Примечание.
В этом разделе представлены общие сведения о способах защиты от Flood-атак типа «отказ в обслуживании» в Forefront TMG. Дополнительные сведения и обновленную документацию см. на странице Forefront TMG библиотеки TechNet (http://go.microsoft.com/fwlink/?LinkID=131702) (возможно, на английском языке).

Flood-атаки типа «отказ в обслуживании» представляют собой попытки злонамеренных (или небрежных) пользователей, процессов или систем блокировать доступ законных пользователей к ресурсу (обычно к сетевой службе), вызывая переполнение сетевых подключений.

В следующих разделах представлены сведения, которые помогут спланировать защиту от Flood-атак типа «отказ в обслуживании» в сети с Forefront TMG:

Предотвращение Flood-атак на Forefront TMG

Механизм предотвращения Flood-атак на Forefront TMG использует следующие средства.

  • Ограничение числа подключений, применяемое для определения и блокирования вредоносного трафика.

  • Запись в журнал событий, связанных с предотвращением Flood-атак.

  • Оповещения, срабатывающие при превышении ограничения на число подключений.

Установленные по умолчанию параметры конфигурации даже в условиях Flood-атаки позволяют гарантировать стабильную работу Forefront TMG благодаря выполняемой Forefront TMG диверсификации трафика и обеспечению различных уровней обслуживания для разных его типов. Предположительно вредоносный трафик (используемый для проведения Flood-атаки) может быть запрещен, тогда как Forefront TMG продолжает обслуживать весь остальной трафик.

Механизм предотвращения Flood-атак на Forefront TMG позволяет выявлять различные типы атак, включая следующие.

  • Распространение вирусов-червей. Зараженный клиентский компьютер ищет уязвимые компьютеры, посылая запросы на TCP-подключение по произвольным IP-адресам на определенный порт. Быстрое исчерпание ресурсов происходит, если правила политики основаны на DNS-именах, которые требуют обратного преобразования IP-адресов.

  • Flood-атаки по TCP-подключениям. Атакующий компьютер устанавливает большое число TCP-подключений с сервером Forefront TMG или другим атакуемым сервером, защищенным Forefront TMG. В ряде случаев злоумышленник последовательно открывает и закрывает огромное число TCP-подключений, пытаясь таким образом обойти механизм ограничения по квотам. При этом потребляются огромные ресурсы.

  • SYN-атаки. Атакующий компьютер пытается истощить ресурсы сервера Forefront TMG с помощью наполовину открытых TCP-подключений, посылая большое количество TCP-сообщений SYN серверу Forefront TMG и не завершая подтверждение TCP, вследствие чего TCP-подключения остаются наполовину открытыми.

  • Атаки типа «отказ в обслуживании» по протоколу HTTP. Один или несколько атакующих компьютеров отправляют огромное число HTTP-запросов на сервер Forefront TMG. В ряде случаев злоумышленник с высокой скоростью отправляет HTTP-запросы через устойчивое (keep-alive) TCP-подключение. Поскольку веб-прокси Forefront TMG производит проверку подлинности каждого запроса, при этом потребляются огромные ресурсы сервера Forefront TMG.

  • Атаки типа «отказ в обслуживании» (DoS) не по протоколу TCP. Большое число атакующих компьютеров отправляют запросы на сервер Forefront TMG. Хотя общий объем трафика, передаваемого на атакуемый компьютер, огромен, количество трафика от отдельного атакующего компьютера может быть незначительным.

  • Flood-атаки по UDP-подключениям. Атакующий компьютер одновременно открывает большое число UDP-сеансов с сервером Forefront TMG.

Ограничения на число подключений

В Forefront TMG реализован механизм квот, с помощью которого устанавливаются ограничения на число подключений по протоколу TCP и иным протоколам, обрабатываемых службой межсетевого экрана Microsoft. Ограничения на число подключений применяются к запросам от внутренних клиентов, настроенных как клиенты SecureNAT, клиенты межсетевого экрана и клиенты веб-прокси в сценариях прокси-пересылки, и к запросам от внешних клиентов, обрабатываемым правилами веб-публикации и публикации серверов в сценариях обратного прокси. Этот механизм позволяет предотвращать Flood-атаки с определенных IP-адресов и помогает администраторам выявлять IP-адреса, создающие чрезмерный объем трафика, что может служить симптомом заражения вирусом-червем или иными вредоносными программами.

Политика ограничения на число подключений может быть настроена для изолированного сервера Forefront TMG или для их массива. Политика ограничения на число подключений включает следующие категории ограничений.

