Obrázek:
DoS útoky jsou jednou z největších hrozeb informační bezpečnosti na moderním internetu. Existují desítky botnetů, které si útočníci pronajímají k provádění takových útoků.
Vědci z univerzity v San Diegu do jaké míry použití proxy pomáhá snižovat negativní efekt DoS útoků – předkládáme vám hlavní teze této práce.
Úvod: Proxy jako nástroj pro boj s DoS
Podobné experimenty pravidelně provádějí výzkumníci z různých zemí, ale jejich společným problémem je nedostatek zdrojů na simulaci útoků, které se blíží realitě. Testy na malých lavičkách neumožňují odpovědět na otázky, jak úspěšně budou proxy odolávat útoku ve složitých sítích, jaké parametry hrají klíčovou roli ve schopnosti minimalizovat škody atd.
Pro experiment vědci vytvořili model typické webové aplikace – například službu elektronického obchodu. Funguje s pomocí clusteru serverů, uživatelé jsou rozmístěni v různých geografických lokalitách a pro přístup ke službě využívají internet. Internet v tomto modelu slouží jako prostředek komunikace mezi službou a uživateli – tak fungují webové služby od vyhledávačů až po nástroje online bankovnictví.
DoS útoky znemožňují normální interakci mezi službou a uživateli. Existují dva typy DoS: útoky na aplikační vrstvě a útoky na infrastrukturní vrstvu. V druhém případě útočníci přímo útočí na síť a hostitele, na kterých služba běží (například zahltí celou šířku pásma sítě záplavou provozu). V případě útoku na úrovni aplikace je cílem útočníka rozhraní interakce s uživatelem – za tímto účelem posílají obrovské množství požadavků, aby způsobili pád aplikace. Popsaný experiment se týkal útoků na úrovni infrastruktury.
Proxy sítě jsou jedním z nástrojů, jak minimalizovat škody způsobené DoS útoky. V případě použití proxy se všechny požadavky od uživatele na službu a odpovědi na ně nepřenášejí přímo, ale přes zprostředkující servery. Uživatel i aplikace na sebe přímo „nevidí“, k dispozici jsou jim pouze proxy adresy. V důsledku toho není možné přímo napadnout aplikaci. Na okraji sítě jsou tzv. edge proxy - externí proxy s dostupnými IP adresami, k nim jde spojení jako první.
Aby mohla síť proxy úspěšně odolat útoku DoS, musí mít dvě klíčové schopnosti. Za prvé, taková zprostředkující síť by měla hrát roli zprostředkovatele, to znamená, že se do aplikace můžete „dostat“ pouze přes ni. Tím se vyloučí možnost přímého útoku na službu. Za druhé, síť proxy musí být schopna umožnit uživatelům stále komunikovat s aplikací, a to i během útoku.
Experimentální infrastruktura
Studie používala čtyři klíčové komponenty:
- implementace sítě proxy;
- Webový server Apache
- webový testovací nástroj ;
- útočný nástroj .
Simulace byla provedena v prostředí MicroGrid - lze s ním simulovat sítě s 20 tisíci routery, což je srovnatelné se sítěmi operátorů Tier-1.
Typická síť Trinoo se skládá ze sady kompromitovaných hostitelů, na kterých běží démon programu. K dispozici je také monitorovací software pro kontrolu sítě a přímé DoS útoky. Pokud je uveden seznam IP adres, démon Trinoo odesílá pakety UDP do cílů v zadaný čas.
Během experimentu byly použity dva shluky. Simulátor MicroGrid běžel na Xeon Linux clusteru 16 uzlů (2.4GHz servery s 1GB paměti na stroj) připojených přes 1Gbps Ethernet hub. Další softwarové komponenty byly umístěny v clusteru 24 uzlů (450MHz PII Linux-cthdths s 1 GB paměti na stroj) propojených 100Mbps Ethernet hubem. Dva clustery byly propojeny 1Gbps kanálem.
Síť proxy je hostována ve fondu 1000 hostitelů. Edge proxy jsou rovnoměrně rozmístěny v celém fondu zdrojů. Proxy pro práci s aplikací jsou umístěny na hostitelích, které jsou blíže její infrastruktuře. Zbytek proxy je rovnoměrně rozdělen mezi okrajové proxy a aplikační proxy.
Síť pro simulaci
Aby vědci prozkoumali účinnost proxy jako nástroje pro boj proti DoS útoku, měřili produktivitu aplikace v různých scénářích vnějších vlivů. Celkem bylo v proxy síti 192 proxy (z toho 64 hraničních). K provedení útoku byla vytvořena síť Trinoo zahrnující 100 démonů. Každý z démonů měl 100Mbps kanál. To odpovídá botnetu 10 XNUMX domácích routerů.
Byl měřen dopad DoS útoku na aplikaci a síť proxy. V experimentální konfiguraci měla aplikace internetový kanál 250 Mbps a každý hraniční proxy měl 100 Mbps.
Výsledky experimentu
Podle výsledků analýzy se ukázalo, že útok na 250 Mbps výrazně prodlužuje dobu odezvy aplikace (asi desetkrát), v důsledku čehož ji nelze používat. Při použití proxy sítě však útok nemá významný dopad na výkon a nezhoršuje uživatelský zážitek. Je to proto, že okrajové proxy oslabují účinek útoku a celkové zdroje proxy sítě jsou vyšší než zdroje samotné aplikace.
Podle statistik, pokud síla útoku nepřekročí 6.0 Gbps (navzdory skutečnosti, že celková šířka pásma hraničních proxy kanálů je pouze 6.4 Gbps), pak 95 % uživatelů nezaznamená znatelné snížení výkonu. Přitom v případě velmi silného útoku přesahujícího 6.4 Gbps by ani použití proxy sítě neumožnilo zabránit degradaci úrovně služeb pro koncové uživatele.
V případě koncentrovaných útoků, kdy je jejich síla soustředěna na náhodnou sadu okrajových proxy. V tomto případě útok ucpe část proxy sítě, takže značná část uživatelů zaznamená pokles výkonu.
Závěry
Výsledky experimentu naznačují, že proxy sítě mohou zlepšit výkon aplikací TCP a poskytnout uživatelům známou úroveň služeb, a to i v případě útoků DoS. Síťové proxy jsou podle získaných dat efektivním způsobem, jak minimalizovat následky útoků, více než 90 % uživatelů během experimentu nepocítilo pokles kvality služby. Kromě toho vědci zjistili, že s rostoucí velikostí sítě proxy se rozsah útoků DoS, které může snést, téměř lineárně zvyšuje. Čím větší je tedy síť, tím efektivněji se vypořádá s DoS.
Užitečné odkazy a materiály z :
Zdroj: www.habr.com