Eksperiment: is dit moontlik om die negatiewe effekte van DoS-aanvalle met behulp van 'n instaanbediener te verminder

Prent: Unsplash

DoS-aanvalle is een van die grootste bedreigings vir inligtingsekuriteit op die moderne internet. Daar is tientalle botnets wat aanvallers verhuur om sulke aanvalle uit te voer.

Wetenskaplikes van die Universiteit van San Diego uitgevoer navorsing Hoe die gebruik van gevolmagtigdes help om die negatiewe effek van DoS-aanvalle te verminder - ons bied die hooftesisse van hierdie werk aan u aandag.

Inleiding: proxy as 'n instrument om DoS te bestry

Soortgelyke eksperimente word periodiek deur navorsers van verskillende lande uitgevoer, maar hul algemene probleem is die gebrek aan hulpbronne om aanvalle na aan die werklikheid te simuleer. Toetse op klein toetsbanke laat nie toe dat vrae beantwoord word oor hoe suksesvol gevolmagtigdes 'n aanval in komplekse netwerke sal weerstaan ​​nie, watter parameters 'n sleutelrol speel in die vermoë om skade te minimaliseer, ens.

Vir die eksperiment het wetenskaplikes 'n model van 'n tipiese webtoepassing geskep - byvoorbeeld 'n e-handelsdiens. Dit werk met behulp van 'n groep bedieners; gebruikers is oor verskillende geografiese liggings versprei en gebruik die internet om toegang tot die diens te verkry. In hierdie model dien die internet as kommunikasiemiddel tussen die diens en gebruikers – dit is hoe webdienste van soekenjins tot aanlynbankhulpmiddels werk.

DoS-aanvalle maak normale interaksie tussen die diens en gebruikers onmoontlik. Daar is twee tipes DoS: toepassing-vlak en infrastruktuur-vlak aanvalle. In laasgenoemde geval val aanvallers die netwerk en die gashere waarop die diens loop direk aan (hulle verstop byvoorbeeld die hele netwerkbandwydte met vloedverkeer). In die geval van 'n aanval op toepassingsvlak, is die aanvaller se teiken die gebruikerskoppelvlak - om dit te doen, stuur hulle 'n groot aantal versoeke om die toepassing te laat ineenstort. Die eksperiment wat beskryf is, het betrekking op aanvalle op infrastruktuurvlak.

Proxy-netwerke is een van die instrumente om skade van DoS-aanvalle te verminder. Wanneer 'n instaanbediener gebruik word, word alle versoeke van die gebruiker na die diens en antwoorde daarop nie direk oorgedra nie, maar deur middel van intermediêre bedieners. Beide die gebruiker en die toepassing "sien" mekaar nie direk nie; slegs proxy-adresse is vir hulle beskikbaar. As gevolg hiervan is dit onmoontlik om die toepassing direk aan te val. Aan die rand van die netwerk is daar sogenaamde edge proxies – eksterne proxy’s met beskikbare IP-adresse, die verbinding gaan eerste na hulle.

Om 'n DoS-aanval suksesvol te weerstaan, moet 'n instaanbediener twee sleutelvermoëns hê. Eerstens moet so 'n tussennetwerk die rol van 'n tussenganger speel, dit wil sê die toepassing kan slegs daardeur "bereik" word. Dit sal die moontlikheid van 'n direkte aanval op die diens uitskakel. Tweedens moet die instaanbediener in staat wees om gebruikers in staat te stel om steeds met die toepassing te kommunikeer, selfs tydens 'n aanval.

Eksperimenteer infrastruktuur

Die studie het vier sleutelkomponente gebruik:

• implementering van 'n proxy-netwerk;
• Apache-webbediener;
• webtoetsinstrument Beleg;
• aanvalsinstrument Trinoo.

Die simulasie is in die MicroGrid-omgewing uitgevoer - dit kan gebruik word om netwerke met 20 duisend routers te simuleer, wat vergelykbaar is met die netwerke van Tier-1-operateurs.

'n Tipiese Trinoo-netwerk bestaan ​​uit 'n stel gekompromitteerde gashere wat 'n programdaemon bestuur. Daar is ook moniteringsagteware om die netwerk te monitor en DoS-aanvalle te rig. Nadat hy 'n lys IP-adresse ontvang het, stuur die Trinoo-demoon UDP-pakkies na teikens op gespesifiseerde tye.

