صورة:
تعد هجمات DoS واحدة من أكبر التهديدات لأمن المعلومات على الإنترنت الحديث. هناك العشرات من شبكات الروبوت التي يستأجرها المهاجمون لتنفيذ مثل هذه الهجمات.
علماء من جامعة سان دييغو إلى أي مدى يساعد استخدام البروكسيات في تقليل التأثير السلبي لهجمات DoS - نقدم انتباهك إلى الأطروحات الرئيسية لهذا العمل.
مقدمة: الوكيل كأداة قتال DoS
يتم إجراء تجارب مماثلة بشكل دوري من قبل باحثين من دول مختلفة ، لكن مشكلتهم الشائعة هي نقص الموارد لمحاكاة هجمات قريبة من الواقع. لا تسمح الاختبارات على المقاعد الصغيرة بالإجابة على الأسئلة حول مدى نجاح الوكلاء في مقاومة الهجوم في الشبكات المعقدة ، وما هي المعلمات التي تلعب دورًا رئيسيًا في القدرة على تقليل الضرر ، وما إلى ذلك.
بالنسبة للتجربة ، أنشأ العلماء نموذجًا لتطبيق ويب نموذجي - على سبيل المثال ، خدمة التجارة الإلكترونية. يعمل بمساعدة مجموعة من الخوادم ، يتم توزيع المستخدمين في مواقع جغرافية مختلفة واستخدام الإنترنت للوصول إلى الخدمة. في هذا النموذج ، تعمل الإنترنت كوسيلة للاتصال بين الخدمة والمستخدمين - وهذه هي الطريقة التي تعمل بها خدمات الويب من محركات البحث إلى أدوات الخدمات المصرفية عبر الإنترنت.
تجعل هجمات DoS التفاعل الطبيعي بين الخدمة والمستخدمين أمرًا مستحيلًا. هناك نوعان من DoS: هجمات طبقة التطبيقات وهجمات طبقة البنية التحتية. في الحالة الأخيرة ، يهاجم المهاجمون الشبكة والمضيفين الذين تعمل عليهم الخدمة (على سبيل المثال ، يغمرون النطاق الترددي للشبكة بأكمله بحركة مرور غزيرة). في حالة حدوث هجوم على مستوى التطبيق ، يكون هدف المهاجم هو واجهة تفاعل المستخدم - ولهذا يرسلون عددًا كبيرًا من الطلبات من أجل التسبب في تعطل التطبيق. التجربة الموصوفة تتعلق بهجمات على مستوى البنية التحتية.
شبكات البروكسي هي إحدى الأدوات لتقليل الضرر الناجم عن هجمات DoS. في حالة استخدام البروكسي ، لا يتم إرسال جميع الطلبات من المستخدم إلى الخدمة والردود عليها مباشرة ، ولكن من خلال خوادم وسيطة. "لا يرى" المستخدم والتطبيق بعضهما البعض بشكل مباشر ، ولا تتوفر لهما سوى عناوين الوكيل. نتيجة لذلك ، من المستحيل مهاجمة التطبيق مباشرة. يوجد على حافة الشبكة ما يسمى ببروكسيات الحافة - وهي وكلاء خارجيون مع عناوين IP متاحة ، ينتقل الاتصال إليهم أولاً.
من أجل مقاومة هجوم DoS بنجاح ، يجب أن تتمتع شبكة الوكيل بإمكانيات رئيسية. أولاً ، يجب أن تلعب مثل هذه الشبكة الوسيطة دور الوسيط ، أي أنه لا يمكنك "الوصول" إلى التطبيق إلا من خلاله. سيؤدي هذا إلى القضاء على إمكانية الهجوم المباشر على الخدمة. ثانيًا ، يجب أن تكون شبكة الوكيل قادرة على السماح للمستخدمين بمواصلة التفاعل مع التطبيق ، حتى أثناء الهجوم.
تجربة البنية التحتية
استخدمت الدراسة أربعة مكونات رئيسية:
- تنفيذ شبكة بروكسي ؛
- خادم الويب Apache
- أداة اختبار الويب ;
- أداة الهجوم .
تم إجراء المحاكاة في بيئة MicroGrid - يمكن استخدامها لمحاكاة الشبكات باستخدام 20 ألف جهاز توجيه ، وهو ما يمكن مقارنته بشبكات مشغلي المستوى 1.
تتكون شبكة Trinoo النموذجية من مجموعة من المضيفين المخترقين الذين يديرون البرنامج الخفي. هناك أيضًا برنامج مراقبة للتحكم في الشبكة وتوجيه هجمات DoS. بالنظر إلى قائمة عناوين IP ، يرسل Trinoo daemon حزم UDP إلى الأهداف في الوقت المحدد.
