ሙከራ፡- ተኪን በመጠቀም የዶኤስ ጥቃቶችን አሉታዊ ተፅእኖዎች መቀነስ ይቻል ይሆን?

ሥዕል አታካሂድ

የዶኤስ ጥቃቶች በዘመናዊው በይነመረብ ላይ የመረጃ ደህንነትን ከሚያስከትሉት ትልቁ ስጋቶች አንዱ ነው። አጥቂዎች እንደዚህ አይነት ጥቃቶችን ለመፈጸም የሚያከራዩ በደርዘን የሚቆጠሩ ቦቶች አሉ።

የሳንዲያጎ ዩኒቨርሲቲ ሳይንቲስቶች ጥናት የፕሮክሲዎች አጠቃቀም የ DoS ጥቃቶችን አሉታዊ ተፅእኖ ለመቀነስ የሚረዳው መጠን - የዚህን ስራ ዋና ዋና ሃሳቦች ለእርስዎ ትኩረት እንሰጣለን.

መግቢያ፡ ተኪ እንደ DoS ፍልሚያ መሳሪያ

ተመሳሳይ ሙከራዎች በተለያዩ አገሮች ተመራማሪዎች በየጊዜው ይከናወናሉ, ነገር ግን የጋራ ችግራቸው ከእውነታው ጋር የሚቀራረቡ ጥቃቶችን ለማስመሰል የግብአት እጥረት ነው. በትናንሽ አግዳሚ ወንበሮች ላይ የሚደረጉ ሙከራዎች ፕሮክሲዎች በውስብስብ ኔትወርኮች ውስጥ የሚሰነዘር ጥቃትን እንዴት በተሳካ ሁኔታ እንደሚቋቋሙ፣ ጉዳቱን በመቀነስ ረገድ ቁልፍ ሚና የሚጫወቱት የትኞቹ መለኪያዎች ወዘተ ለሚሉት ጥያቄዎች መልስ ለመስጠት አይፈቅዱም።

ለሙከራው, ሳይንቲስቶች አንድ የተለመደ የድር መተግበሪያ ሞዴል ፈጥረዋል - ለምሳሌ, የኢ-ኮሜርስ አገልግሎት. በአገልጋይ ክላስተር ታግዞ ይሰራል፣ተጠቃሚዎች በተለያዩ ጂኦግራፊያዊ አካባቢዎች ይሰራጫሉ እና አገልግሎቱን ለማግኘት ኢንተርኔት ይጠቀማሉ። በዚህ ሞዴል ውስጥ በይነመረብ በአገልግሎቱ እና በተጠቃሚዎች መካከል የግንኙነት ዘዴ ሆኖ ያገለግላል - ይህ የድር አገልግሎቶች ከፍለጋ ሞተሮች እስከ የመስመር ላይ የባንክ መሳሪያዎች እንዴት እንደሚሠሩ ነው።

የዶኤስ ጥቃቶች በአገልግሎቱ እና በተጠቃሚዎች መካከል መደበኛ መስተጋብር የማይቻል ያደርገዋል። ሁለት ዓይነት DoS አሉ፡ የመተግበሪያ ንብርብር ጥቃቶች እና የመሠረተ ልማት ንብርብር ጥቃቶች። በኋለኛው ሁኔታ አጥቂዎች በቀጥታ ኔትወርኩን እና አገልግሎቱ የሚሰራባቸውን አስተናጋጆች ያጠቃሉ (ለምሳሌ መላውን የኔትወርክ ባንድዊድዝ በጎርፍ ትራፊክ ያጥለቀልቁታል። የመተግበሪያ ደረጃ ጥቃትን በተመለከተ የአጥቂው ዒላማ የተጠቃሚ መስተጋብር በይነገጽ ነው - ለዚህም አፕሊኬሽኑ እንዲበላሽ ለማድረግ እጅግ በጣም ብዙ ጥያቄዎችን ይልካሉ። የተገለጸው ሙከራ በመሠረተ ልማት ደረጃ ላይ ያሉ ጥቃቶችን ይመለከታል።

የተኪ ኔትወርኮች ከ DoS ጥቃቶች የሚመጡ ጉዳቶችን ለመቀነስ ከሚረዱ መሳሪያዎች ውስጥ አንዱ ናቸው። ፕሮክሲን በሚጠቀሙበት ጊዜ ከተጠቃሚው ወደ አገልግሎቱ የሚቀርቡ ጥያቄዎች እና ለእነሱ የሚሰጡ ምላሾች በቀጥታ የሚተላለፉ አይደሉም ፣ ግን በመካከለኛ አገልጋዮች። ሁለቱም ተጠቃሚ እና አፕሊኬሽኑ በቀጥታ “አይታዩም”፣ የተኪ አድራሻዎች ብቻ ይገኛሉ። በውጤቱም, አፕሊኬሽኑን በቀጥታ ማጥቃት አይቻልም. በአውታረ መረቡ ጠርዝ ላይ የጠርዝ ፕሮክሲዎች የሚባሉት አሉ - ውጫዊ ፕሮክሲዎች ከሚገኙ የአይፒ አድራሻዎች ጋር, ግንኙነቱ መጀመሪያ ወደ እነርሱ ይሄዳል.

