DDOS АТАКА НА ПЕРЕПОВНЕННЯ ТАБЛИЦІ CONNTRACK

Автор(и)

  • ІГОР КРЕМІНЬ Луцький національний технічний університет Автор
  • СЕРГІЙ КРЕМІНЬ Луцький національний технічний університет Автор
  • ОЛЕКСАНДР МІНДЗЯ Луцький національний технічний університет Автор

DOI:

https://doi.org/10.31891/2307-5732-2024-347-1-20

Ключові слова:

DDoS-атака, таблиця Conntrack, відмова в обслуговуванні, фільтрація пакетів, NAT, TCP-з’єднання, безпека мережі, Linux, обмеження швидкості, SYN cookies

Анотація

У статті розглянуто проблему DDoS-атак, які становлять одну з найсерйозніших загроз для стабільної роботи мережевих сервісів. Особливу увагу приділено атакам на переповнення таблиці Conntrack, ключового компонента ядра Linux, відповідального за відстеження стану мережевих з'єднань. Переповнення таблиці Conntrack може викликати відмову в обслуговуванні, блокуючи легітимний трафік.

Основна мета дослідження — аналіз механізмів роботи Conntrack та пошук ефективних підходів до захисту від атак. У статті досліджуються методи обмеження швидкості з'єднань, збільшення розміру таблиці Conntrack і використання SYN cookies. Обмеження швидкості сприяє зниженню навантаження, збільшення розміру таблиці дозволяє обробляти більше підключень, а SYN cookies мінімізують вплив незавершених з'єднань.

У статті також розглядається схема TCP-з'єднань та особливості їх відстеження за допомогою Conntrack. Проаналізовано динаміку атак SYN Flood, TCP RST/FIN Flood, які спрямовані на перевантаження таблиці Conntrack фальшивими або короткостроковими з'єднаннями. Наведено приклади конфігурацій із використанням nftables для ефективного запобігання атакам.

Практичні рекомендації статті спрямовані на оптимізацію системних параметрів для зменшення вразливості до атак. Вказано, як правильно налаштувати розмір таблиці Conntrack через параметри ядра та як активувати механізм SYN cookies. Зазначено також про можливість вимкнення відстеження HTTP/HTTPS-з'єднань у таблиці Conntrack для покращення продуктивності.

Висновки підкреслюють важливість комплексного підходу до захисту, що включає обмеження на швидкість з'єднань, фільтрацію пакетів, збільшення системних ресурсів і застосування адаптивних стратегій. Запропоновано напрямки подальших досліджень, зокрема впровадження машинного навчання для автоматизованого аналізу трафіку та адаптивної фільтрації.

Таким чином, стаття є корисним ресурсом для фахівців у галузі мережевої безпеки, які працюють над вирішенням проблеми DDoS-атак на рівні Conntrack. Висновки та рекомендації, представлені в статті, сприяють підвищенню стійкості систем і забезпеченню стабільної роботи мережевих сервісів навіть за умов високих навантажень.

Завантаження

Опубліковано

30.01.2025

Номер

Том 347 № 1 (2025): Вісник Хмельницького національного університету. Серія: Технічні науки

Розділ

Статті

Ліцензія

Авторське право (c) 2025 ІГОР КРЕМІНЬ, СЕРГІЙ КРЕМІНЬ, ОЛЕКСАНДР МІНДЗЯ (Автор)

Creative Commons License

Ця робота ліцензується відповідно до ліцензії Creative Commons Attribution 4.0 International License.

Як цитувати

КРЕМІНЬ, І., КРЕМІНЬ, С., & МІНДЗЯ, О. (2025). DDOS АТАКА НА ПЕРЕПОВНЕННЯ ТАБЛИЦІ CONNTRACK. Herald of Khmelnytskyi National University. Technical Sciences, 347(1), 150-155. https://doi.org/10.31891/2307-5732-2024-347-1-20