  • Ограничения на число запросов на TCP-подключение и HTTP-запросов с одного IP-адреса, не включенного в список исключений для IP-адресов, в минуту.

  • Ограничения на число одновременных подключений по протоколу транспортного уровня с одного IP-адреса, не включенного в список исключений для IP-адресов. Сюда относятся ограничения на число TCP-подключений, UDP-сеансов, а также ICMP и иных Raw-подключений.

  • Пользовательские ограничения на число запросов на подключение и одновременных подключений по протоколу транспортного уровня с одного IP-адреса, включенного в список исключений для IP-адресов. В список исключений IP-адресов могут включаться опубликованные серверы, сцепленные прокси-серверы и устройства преобразования сетевых адресов (маршрутизаторы), которые требуют большего числа подключений, чем другие IP-адреса. Пользовательские ограничения применяются к TCP-подключениям, UDP-сеансам, а также к ICMP и иным Raw-подключениям.

    Важно.
    Злоумышленник может провести Flood-атаку с помощью поддельных IP-адресов, включенных в список исключений. Во избежание этой угрозы рекомендуется реализовывать политику IPsec между Forefront TMG и любым доверенным IP-адресом, включенным в список исключений IP-адресов. В соответствии с политикой IPsec трафик с этих IP-адресов должен проходить проверку подлинности, что позволяет эффективно блокировать поддельный трафик.
  • Ограничение на общее число подключений по протоколам UDP, ICMP и иным протоколам Raw IP, которые могут быть установлены для отдельного правила публикации сервера или правила доступа за одну секунду.

При настройке политики ограничения на число подключений следует учесть следующие моменты.

  • При достижении предельного числа TCP-подключений для IP-адреса, установление новых подключений для этого адреса запрещено.

  • Ограничение на число UDP-подключений применяется к сеансам, а не к подключениям. При достижении предельного числа UDP-подключений для IP-адреса попытка открыть еще один UDP-сеанс с этого IP-адреса приведет к тому, что UDP-сеанс, который был открыт с этого адреса раньше всего, закроется, и будет установлен новый сеанс.

  • При достижении ограничения на число подключений для одного правила за текущую секунду для трафика, с которым не связаны подключения, новые подключения больше не создаются. Пакеты отбрасываются, а Forefront TMG генерирует событие, которое может привести к срабатыванию оповещения «Превышено ограничение на число подключений для правила». По истечении секунды счетчик сбрасывается, и в течение следующей секунды могут создаваться новые подключения до тех пор, пока снова не будет достигнуто максимальное значение.

  • Для ограничений на число подключений учитываются только попытки подключения, разрешенные политикой межсетевого экрана. В Forefront TMG используется специальный счетчик для подсчета попыток подключения, запрещенных политикой межсетевого экрана, по каждому IP-адресу. Если превышено число отклоненных TCP и не TCP-пакетов с одного IP-адреса в минуту, генерируется событие, которое может привести к срабатыванию оповещения «Превышено ограничение числа отклоненных подключений с одного IP-адреса в минуту». По истечении минуты счетчик сбрасывается, и событие генерируется снова при повторном достижении установленного предела. Однако по умолчанию повторное срабатывание оповещения не происходит до тех пор, пока оно не будет сброшено.

  • Дополнительные ограничения на число подключений для трафика, обрабатываемого фильтром веб-прокси, могут быть настроены в свойствах каждого веб-прослушивателя любой сети, из которой возможна отправка исходящих веб-запросов.

  • При задании ограничения на число подключений для веб-прослушивателя, указывается максимальное разрешенное число подключений к веб-узлам, опубликованным с помощью данного веб-прослушивателя. Веб-прослушиватели используются в правилах веб-публикации. Допускается использование одного веб-прослушивателя в нескольких правилах.

  • При задании ограничения на число подключений в свойствах веб-прокси определенной сети, указывается максимальное разрешенное число одновременных исходящих веб-подключений из сети через порт 80 в любой момент времени.

  • Кроме предотвращения Flood-атак и распространения вирусов-червей, можно также ограничить число максимально возможных одновременных подключений веб-прокси к компьютеру Forefront TMG. Это позволяет предотвращать атаки, злоупотребляющие ресурсами системы, и особенно полезно при публикации веб-серверов. Можно ограничить число подключенных компьютеров, разрешив некоторым клиентам подключение даже в том случае, если это ограничение достигнуто.

См. также