Tydens die eksperiment is twee trosse gebruik. Die MicroGrid-simulator het op 'n 16-node Xeon Linux-kluster (2.4GHz-bedieners met 1 gigagreep geheue op elke masjien) gehardloop wat deur 'n 1 Gbps Ethernet-hub gekoppel is. Ander sagteware-komponente was geleë in 'n groep van 24 nodusse (450MHz PII Linux-kde met 1 GB geheue op elke masjien), verbind deur 'n 100Mbps Ethernet-hub. Twee groepe is deur 'n 1Gbps-kanaal verbind.

Die instaanbedienernetwerk word in 'n poel van 1000 gashere gehuisves. Edge gevolmagtigdes word eweredig deur die hulpbronpoel versprei. Gevolmagtigdes om met die toepassing te werk, is geleë op gashere wat nader aan sy infrastruktuur is. Die oorblywende gevolmagtigdes is eweredig versprei tussen rand- en toepassingsvolmagte.

Simulasie netwerk

Om die doeltreffendheid van 'n proxy as 'n instrument om 'n DoS-aanval teen te werk, te bestudeer, het navorsers die produktiwiteit van die toepassing gemeet onder verskillende scenario's van eksterne invloede. Daar was 'n totaal van 192 gevolmagtigdes in die proxy-netwerk (64 van hulle rand). Om die aanval uit te voer, is die Trinoo-netwerk geskep, insluitend 100 demone. Elkeen van die demone het 'n 100Mbps-kanaal gehad. Dit stem ooreen met 'n botnet van 10 duisend tuisrouters.

Die impak van 'n DoS-aanval op die toepassing en die proxy-netwerk is gemeet. In die eksperimentele opset het die toepassing 'n internetkanaal van 250 Mbps gehad, en elke randvolmag het 'n kanaal van 100 Mbps gehad.

Eksperiment resultate

Op grond van die resultate van die analise het dit geblyk dat 'n aanval teen 250 Mbps die reaksietyd van die toepassing aansienlik verhoog (ongeveer tien keer), waardeur dit onmoontlik word om dit te gebruik. Wanneer 'n instaanbediener egter gebruik word, het die aanval nie 'n noemenswaardige impak op werkverrigting nie en verswak dit nie die gebruikerservaring nie. Dit gebeur omdat randgevolmagtigdes die effek van die aanval verdun, en die totale hulpbronne van die instaanbedienernetwerk is hoër as dié van die toepassing self.

Volgens statistieke, as die aanvalkrag nie 6.0Gbps oorskry nie (ten spyte daarvan dat die totale deurset van randvolmagkanale slegs 6.4Gbps is), dan ervaar 95% van gebruikers nie 'n merkbare afname in werkverrigting nie. Boonop, in die geval van 'n baie kragtige aanval wat 6.4Gbps oorskry, sal selfs die gebruik van 'n instaanbediener nie die agteruitgang van die diensvlak vir eindgebruikers vermy nie.

In die geval van gekonsentreerde aanvalle, wanneer hul krag gekonsentreer is op 'n ewekansige stel randgevolmagtigdes. In hierdie geval verstop die aanval 'n deel van die instaanbedienernetwerk, so 'n beduidende deel van gebruikers sal 'n daling in werkverrigting opmerk.

Bevindinge

Die resultate van die eksperiment dui daarop dat proxy-netwerke die werkverrigting van TCP-toepassings kan verbeter en die gewone diensvlak aan gebruikers kan verskaf, selfs in die geval van DoS-aanvalle. Volgens die data wat verkry is, blyk volmagnetwerke 'n effektiewe manier te wees om die gevolge van aanvalle te minimaliseer; meer as 90% van gebruikers het nie 'n afname in die kwaliteit van die diens tydens die eksperiment ervaar nie. Daarbenewens het die navorsers bevind dat namate die grootte van 'n proxy-netwerk toeneem, die omvang van DoS-aanvalle wat dit kan weerstaan, byna lineêr toeneem. Daarom, hoe groter die netwerk, hoe meer effektief sal dit DoS bestry.

Nuttige skakels en materiaal van Infatica:

• Navorsing: Skep 'n blokkeerbestande instaanbediener met behulp van spelteorie
• Die geskiedenis van die stryd teen sensuur: hoe die flash proxy-metode wat deur wetenskaplikes van MIT en Stanford geskep is, werk
• Hoe om te verstaan ​​wanneer gevolmagtigdes lieg: verifikasie van fisiese liggings van netwerkgevolmagtigdes met behulp van die aktiewe geoligging-algoritme
• Hoe om jouself op die internet te vermom: vergelyk bediener- en inwonende gevolmagtigdes

Bron: www.habr.com