Ritrattu:
L'attacchi DoS sò una di e più grande minacce à a sicurità di l'infurmazioni in l'Internet mudernu. Ci sò decine di botnets chì l'attaccanti affittanu per realizà tali attacchi.
Scientisti di l'Università di San Diego quantu l'usu di proxy aiuta à riduce l'effettu negativu di l'attacchi DoS - avemu prisentatu à a vostra attenzione e tesi principali di stu travagliu.
Introduzione: Proxy cum'è Strumentu di lotta DoS
Esperimenti simili sò periodicamente realizati da circadori di diversi paesi, ma u so prublema cumuni hè a mancanza di risorse per simulà attacchi vicinu à a realità. I testi nantu à i picculi banchi ùn permettenu micca di risponde à e dumande nantu à quantu successu i proxy resistanu à un attaccu in e rete cumplesse, quali parametri ghjucanu un rolu chjave in a capacità di minimizzà i danni, etc.
Per l'esperimentu, i scientisti anu creatu un mudellu di una applicazione web tipica - per esempiu, un serviziu di e-commerce. Funziona cù l'aiutu di un cluster di servitori, l'utilizatori sò distribuiti in diverse lochi geografichi è utilizanu Internet per accede à u serviziu. In questu mudellu, l'Internet serve cum'è un mezzu di cumunicazione trà u serviziu è l'utilizatori - questu hè cumu i servizii web funzionanu da i mutori di ricerca à i strumenti bancari in linea.
L'attacchi DoS facenu impussibile l'interazzione normale trà u serviziu è l'utilizatori. Ci sò dui tippi di DoS: attacchi à a strata di l'applicazione è attacchi à a strata di l'infrastruttura. In l'ultimu casu, l'attaccanti attaccanu direttamente a reta è l'ospiti nantu à quale u serviziu hè in esecuzione (per esempiu, inundanu tutta a larghezza di banda di a rete cù u trafficu di inundazioni). In u casu di un attaccu à u livellu di l'applicazioni, u scopu di l'attaccante hè l'interfaccia d'interazzione di l'utilizatori - per questu mandanu un gran numaru di richieste per fà fallu l'applicazione. L'esperimentu descrittu cuncernava attacchi à u livellu di l'infrastruttura.
E rete proxy sò unu di l'arnesi per minimizzà i danni da attacchi DoS. In u casu di utilizà un proxy, tutte e dumande da l'utilizatore à u serviziu è e risposte à elli ùn sò micca trasmesse direttamente, ma per mezu di servitori intermedi. Sia l'utilizatore è l'applicazione "ùn si vedenu" direttamente, solu l'indirizzi proxy sò dispunibuli per elli. In u risultatu, hè impussibile attaccà direttamente l'applicazione. À a riva di a reta, ci sò cusì chjamati proxy edge - proxies esterni cù indirizzi IP dispunibili, a cunnessione va prima à elli.
Per resiste bè à un attaccu DoS, una rete proxy deve avè duie capacità chjave. Prima, un tali reta intermediaria deve ghjucà u rolu di un intermediariu, vale à dì, pudete "attraversà" l'applicazione solu per ellu. Questu eliminerà a pussibilità di un attaccu direttu à u serviziu. Siconda, a reta di proxy deve esse capace di permette à l'utilizatori di interagisce ancu cù l'applicazione, ancu durante l'attaccu.
Sperimenta l'infrastruttura
U studiu hà utilizatu quattru cumpunenti chjave:
- implementazione di una rete proxy;
- Servitore web Apache
- strumentu di prova web ;
- strumentu d'attaccu .
A simulazione hè stata realizata in l'ambiente MicroGrid - pò esse aduprata per simulà e rete cù 20 mila routers, chì hè paragunabile à e rete di l'operatori Tier-1.
Una reta tipica di Trinoo hè custituita da un inseme d'ospiti cumprumessi chì eseguenu u daemon di u prugramma. Ci hè ancu un software di monitoraghju per cuntrullà a reta è diretta attacchi DoS. Data una lista di indirizzi IP, u daemon Trinoo manda pacchetti UDP à i miri à u tempu specificatu.
