної IP-адреси. Завдяки спільному захисту тришарового механізму підтримка доступності веб-сервісів може забезпечуватися при атаках DDoS. Механізм захисту реалізований і протестований всередині ядра Linux. Результат показує, що тришаровий захисний механізм може ефективно захищати від атаки DDoS.
It is widely recognized that distributed denial of service (DDoS) attacks can disrupt web services and lead to large revenue losses. DDoS attacks restrict and block legitimate users accessing web servers by exhaustion of victims resources. Due to system leaks and a hidden security problem are used, this attack has the characteristics of natural behavior and it is difficult to be blocked. Protection of web services is of paramount importance, since the Internet is the main technology underlying e-commerce — this is the main purpose of DDoS attacks. The article proposed to isolate and protect the correct traffic from the huge volumes of DDoS traffic when an attack occurs. A new DDoS security mechanism has been developed, which is a three-layer protection mechanism based on web servers. Combining the characteristics of web server traffic and aiming at TCP / IP reference model, it uses statistical filtering and traffic restriction in the network layer, transport layer and application layer to filter out illegal traffic to ensure normal traffic passage. Most of the illegitimate traffic is filtered by SHCF (Simplified Filtering of Hopes) algorithm at the network level. The rest of the illegal traffic is filtered according to the SYNProxyFirewall algorithm at the transmission level. Traffic restriction is used at the application level while DDoS attacks using a legitimate IP address. Thanks to the joint protection of the three-layer mechanism, support for the availability of web services can be provided during DDoS attacks. The protection mechanism is implemented and tested inside the Linux kernel. The result shows that a three-layer protection mechanism can effectively protect against DDoS attacks.
|
| first_indexed | 2025-11-25T02:20:34Z |
| format | Article |
| fulltext | |
| id | nasplib_isofts_kiev_ua-123456789-180834 |
| institution | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| issn | 0572-2691 |
| language | Russian |
| last_indexed | 2025-11-25T02:20:34Z |
| publishDate | 2019 |
| publisher | Інститут кібернетики ім. В.М. Глушкова НАН України |
| record_format | dspace |
| spelling | Рахманов, А.Т. Камалов, Ш.К. Керимов, К.Ф. 2021-10-20T17:39:37Z 2021-10-20T17:39:37Z 2019 Механизм трехслойной защиты на основе веб-серверов против распределенного отказа от обслуживания / А.Т. Рахманов, Ш.К. Камалов, К.Ф. Керимов // Проблемы управления и информатики. — 2019. — № 5. — С. 64-72. — Бібліогр.: 9 назв. — рос. 0572-2691 https://nasplib.isofts.kiev.ua/handle/123456789/180834 004.056.53 Настоящая публикация посвящена разработке механизма безопасности DDoS, который представляет собой трехслойный защитный механизм, основанный на веб-серверах. Сочетая характеристику трафика веб-серверов и нацеленность на опорную модель TCP / IP, он использует средства статистической фильтрации и ограничения трафика в сетевом, транспортном и прикладном уровнях для фильтрации незаконного трафика, обеспечивая проход законного трафика. Упрощен алгоритм фильтрации графа хопа и используется SHCF для защиты первого слоя. Реализована предлагаемая система защиты внутри ядра Linux. Результат показывает, что механизм защиты трех уровней, основанный на веб-серверах, может эффективно защищать от атаки DDoS. Визнано, що атаки з розподіленою відмовою від обслуговування (DDoS) можуть порушити веб-сервіс і призвести до великих втрат доходів. Атаки DDoS обмежують і блокують законних користувачів для доступу до веб-серверів шляхом вичерпання ресурсів жертви. Оскільки використовуються системні витоки і прихована проблема безпеки, дана атака має характеристики природної поведінки і її складно заблокувати. Захист веб-сервісів має першорядне значення, оскільки Інтернет є базовою технологією, яка лежить в основі електронної комерції — це і є основною метою DDoS-атак. Запропоновано ізолювати і захистити правильний трафік від великих обсягів трафіку DDoS, коли відбувається атака. Розроблено новий механізм безпеки DDoS — тришаровий захисний механізм, заснований на веб-серверах. Поєднуючи характеристику трафіка веб-серверів і націленість на опорну модель TCP/IP, використовуються кошти статистичної фільтрації та обмеження трафіку в мережевому, транспортному і прикладному рівнях для фільтрації незаконного трафіку для забезпечення проходу нормального трафіку. Більшість нелегітимного трафіку фільтрується за алгоритмом SHCF (спрощена фільтрація кількості хопів) на мережевому рівні. Інша частина незаконного трафіку фільтрується за алгоритмом