خلال التجربة ، تم استخدام مجموعتين. تم تشغيل محاكي MicroGrid على مجموعة Xeon Linux من 16 عقدة (خوادم 2.4 جيجا هرتز مع ذاكرة 1 جيجا بايت لكل جهاز) متصلة عبر محور Ethernet بسرعة 1 جيجابت في الثانية. تم وضع مكونات البرامج الأخرى في مجموعة من 24 عقدة (450 ميجاهرتز PII Linux- cthdths مع 1 جيجابايت من الذاكرة لكل جهاز) متصلة بواسطة محور Ethernet بسرعة 100 ميجابت في الثانية. تم توصيل مجموعتين بواسطة قناة 1 جيجابت في الثانية.
تتم استضافة شبكة الوكيل في مجموعة من 1000 مضيف. يتم توزيع وكلاء الحافة بالتساوي في جميع أنحاء تجمع الموارد. توجد الوكلاء للعمل مع التطبيق على مضيفين أقرب إلى بنيته التحتية. يتم توزيع باقي البروكسيات بالتساوي بين وكلاء الحافة ووكلاء التطبيق.
شبكة المحاكاة
لدراسة فعالية الوكيل كأداة لمواجهة هجوم DoS ، قام الباحثون بقياس إنتاجية التطبيق في ظل سيناريوهات مختلفة للتأثيرات الخارجية. إجمالاً ، كان هناك 192 وكيلاً في شبكة الوكيل (64 منهم كانوا حدوديين). لتنفيذ الهجوم ، تم إنشاء شبكة Trinoo ، بما في ذلك 100 شيطان. كان لكل من الشياطين قناة 100 ميجابت في الثانية. يتوافق هذا مع شبكة الروبوتات المكونة من 10 جهاز توجيه منزلي.
تم قياس تأثير هجوم DoS على التطبيق وشبكة الوكيل. في التكوين التجريبي ، كان للتطبيق قناة إنترنت تبلغ 250 ميجابت في الثانية ، وكان لكل وكيل حد 100 ميجابت في الثانية.
نتائج التجربة
وفقًا لنتائج التحليل ، اتضح أن هجومًا على 250 ميجابت في الثانية يزيد بشكل كبير من وقت استجابة التطبيق (حوالي عشر مرات) ، ونتيجة لذلك يصبح من المستحيل استخدامه. ومع ذلك ، عند استخدام شبكة وكيل ، لا يكون للهجوم تأثير كبير على الأداء ولا يؤدي إلى تدهور تجربة المستخدم. وذلك لأن وكلاء الحافة يخففون من تأثير الهجوم ، وإجمالي موارد شبكة الوكيل أعلى من موارد التطبيق نفسه.
وفقًا للإحصاءات ، إذا لم تتجاوز قوة الهجوم 6.0 جيجابت في الثانية (على الرغم من أن إجمالي عرض النطاق الترددي لقنوات الوكيل الحدودي يبلغ 6.4 جيجابت في الثانية فقط) ، فإن 95٪ من المستخدمين لا يعانون من تدهور ملحوظ في الأداء. في الوقت نفسه ، في حالة حدوث هجوم قوي للغاية يتجاوز 6.4 جيجابت في الثانية ، فإن استخدام شبكة وكيل لن يسمح بتجنب تدهور مستوى الخدمة للمستخدمين النهائيين.
في حالة الهجمات المركزة ، عندما تتركز قوتها على مجموعة عشوائية من وكلاء الحافة. في هذه الحالة ، يسد الهجوم جزءًا من شبكة الوكيل ، لذلك سيلاحظ جزء كبير من المستخدمين انخفاضًا في الأداء.
النتائج
تشير نتائج التجربة إلى أن الشبكات الوكيلة يمكنها تحسين أداء تطبيقات TCP وتوفير مستوى مألوف من الخدمة للمستخدمين ، حتى في حالة هجمات DoS. وفقًا للبيانات التي تم الحصول عليها ، تعد وكلاء الشبكة وسيلة فعالة لتقليل عواقب الهجمات ، ولم يشعر أكثر من 90٪ من المستخدمين أثناء التجربة بانخفاض جودة الخدمة. بالإضافة إلى ذلك ، وجد الباحثون أنه مع زيادة حجم شبكة الوكيل ، يزداد حجم هجمات DoS التي يمكن أن تتحملها بشكل خطي تقريبًا. لذلك ، كلما كبرت الشبكة ، زادت فعالية تعاملها مع DoS.
روابط ومواد مفيدة من :
المصدر: www.habr.com