የዶኤስ ጥቃትን በተሳካ ሁኔታ ለመቋቋም፣ የተኪ ኔትወርክ ሁለት ቁልፍ ችሎታዎች ሊኖሩት ይገባል። በመጀመሪያ ፣ እንዲህ ዓይነቱ መካከለኛ አውታረ መረብ የመሃል ሚና መጫወት አለበት ፣ ማለትም ፣ በእሱ በኩል ብቻ ወደ ትግበራው “መግባት” ይችላሉ። ይህ በአገልግሎቱ ላይ ቀጥተኛ ጥቃትን ያስወግዳል. ሁለተኛ፣ ተኪ ኔትወርኩ ተጠቃሚዎች በጥቃቱ ጊዜም ቢሆን ከመተግበሪያው ጋር እንዲገናኙ መፍቀድ መቻል አለበት።

የሙከራ መሠረተ ልማት

ጥናቱ አራት ዋና ዋና ክፍሎችን ተጠቅሟል፡-

• የፕሮክሲ አውታር መተግበር;
• Apache የድር አገልጋይ
• የድር ሙከራ መሳሪያ Siege;
• የጥቃት መሣሪያ ትሪኖ.

ማስመሰል የተካሄደው በማይክሮግሪድ አካባቢ ውስጥ ነው - ከ Tier-20 ኦፕሬተሮች አውታረ መረቦች ጋር የሚወዳደር ከ 1 ሺህ ራውተሮች ጋር አውታረ መረቦችን ለማስመሰል ጥቅም ላይ ሊውል ይችላል።

የተለመደው የትሪኖ አውታረ መረብ የፕሮግራሙን ዴሞንን የሚያስኬዱ የተጠለፉ አስተናጋጆችን ያካትታል። ኔትወርክን ለመቆጣጠር እና የዶኤስ ጥቃቶችን ለመምራት የክትትል ሶፍትዌር አለ። የአይፒ አድራሻዎችን ዝርዝር ከሰጠን፣ ትሪኖ ዴሞን የ UDP ፓኬቶችን በተጠቀሰው ጊዜ ወደ ኢላማዎቹ ይልካል።

በሙከራው ወቅት ሁለት ዘለላዎች ጥቅም ላይ ውለዋል. የማይክሮ ግሪድ ሲሙሌተር በ16Gbps የኤተርኔት መገናኛ በኩል በተገናኘ ባለ 2.4 ኖዶች (1GHz ሰርቨር በአንድ ማሽን 1GB ማህደረ ትውስታ) ባለው የXeon Linux cluster ላይ ይሰራል። ሌሎች የሶፍትዌር ክፍሎች በ24 ኖዶች (450MHZ PII Linux-cthdths በአንድ ማሽን 1 ጂቢ ማህደረ ትውስታ ያለው) በ100Mbps የኤተርኔት መገናኛ ጋር በተገናኘ ክላስተር ውስጥ ተቀምጠዋል። ሁለት ዘለላዎች በ1Gbps ቻናል ተገናኝተዋል።

የፕሮክሲ ኔትወርክ በ1000 አስተናጋጆች ገንዳ ውስጥ ይስተናገዳል። የጠርዝ ፕሮክሲዎች በመገልገያ ገንዳው ውስጥ እኩል ይሰራጫሉ። ከመተግበሪያው ጋር ለመስራት ፕሮክሲዎች ወደ መሠረተ ልማቱ ቅርብ በሆኑ አስተናጋጆች ላይ ይገኛሉ። የተቀሩት ፕሮክሲዎች በጠርዙ ፕሮክሲዎች እና በመተግበሪያ ፕሮክሲዎች መካከል በእኩል ይሰራጫሉ።

የማስመሰል አውታረ መረብ

የዶኤስ ጥቃትን ለመከላከል የፕሮክሲን ውጤታማነት እንደ መሳሪያ ለማጥናት ተመራማሪዎቹ የመተግበሪያውን ምርታማነት በተለያዩ የውጭ ተጽእኖ ሁኔታዎች ይለካሉ። በአጠቃላይ በፕሮክሲ አውታረመረብ ውስጥ 192 ፕሮክሲዎች ነበሩ (64ቱ የድንበር ጥሮች) ነበሩ። ጥቃቱን ለመፈጸም 100 አጋንንትን ጨምሮ የትሪኖ ኔትወርክ ተፈጠረ። እያንዳንዱ ዲሞኖች 100Mbps ሰርጥ ነበራቸው። ይህ ከ 10 የቤት ራውተሮች ቦትኔት ጋር ይዛመዳል።

