WEB-сервер под управлением ОС Linux. Статистика работы. Детектирование атак.Гуркин Ю.Н. (ИТЭФ), Семенов Ю.А. (ИТЭФ/МФТИ) В статье освещен круг вопросов, связанных с задачей мониторинга состояния системы, с целью выявления аномальных состояний и обеспечения безопасности веб-серверов. В данной статье рассматриваются параметры, характеризующие работу реально функционирующего веб-сервера http://saturn.itep.ru Рассматриваемые параметры включают информацию о tcp и udp сокетах, отдельно рассматриваются сокеты в состоянии прослушивания, сокеты, работающие по протоколу udp, и сокеты, относящиеся к работе веб-сервера. Рассматриваются также ресурсы памяти и процессора, потребляемые системой и приложениями. Анализ собранных данных позволяет сделать выводы о статистически типичном для сервера поведении и отклонениях, связанных с возможными атаками. Сбор данных, анализ и визуализация проводятся в реальном времени с помощью специально созданной автором программы. Программное обеспечение включает в себя веб-сервер Apache 2.0.40, операционная система Linux RedHat. Сбор, анализ и визуализация параметров осуществлены с помощью программы автора данной статьи «Sec-Viewer». В качестве источника исходных данных о системе, передаваемых в программу анализа, используются встроенные системные утилиты netstat и ps. Утилиты netstat и ps выбраны в качестве источника информации по причине того, что они позволяют получить данные о ресурсах потребляемых сервером и о статистике взаимодействия сервера с пользователями.. Ниже приведены результаты измерения временных зависимостей анализируемых параметров. На рис. 1 показана временная зависимость количество сокетов, использующих протокол TCP. Рис. 1. На графике видны резкие увеличения количества tcp-сокетов (например скачок от среднего уровня в 20 сокетов до 269) в отдельные моменты времени, что может свидетельствовать о попытке сканирования портов, «разведке» версии операционной системы или инсталлированных компонент, а также о возможной DoS атаке. На рис. 2 представлена временная зависимость количества TCP сокетов, кроме управляемых демоном httpd и кроме служб не находящихся в состоянии Listen. На графике видно, что их количество не статично. Это может быть вызвано инсталляцией вредоносных программ, или же это могут быть служебные сокеты, открытываемые демонами sshd, smtpd, службой netbios и др Рис. 2. На рис. 3 представлены данные по устанавливаемым веб-сервером соединениям. Рис. 3. Для веб-сервера измерялись общее количество сокетов, открытых демоном httpd и количество соединений имеющих различные состояния time-wait, fin-wait1, fin-wait2, syn-sent.. Измерялись также зависимости числа UDP сокетов и количества сетевых служб, находящихся в состоянии прослушивания, что важно для выявления инсталляции нарушителем вредоносной службы. Работа будет доложена на конференции МФТИ в ноябре 2006 года |