SYNProxyFirewall на рівні передачі. Обмеження трафіку використовується на рівні додатку для DDoS-атак з використанням законної IP-адреси. Завдяки спільному захисту тришарового механізму підтримка доступності веб-сервісів може забезпечуватися при атаках DDoS. Механізм захисту реалізований і протестований всередині ядра Linux. Результат показує, що тришаровий захисний механізм може ефективно захищати від атаки DDoS. It is widely recognized that distributed denial of service (DDoS) attacks can disrupt web services and lead to large revenue losses. DDoS attacks restrict and block legitimate users accessing web servers by exhaustion of victims resources. Due to system leaks and a hidden security problem are used, this attack has the characteristics of natural behavior and it is difficult to be blocked. Protection of web services is of paramount importance, since the Internet is the main technology underlying e-commerce — this is the main purpose of DDoS attacks. The article proposed to isolate and protect the correct traffic from the huge volumes of DDoS traffic when an attack occurs. A new DDoS security mechanism has been developed, which is a three-layer protection mechanism based on web servers. Combining the characteristics of web server traffic and aiming at TCP / IP reference model, it uses statistical filtering and traffic restriction in the network layer, transport layer and application layer to filter out illegal traffic to ensure normal traffic passage. Most of the illegitimate traffic is filtered by SHCF (Simplified Filtering of Hopes) algorithm at the network level. The rest of the illegal traffic is filtered according to the SYNProxyFirewall algorithm at the transmission level. Traffic restriction is used at the application level while DDoS attacks using a legitimate IP address. Thanks to the joint protection of the three-layer mechanism, support for the availability of web services can be provided during DDoS attacks. The protection mechanism is implemented and tested inside the Linux kernel. The result shows that a three-layer protection mechanism can effectively protect against DDoS attacks. ru Інститут кібернетики ім. В.М. Глушкова НАН України Проблемы управления и информатики Методы обработки и защиты информации Механизм трехслойной защиты на основе веб-серверов против распределенного отказа от обслуживания Механізм тришарового захисту на основі web-серверів від розподіленої відмови від обслуговування A three-layer defense mechanism based on web servers against distributed denial of service attacks Article published earlier |
| spellingShingle | Механизм трехслойной защиты на основе веб-серверов против распределенного отказа от обслуживания Рахманов, А.Т. Камалов, Ш.К. Керимов, К.Ф. Методы обработки и защиты информации |
| title | Механизм трехслойной защиты на основе веб-серверов против распределенного отказа от обслуживания |
| title_alt | Механізм тришарового захисту на основі web-серверів від розподіленої відмови від обслуговування A three-layer defense mechanism based on web servers against distributed denial of service attacks |
| title_full | Механизм трехслойной защиты на основе веб-серверов против распределенного отказа от обслуживания |
| title_fullStr | Механизм трехслойной защиты на основе веб-серверов против распределенного отказа от обслуживания |
| title_full_unstemmed | Механизм трехслойной защиты на основе веб-серверов против распределенного отказа от обслуживания |
| title_short | Механизм трехслойной защиты на основе веб-серверов против распределенного отказа от обслуживания |
| title_sort | механизм трехслойной защиты на основе веб-серверов против распределенного отказа от обслуживания |
| topic | Методы обработки и защиты информации |
| topic_facet | Методы обработки и защиты информации |
| url | https://nasplib.isofts.kiev.ua/handle/123456789/180834 |
| work_keys_str_mv | AT rahmanovat mehanizmtrehsloinoizaŝitynaosnovevebserverovprotivraspredelennogootkazaotobsluživaniâ AT kamalovšk mehanizmtrehsloinoizaŝitynaosnovevebserverovprotivraspredelennogootkazaotobsluživaniâ AT kerimovkf mehanizmtrehsloinoizaŝitynaosnovevebserverovprotivraspredelennogootkazaotobsluživaniâ AT rahmanovat mehanízmtrišarovogozahistunaosnovíwebserverívvídrozpodílenoívídmovivídobslugovuvannâ AT kamalovšk mehanízmtrišarovogozahistunaosnovíwebserverívvídrozpodílenoívídmovivídobslugovuvannâ AT kerimovkf mehanízmtrišarovogozahistunaosnovíwebserverívvídrozpodílenoívídmovivídobslugovuvannâ AT rahmanovat athreelayerdefensemechanismbasedonwebserversagainstdistributeddenialofserviceattacks AT kamalovšk athreelayerdefensemechanismbasedonwebserversagainstdistributeddenialofserviceattacks AT kerimovkf athreelayerdefensemechanismbasedonwebserversagainstdistributeddenialofserviceattacks |