Durante l'esperimentu, dui clusters sò stati utilizati. U simulatore MicroGrid funzionava nantu à un cluster Xeon Linux di 16 nodi (servitori 2.4GHz cù 1GB di memoria per macchina) cunnessi via un hub Ethernet 1Gbps. L'altri cumpunenti di u software sò stati situati in un cluster di nodi 24 (450MHz PII Linux-cthdths cù 1 GB di memoria per macchina) cunnessi da un hub Ethernet 100Mbps. Dui clusters sò stati cunnessi da un canale 1Gbps.
A reta di proxy hè ospitata in una piscina di 1000 ospiti. I proxy Edge sò distribuiti uniformemente in tuttu u pool di risorse. I proxy per travaglià cù l'applicazione sò situati in ospiti chì sò più vicinu à a so infrastruttura. U restu di i proxy sò distribuiti uniformemente trà i proxy di punta è i proxy di l'applicazione.
Rete per a simulazione
Per studià l'efficacezza di un proxy cum'è strumentu per contru à un attaccu DoS, i circadori misuranu a produtividade di l'applicazione in diverse scenarii di influenze esterne. In totale, ci era 192 proxy in a reta di proxy (64 d'elli eranu cunfini). Per fà l'attaccu, hè stata creata una reta Trinoo, cumprese 100 dimònii. Ognunu di i demoni avianu un canale di 100 Mbps. Questu currisponde à una botnet di 10 XNUMX routers di casa.
L'impattu di un attaccu DoS nantu à l'applicazione è a reta di proxy hè statu misuratu. In a cunfigurazione sperimentale, l'applicazione avia un canale Internet di 250Mbps, è ogni proxy di cunfini hà avutu 100 Mbps.
I risultati di l'esperimentu
Sicondu i risultati di l'analisi, hè statu chì un attaccu à 250Mbps aumenta significativamente u tempu di risposta di l'applicazione (circa deci volte), per via di quale hè impussibile di utilizà. Tuttavia, quandu si usa una rete proxy, l'attaccu ùn hà micca un impattu significativu in u rendiment è ùn degrada micca l'esperienza di l'utilizatori. Questu hè chì i proxy di punta dilute l'effettu di l'attaccu, è e risorse totali di a reta di proxy sò più altu ch'è quelli di l'applicazione stessa.
Sicondu statistiche, se u putere di l'attaccu ùn supera micca 6.0Gbps (malgradu u fattu chì a larghezza di banda tutale di i canali proxy di cunfini hè solu 6.4Gbps), u 95% di l'utilizatori ùn anu micca sperienze una degradazione di rendiment notevuli. À u listessu tempu, in u casu di un attaccu assai putente chì supera 6.4Gbps, ancu l'usu di una rete proxy ùn permettenu micca di evità a degradazione di u livellu di serviziu per l'utilizatori finali.
In u casu di attacchi cuncentrati, quandu u so putere hè cuncentratu nantu à un settore aleatoriu di proxy di punta. In questu casu, l'attaccu obstruisce una parte di a reta di proxy, cusì una parte significativa di l'utilizatori noterà una calata di rendiment.
scuperti
I risultati di l'esperimentu suggerenu chì e rete proxy ponu migliurà a prestazione di l'applicazioni TCP è furnisce un livellu familiar di serviziu per l'utilizatori, ancu in casu di attacchi DoS. Sicondu i dati ottenuti, i proxy di rete sò un modu efficau per minimizzà e cunsequenze di l'attacchi, più di 90% di l'utilizatori durante l'esperimentu ùn anu micca sentitu una diminuzione di a qualità di u serviziu. Inoltre, i circadori anu truvatu chì, cum'è a dimensione di a reta di proxy aumenta, a scala di l'attacchi DoS chì pò suppurtà aumenta quasi linearmente. Dunque, più grande hè a reta, u più efficace si tratta di DoS.
Ligami utili è materiali da :
Fonte: www.habr.com