የ DoS ጥቃት በመተግበሪያው እና በተኪ አውታረመረብ ላይ ያለው ተጽእኖ ተለካ። በሙከራ ውቅር ውስጥ፣ አፕሊኬሽኑ 250Mbps የበይነመረብ ቻናል ነበረው፣ እና እያንዳንዱ የድንበር ተኪ 100 ሜጋ ባይት በሰከንድ ነበር።

የሙከራ ውጤቶች

በትንታኔው ውጤት መሠረት በ 250Mbps ላይ የሚሰነዘረው ጥቃት የመተግበሪያውን ምላሽ ጊዜ (አስር ጊዜ ያህል) በከፍተኛ ሁኔታ ይጨምራል ፣ በዚህም ምክንያት እሱን ለመጠቀም የማይቻል ነው። ነገር ግን ተኪ ኔትወርክን ሲጠቀሙ ጥቃቱ በአፈጻጸም ላይ ከፍተኛ ተጽእኖ አይኖረውም እና የተጠቃሚውን ልምድ አያጎድፍም. ይህ የሆነበት ምክንያት የጠርዝ ፕሮክሲዎች የጥቃቱን ውጤት ስለሚቀንሱ እና የተኪ አውታረመረብ አጠቃላይ ሀብቶች ከመተግበሪያው የበለጠ ስለሆኑ ነው።

እንደ አኃዛዊ መረጃ, የጥቃት ኃይል ከ 6.0Gbps በላይ ካልሆነ (ምንም እንኳን የድንበር ተኪ ቻናሎች አጠቃላይ የመተላለፊያ ይዘት 6.4Gbps ብቻ ቢሆንም) 95% ተጠቃሚዎች የሚታይ የአፈፃፀም ውድቀት አያገኙም. በተመሳሳይ ጊዜ ከ 6.4Gbps በላይ በጣም ኃይለኛ ጥቃት በሚደርስበት ጊዜ የተኪ ኔትወርክን መጠቀም እንኳን ለዋና ተጠቃሚዎች የአገልግሎት ደረጃን መበላሸትን ለማስወገድ አይፈቅድም.

የተጠናከረ ጥቃቶችን በተመለከተ, ኃይላቸው በዘፈቀደ የጠርዝ ፕሮክሲዎች ስብስብ ላይ ሲያተኩር. በዚህ አጋጣሚ ጥቃቱ የተኪ ኔትወርኩን ክፍል ይዘጋዋል፣ ስለዚህ ጉልህ የሆነ የተጠቃሚዎች ክፍል የአፈጻጸም መቀነስ ያስተውላሉ።

ግኝቶች

የሙከራው ውጤት እንደሚያመለክተው ተኪ ኔትወርኮች የTCP አፕሊኬሽኖችን አፈጻጸም ለማሻሻል እና ለተጠቃሚዎች የሚታወቅ የአገልግሎት ደረጃን በ DoS ጥቃቶች ጊዜ እንኳን ማቅረብ ይችላሉ። በተገኘው መረጃ መሰረት የኔትወርክ ፕሮክሲዎች የጥቃቶችን ውጤት ለመቀነስ ውጤታማ መንገድ ናቸው, በሙከራው ወቅት ከ 90% በላይ ተጠቃሚዎች የአገልግሎቱ ጥራት መቀነስ አልተሰማቸውም. በተጨማሪም ተመራማሪዎቹ የፕሮክሲ ኔትወርክ መጠኑ እየጨመረ ሲሄድ ሊቋቋመው የሚችለው የ DoS ጥቃቶች መጠን ከመስመር ጋር ሲነጻጸር ይጨምራል። ስለዚህ, ትልቁ አውታረመረብ, ከ DoS ጋር የበለጠ ውጤታማ ይሆናል.

ጠቃሚ አገናኞች እና ቁሳቁሶች ከ ኢንፋቲካ:

• ጥናት፡- የጨዋታ ቲዎሪ በመጠቀም ብሎክ የሚቋቋም ተኪ አገልግሎት መፍጠር
• ሳንሱርን የመዋጋት ታሪክ፡ በ MIT እና Stanford ሳይንቲስቶች የተፈጠረው የፍላሽ ፕሮክሲ ዘዴ እንዴት እንደሚሰራ
• ፕሮክሲዎች ሲዋሹ እንዴት እንደሚረዱ፡ ንቁውን የጂኦግራፊያዊ አካባቢ ስልተቀመር በመጠቀም የአውታረ መረብ ተኪዎችን አካላዊ አካባቢዎች ማረጋገጥ
• በይነመረብ ላይ እራስዎን እንዴት መደበቅ እንደሚቻል-የአገልጋይ እና የመኖሪያ ፕሮክሲዎችን ማወዳደር

ምንጭ፡ www.habr.com