Slika:
DoS napadi su jedna od najvećih prijetnji sigurnosti informacija na modernom Internetu. Postoji na desetine botneta koje napadači iznajmljuju za izvođenje takvih napada.
Naučnici sa Univerziteta u San Dijegu u kojoj mjeri upotreba proksija pomaže u smanjenju negativnog efekta DoS napada - predstavljamo vašoj pažnji glavne teze ovog rada.
Uvod: Proxy kao alat za borbu protiv DoS-a
Slične eksperimente povremeno provode istraživači iz različitih zemalja, ali njihov zajednički problem je nedostatak resursa za simulaciju napada koji su bliski stvarnosti. Testovi na malim klupama ne dozvoljavaju da se odgovori na pitanja o tome koliko će se uspješno proksiji oduprijeti napadu u složenim mrežama, koji parametri igraju ključnu ulogu u mogućnosti minimiziranja štete itd.
Za eksperiment, naučnici su kreirali model tipične web aplikacije - na primjer, usluge e-trgovine. Radi uz pomoć klastera servera, korisnici su raspoređeni na različitim geografskim lokacijama i koriste internet za pristup servisu. U ovom modelu internet služi kao sredstvo komunikacije između servisa i korisnika – tako funkcioniraju web servisi od pretraživača do alata za online bankarstvo.
DoS napadi onemogućavaju normalnu interakciju između servisa i korisnika. Postoje dvije vrste DoS-a: napadi na sloju aplikacije i napadi na infrastrukturni sloj. U potonjem slučaju, napadači direktno napadaju mrežu i hostove na kojima je servis pokrenut (na primjer, preplave cijelu propusnost mreže poplavljenim prometom). U slučaju napada na nivou aplikacije, meta napadača je interfejs korisničke interakcije - za to oni šalju ogroman broj zahteva kako bi izazvali pad aplikacije. Opisani eksperiment odnosio se na napade na infrastrukturnom nivou.
Proxy mreže su jedan od alata za minimiziranje štete od DoS napada. U slučaju korištenja proxyja, svi zahtjevi korisnika prema servisu i odgovori na njih se ne prenose direktno, već preko posrednih servera. I korisnik i aplikacija se "ne vide" direktno, dostupne su im samo proxy adrese. Kao rezultat toga, nemoguće je direktno napasti aplikaciju. Na rubu mreže postoje takozvani edge proxyji - eksterni proksiji sa dostupnim IP adresama, veza ide prvo do njih.
Da bi se uspješno oduprla DoS napadu, proxy mreža mora imati dvije ključne mogućnosti. Prvo, takva posrednička mreža bi trebala igrati ulogu posrednika, odnosno samo preko nje možete "proći" do aplikacije. Ovo će eliminirati mogućnost direktnog napada na servis. Drugo, proxy mreža mora biti u stanju omogućiti korisnicima da i dalje komuniciraju s aplikacijom, čak i tokom napada.
Infrastruktura za eksperimente
Studija je koristila četiri ključne komponente:
- implementacija proxy mreže;
- Apache web server
- alat za web testiranje ;
- alat za napad .
Simulacija je sprovedena u MicroGrid okruženju - može se koristiti za simulaciju mreža sa 20 hiljada rutera, što je uporedivo sa mrežama Tier-1 operatera.
Tipična Trinoo mreža se sastoji od skupa kompromitovanih hostova koji pokreću programski demon. Tu je i softver za nadzor za kontrolu mreže i direktni DoS napadi. Uzimajući u obzir listu IP adresa, Trinoo demon šalje UDP pakete ciljevima u određeno vrijeme.
Tokom eksperimenta korištena su dva klastera. MicroGrid simulator je radio na Xeon Linux klasteru od 16 čvorova (2.4GHz serveri sa 1GB memorije po mašini) povezanih preko 1Gbps Ethernet čvorišta. Ostale softverske komponente bile su locirane u klasteru od 24 čvora (450MHz PII Linux-cthdths sa 1 GB memorije po mašini) povezanih preko 100Mbps Ethernet čvorišta. Dva klastera su povezana 1Gbps kanalom.
Proxy mreža se nalazi u grupi od 1000 hostova. Rubni proksi serveri su ravnomjerno raspoređeni po čitavom skupu resursa. Proksiji za rad sa aplikacijom nalaze se na hostovima koji su bliže njenoj infrastrukturi. Ostatak proksija ravnomjerno je raspoređen između rubnih proksija i proksija aplikacije.
Mreža za simulaciju
Da bi proučili efikasnost proxyja kao alata za suzbijanje DoS napada, istraživači su mjerili produktivnost aplikacije pod različitim scenarijima vanjskih utjecaja. Ukupno su u proxy mreži bila 192 proksija (od toga 64 granična). Za izvođenje napada stvorena je Trinoo mreža, uključujući 100 demona. Svaki od demona imao je kanal od 100 Mbps. Ovo odgovara botnetu od 10 kućnih rutera.
Mjeren je utjecaj DoS napada na aplikaciju i proxy mrežu. U eksperimentalnoj konfiguraciji, aplikacija je imala internet kanal od 250 Mbps, a svaki granični proxy je imao 100 Mbps.
Rezultati eksperimenta
Prema rezultatima analize, pokazalo se da napad na 250Mbps značajno povećava vrijeme odziva aplikacije (oko deset puta), zbog čega je nemoguće koristiti je. Međutim, kada se koristi proxy mreža, napad nema značajan utjecaj na performanse i ne degradira korisničko iskustvo. To je zato što rubni proksiji razvodnjavaju učinak napada, a ukupni resursi proxy mreže su veći od resursa same aplikacije.
Prema statistikama, ako snaga napada ne prelazi 6.0Gbps (uprkos činjenici da je ukupna propusnost graničnih proxy kanala samo 6.4Gbps), tada 95% korisnika ne doživljava primjetnu degradaciju performansi. Istovremeno, u slučaju vrlo snažnog napada koji prelazi 6.4Gbps, čak ni korištenje proxy mreže ne bi omogućilo da se izbjegne degradacija nivoa usluge za krajnje korisnike.
U slučaju koncentrisanih napada, kada je njihova moć koncentrisana na nasumični skup rubnih proksija. U ovom slučaju napad začepljuje dio proxy mreže, pa će značajan dio korisnika primijetiti pad performansi.
nalazi
Rezultati eksperimenta sugeriraju da proxy mreže mogu poboljšati performanse TCP aplikacija i pružiti poznati nivo usluge za korisnike, čak i u slučaju DoS napada. Prema dobijenim podacima, mrežni proksiji su efikasan način da se minimiziraju posljedice napada, više od 90% korisnika tokom eksperimenta nije osjetilo pad u kvaliteti usluge. Osim toga, istraživači su otkrili da kako se veličina proxy mreže povećava, obim DoS napada koje ona može podnijeti raste gotovo linearno. Stoga, što je mreža veća, to će se efikasnije nositi sa DoS-om.
Korisni linkovi i materijali iz :
Izvor: www.habr.com