Imatge:
Els atacs DoS són una de les majors amenaces a la seguretat de la informació a Internet moderna. Hi ha desenes de botnets que els atacants lloguen per dur a terme aquests atacs.
Científics de la Universitat de San Diego fins a quin punt l'ús de proxies ajuda a reduir l'efecte negatiu dels atacs de DoS: presentem a la vostra atenció les tesis principals d'aquest treball.
Introducció: Proxy com a eina de lluita contra DoS
Periòdicament es fan experiments similars per investigadors de diferents països, però el seu problema comú és la manca de recursos per simular atacs propers a la realitat. Les proves en bancs petits no permeten respondre preguntes sobre com resistiran amb èxit els servidors intermediaris un atac en xarxes complexes, quins paràmetres tenen un paper clau en la capacitat de minimitzar els danys, etc.
Per a l'experiment, els científics van crear un model d'una aplicació web típica, per exemple, un servei de comerç electrònic. Funciona amb l'ajuda d'un clúster de servidors, els usuaris es distribueixen en diferents ubicacions geogràfiques i utilitzen Internet per accedir al servei. En aquest model, Internet serveix com a mitjà de comunicació entre el servei i els usuaris; així és com funcionen els serveis web, des dels motors de cerca fins a les eines de banca en línia.
Els atacs DoS fan impossible la interacció normal entre el servei i els usuaris. Hi ha dos tipus de DoS: atacs de capa d'aplicació i atacs de capa d'infraestructura. En aquest últim cas, els atacants ataquen directament la xarxa i els amfitrions en què s'executa el servei (per exemple, inunden tot l'ample de banda de la xarxa amb trànsit d'inundació). En el cas d'un atac a nivell d'aplicació, l'objectiu de l'atacant és la interfície d'interacció amb l'usuari; per això envien un gran nombre de sol·licituds per tal que l'aplicació es bloquegi. L'experiment descrit es refereix a atacs a nivell d'infraestructura.
Les xarxes proxy són una de les eines per minimitzar els danys dels atacs DoS. En el cas d'utilitzar un proxy, totes les peticions de l'usuari al servei i les respostes a aquestes no es transmeten directament, sinó a través de servidors intermedis. Tant l'usuari com l'aplicació "no es veuen" directament, només tenen a la seva disposició adreces proxy. Com a resultat, és impossible atacar directament l'aplicació. A la vora de la xarxa hi ha els anomenats servidors intermediaris de vora: servidors intermediaris externs amb adreces IP disponibles, la connexió va primer a ells.
Per resistir amb èxit un atac DoS, una xarxa intermediaria ha de tenir dues capacitats clau. En primer lloc, aquesta xarxa intermèdia hauria de tenir el paper d'intermediari, és a dir, només podeu "accedir" a l'aplicació. Això eliminarà la possibilitat d'un atac directe al servei. En segon lloc, la xarxa proxy ha de poder permetre que els usuaris continuïn interactuant amb l'aplicació, fins i tot durant l'atac.
Experimentar la infraestructura
L'estudi va utilitzar quatre components clau:
- implementació d'una xarxa proxy;
- Servidor web Apache
- eina de prova web ;
- eina d'atac .
La simulació es va dur a terme a l'entorn MicroGrid: es pot utilitzar per simular xarxes amb 20 mil encaminadors, que és comparable a les xarxes dels operadors de nivell 1.
Una xarxa Trinoo típica consisteix en un conjunt d'amfitrions compromesos que executen el dimoni del programa. També hi ha programari de monitorització per controlar la xarxa i dirigir els atacs DoS. Donada una llista d'adreces IP, el dimoni Trinoo envia paquets UDP als objectius a l'hora especificada.
Durant l'experiment es van utilitzar dos grups. El simulador MicroGrid funcionava en un clúster Xeon Linux de 16 nodes (servidors de 2.4 GHz amb 1 GB de memòria per màquina) connectats mitjançant un concentrador Ethernet d'1 Gbps. Altres components de programari es van localitzar en un clúster de 24 nodes (450 MHz PII Linux-cthdths amb 1 GB de memòria per màquina) connectats per un concentrador Ethernet de 100 Mbps. Es van connectar dos clústers mitjançant un canal d'1 Gbps.
La xarxa proxy està allotjada en un grup de 1000 amfitrions. Els servidors intermediaris Edge es distribueixen uniformement per tot el conjunt de recursos. Els servidors intermediaris per treballar amb l'aplicació es troben en hosts més propers a la seva infraestructura. La resta de servidors intermediaris es distribueixen uniformement entre els servidors intermediaris de vora i els intermediaris de l'aplicació.
Xarxa per a la simulació
Per estudiar l'efectivitat d'un proxy com a eina per contrarestar un atac de DoS, els investigadors van mesurar la productivitat de l'aplicació sota diferents escenaris d'influències externes. En total, hi havia 192 proxys a la xarxa de proxy (64 d'ells eren de frontera). Per dur a terme l'atac, es va crear una xarxa Trinoo, que inclou 100 dimonis. Cadascun dels dimonis tenia un canal de 100 Mbps. Això correspon a una botnet de 10 encaminadors domèstics.
Es va mesurar l'impacte d'un atac DoS a l'aplicació i la xarxa proxy. En la configuració experimental, l'aplicació tenia un canal d'Internet de 250 Mbps i cada proxy de frontera tenia 100 Mbps.
Resultats de l'experimentació
Segons els resultats de l'anàlisi, va resultar que un atac a 250Mbps augmenta significativament el temps de resposta de l'aplicació (unes deu vegades), com a resultat de la qual cosa es fa impossible utilitzar-la. Tanmateix, quan s'utilitza una xarxa proxy, l'atac no té un impacte significatiu en el rendiment i no degrada l'experiència de l'usuari. Això es deu al fet que els servidors intermediaris perifèrics dilueixen l'efecte de l'atac i els recursos totals de la xarxa intermediari són superiors als de la pròpia aplicació.
Segons les estadístiques, si la potència d'atac no supera els 6.0 Gbps (malgrat que l'ample de banda total dels canals intermediaris de la frontera és només de 6.4 Gbps), el 95% dels usuaris no experimenten una degradació notable del rendiment. Al mateix temps, en el cas d'un atac molt potent que superi els 6.4 Gbps, fins i tot l'ús d'una xarxa proxy no permetria evitar la degradació del nivell de servei per als usuaris finals.
En el cas dels atacs concentrats, quan el seu poder es concentra en un conjunt aleatori de servidors intermediaris. En aquest cas, l'atac obstrueix part de la xarxa proxy, de manera que una part important dels usuaris notarà una caiguda del rendiment.
Troballes
Els resultats de l'experiment suggereixen que les xarxes proxy poden millorar el rendiment de les aplicacions TCP i proporcionar un nivell de servei familiar per als usuaris, fins i tot en cas d'atacs DoS. Segons les dades obtingudes, els servidors intermediaris de xarxa són una manera eficaç de minimitzar les conseqüències dels atacs, més del 90% dels usuaris durant l'experiment no van sentir una disminució de la qualitat del servei. A més, els investigadors van trobar que a mesura que augmenta la mida de la xarxa intermedia, l'escala dels atacs de DoS que pot suportar augmenta gairebé linealment. Per tant, com més gran sigui la xarxa, més eficaç tractarà el DoS.
Enllaços i materials útils de :
Font: www.habr.com