DoS-напады - адна з маштабных пагроз інфармацыйнай бяспекі ў сучасным інтэрнэце. Існуюць дзясяткі ботнэтаў, якія зламыснікі здаюць у арэнду для правядзення падобных нападаў.
Навукоўцы з універсітэта Сан-Дыега правялі даследаванне таго, наколькі выкарыстанне проксі дапамагае зменшыць негатыўны эфект ад DoS-нападаў – мы прадстаўляем вашай увазе асноўныя тэзісы гэтай працы.
Увядзенне: проксі як інструмент барацьбы з DoS
Падобныя эксперыменты перыядычна праводзяць даследнікі з розных краін, але іх агульная праблема складаецца ў недахопе рэсурсаў для мадэлявання нападаў, набліжаным да рэальнасці. Тэсты на невялікіх стэндах не дазваляюць адказаць на пытанні аб тым, наколькі паспяхова проксі будуць супрацьдзейнічаць нападу ў складаных сетках, якія параметры адыгрываюць ключавую ролю ў здольнасці мінімізаваць шкоду і г.д.
Для эксперыменту навукоўцы стварылі мадэль тыповага вэб-прыкладанні - напрыклад, сэрвісу электроннай камерцыі. Яно працуе з дапамогай кластара сервераў, карыстачы размеркаваны па розных геаграфічных лакацыях і выкарыстоўваюць для доступу да сэрвісу інтэрнэт. У гэтай мадэлі інтэрнэт служыць сродкам камунікацыі сэрвісу і карыстальнікаў - так працуюць вэб-сэрвісы ад пошукавых сістэм да інструментаў анлайн-банкінгу.
DoS-напады робяць немагчымым нармальнае ўзаемадзеянне сэрвісу і карыстальнікаў. Існуе два тыпу DoS: напады на ўзроўні прыкладання і на ўзроўні інфраструктуры. У апошнім выпадку зламыснікі атакуюць непасрэдна сетку і хасты, на якіх працуе сэрвіс (напрыклад, забіваюць flood-трафікам усю прапускную здольнасць сеткі). У выпадку нападу на ўзроўні прыкладання, мэтай зламысніка выступае інтэрфейс узаемадзеяння з карыстальнікамі - для гэтага яны адпраўляюць вялікую колькасць запытаў з мэтай дамагчыся падзення прыкладання. Апісваны эксперымент тычыўся нападаў на ўзроўні інфраструктуры.
Проксі-сеткі - адзін з інструментаў мінімізацыі шкоды ад DoS-нападаў. У выпадку выкарыстання проксі, усе запыты ад карыстальніка да сэрвісу і адказы на іх перадаюцца не напрамую, а праз прамежкавыя серверы. І карыстач, і дадатак «не бачаць» адзін аднаго напрамую, ім даступныя толькі адрасы проксі. У выніку атакаваць дадатак напрамую немагчыма. На мяжы сеткі размешчаны так званыя edge proxy - вонкавыя проксі з даступнымі IP-адрасамі, падлучэнне ідзе спачатку да іх.
Для таго, каб паспяхова супрацьстаяць DoS-нападу, проксі-сетка павінна мець дзве ключавыя магчымасці. Па-першае, такая прамежкавая сетка павінна гуляць ролю пасярэдніка, гэта значыць "дастукацца" да прыкладання можна толькі праз яе. Гэта выключыць магчымасць прамога нападу на сэрвіс. Па-другое, проксі-сетка павінна мець магчымасць даць карыстальнікам магчымасць па-ранейшаму ўзаемадзейнічаць з дадаткам, нават у ходзе атакі.
Інфраструктура эксперыменту
У ходзе даследавання выкарыстоўваліся чатыры ключавыя кампаненты:
Сімуляцыя праводзілася ў асяроддзі MicroGrid - яна можа выкарыстоўвацца для сімуляцый сетак з 20 тысячамі маршрутызатараў, што параўнальна з сеткамі аператараў Tier-1.
Тыповая сетка Trinoo складаецца з набору скампраметаваных хастоў, на якіх запушчаны дэман праграмы. Таксама ёсць кантралюючы софт для кантролю сеткі і кірункі DoS-нападаў. Атрымаўшы спіс IP-адрасоў, дэман Trinoo пасылае UDP-пакеты да мэт у зададзены час.
Падчас эксперыменту выкарыстоўваліся два кластары. Сімулятар MicroGrid працаваў у кластары Xeon Linux з 16 вузлоў (серверы 2.4GHz з 1 гігабайтам памяці на кожнай машыне), злучаныя праз 1 Gbps Ethernet канцэнтратар. Іншыя праграмныя кампаненты размяшчаліся ў кластары з 24 вузлоў (450MHz PII Linux-cthdths c 1 Гб памяці на кожнай машыне), аб'яднаных 100Mbps Ethernet-канцэнтратарам. Два кластары злучаліся каналам у 1Gbps.
Проксі сетка размешчана ў кулі з 1000 хастоў. Edge-проксі раўнамерна размеркаваны па ўсім пуле рэсурсаў. Проксі для працы з дадаткам размешчаны на хастах, якія знаходзяцца бліжэй да яго інфраструктуры. Астатнія проксі раўнамерна размеркаваны паміж межавымі проксі і проксі для прыкладання.
Сетка для сімуляцыі
Для вывучэння эфектыўнасці проксі ў якасці прылады процідзеяння DoS-нападу, даследнікі замяралі прадуктыўнасць працы прыкладання пры розных сцэнарах вонкавых уздзеянняў. Усяго ў проксі-сетцы было 192 проксі (64 з іх гранічныя). Для правядзення нападу была створана сетка Trinoo, у якую ўваходзяць 100 дэманаў. У кожнага з дэманаў быў канал на 100Mbps. Гэта адпавядае ботнэту з 10 тысяч хатніх роўтэраў.
Замяралася ўплыў DoS-напады на прыкладанне і проксі-сетка. У эксперыментальнай канфігурацыі ў дадатку быў інтэрнэт канал на 250Mbps, а ў кожнага памежнага проксі – на 100 Mbps.
Вынікі эксперыменту
Па выніках аналізу аказалася, што атака на 250Mbps значна павялічвае час водгуку прыкладання (прыкладна ў дзесяць разоў), у выніку чаго карыстацца ім станавіцца немагчыма. Аднак пры выкарыстанні проксі-сеткі, напад не аказвае значнага ўплыву на хуткадзейнасць і не пагаршае карыстацкі досвед. Так адбываецца таму што памежныя проксі размываюць эфект ад нападу, а агульны аб'ём рэсурсаў проксі-сеткі вышэй, чым у самога прыкладанні.
Па статыстыцы, калі магутнасць нападу не перавышае 6.0Gbps (пры тым, што агульная прапускная здольнасць каналаў памежных проксі ўсяго 6.4Gbps), то 95% карыстачоў не адчуваюць адчувальнага зніжэння прадукцыйнасці. Пры гэтым у выпадку вельмі магутнага нападу, якая перавышае 6.4Gbps, нават выкарыстанне проксі-сеткі не дазволіла б пазбегнуць дэградацыі ўзроўня сэрвісу для канчатковых карыстачоў.
У выпадку канцэнтраваных нападаў, калі іх магутнасць канцэнтруецца на выпадковым наборы памежных проксі. У гэтым выпадку напад забівае частку проксі-сеткі, таму значная частка карыстачоў заўважаць падзенне прадукцыйнасці.
Высновы
Вынікі эксперыменту кажуць аб тым, што проксі-сеткі могуць паляпшаць хуткадзейнасць TCP-прыкладанняў і забяспечваць звыклы ўзровень сэрвісу для карыстальнікаў, нават у выпадку DoS-нападаў. Паводле атрыманых дадзеных, проксі сеткі аказваюцца эфектыўным спосабам мінімізацыі наступстваў нападаў, больш за 90% карыстачоў падчас у эксперыменту не адчулі паніжэнні якасці працы сэрвісу. Акрамя таго, даследнікі высветлілі, што пры павелічэнні памеру проксі сеткі, маштаб DoS-нападаў, якія яна здольная вынесці, павялічваецца практычна лінейна. Таму чым буйней сетку, тым больш эфектыўна яна будзе змагацца з DoS.