Llun:
Ymosodiadau DoS yw un o'r bygythiadau mwyaf i ddiogelwch gwybodaeth ar y Rhyngrwyd modern. Mae yna ddwsinau o botnets y mae ymosodwyr yn eu rhentu i gyflawni ymosodiadau o'r fath.
Cynhaliodd gwyddonwyr o Brifysgol San Diego Sut mae defnyddio dirprwyon yn helpu i leihau effaith negyddol ymosodiadau DoS - rydym yn cyflwyno i'ch sylw brif draethodau ymchwil y gwaith hwn.
Cyflwyniad: dirprwy fel arf i frwydro yn erbyn DoS
Cynhelir arbrofion tebyg o bryd i'w gilydd gan ymchwilwyr o wahanol wledydd, ond eu problem gyffredin yw diffyg adnoddau i efelychu ymosodiadau sy'n agos at realiti. Nid yw profion ar feinciau prawf bach yn caniatΓ‘u ateb cwestiynau ynghylch pa mor llwyddiannus y bydd dirprwyon yn gwrthsefyll ymosodiad mewn rhwydweithiau cymhleth, pa baramedrau sy'n chwarae rhan allweddol yn y gallu i leihau difrod, ac ati.
Ar gyfer yr arbrawf, creodd gwyddonwyr fodel o gymhwysiad gwe nodweddiadol - er enghraifft, gwasanaeth e-fasnach. Mae'n gweithio gan ddefnyddio clwstwr o weinyddion; mae defnyddwyr yn cael eu dosbarthu ar draws gwahanol leoliadau daearyddol ac yn defnyddio'r Rhyngrwyd i gael mynediad i'r gwasanaeth. Yn y model hwn, mae'r Rhyngrwyd yn fodd o gyfathrebu rhwng y gwasanaeth a defnyddwyr - dyma sut mae gwasanaethau gwe o beiriannau chwilio i offer bancio ar-lein yn gweithio.
Mae ymosodiadau DoS yn gwneud rhyngweithio arferol rhwng y gwasanaeth a defnyddwyr yn amhosibl. Mae dau fath o DoS: ymosodiadau lefel cais a lefel seilwaith. Yn yr achos olaf, mae ymosodwyr yn ymosod yn uniongyrchol ar y rhwydwaith a'r gwesteiwyr y mae'r gwasanaeth yn rhedeg arnynt (er enghraifft, maent yn rhwystro lled band y rhwydwaith cyfan Γ’ thraffig llifogydd). Yn achos ymosodiad ar lefel cais, targed yr ymosodwr yw'r rhyngwyneb defnyddiwr - i wneud hyn, maent yn anfon nifer enfawr o geisiadau er mwyn achosi i'r cais chwalu. Disgrifiodd yr arbrawf ymosodiadau pryderus ar lefel seilwaith.
Mae rhwydweithiau dirprwyol yn un o'r offer ar gyfer lleihau difrod o ymosodiadau DoS. Wrth ddefnyddio dirprwy, trosglwyddir pob cais gan y defnyddiwr i'r gwasanaeth ac ymatebion iddynt nid yn uniongyrchol, ond trwy weinyddion canolradd. Nid yw'r defnyddiwr a'r rhaglen yn βgweldβ ei gilydd yn uniongyrchol; dim ond cyfeiriadau dirprwy sydd ar gael iddynt. O ganlyniad, mae'n amhosibl ymosod ar y cais yn uniongyrchol. Ar ymyl y rhwydwaith mae yna ddirprwyon ymyl fel y'u gelwir - dirprwyon allanol gyda chyfeiriadau IP sydd ar gael, mae'r cysylltiad yn mynd atynt yn gyntaf.
Er mwyn gwrthsefyll ymosodiad DoS yn llwyddiannus, rhaid i rwydwaith dirprwy fod Γ’ dau allu allweddol. Yn gyntaf, rhaid i rwydwaith canolraddol o'r fath chwarae rΓ΄l cyfryngwr, hynny yw, dim ond trwyddo y gellir βcyrraeddβ y cais. Bydd hyn yn dileu'r posibilrwydd o ymosodiad uniongyrchol ar y gwasanaeth. Yn ail, rhaid i'r rhwydwaith dirprwy allu caniatΓ‘u i ddefnyddwyr barhau i ryngweithio Γ’'r rhaglen hyd yn oed yn ystod ymosodiad.
Arbrofi seilwaith
Defnyddiodd yr astudiaeth bedair cydran allweddol:
- gweithredu rhwydwaith dirprwyol;
- Gweinydd gwe Apache;
- offeryn profi gwe ;
- offeryn ymosod .
Cynhaliwyd yr efelychiad yn amgylchedd MicroGrid - gellir ei ddefnyddio i efelychu rhwydweithiau gyda 20 mil o lwybryddion, sy'n debyg i rwydweithiau gweithredwyr Haen-1.
Mae rhwydwaith Trinoo nodweddiadol yn cynnwys set o westeion dan fygythiad sy'n rhedeg daemon rhaglen. Mae yna hefyd feddalwedd monitro ar gyfer monitro'r rhwydwaith a chyfarwyddo ymosodiadau DoS. Ar Γ΄l derbyn rhestr o gyfeiriadau IP, mae daemon Trinoo yn anfon pecynnau CDU i dargedau ar amseroedd penodol.
Yn ystod yr arbrawf, defnyddiwyd dau glwstwr. Roedd yr efelychydd MicroGrid yn rhedeg ar glwstwr 16-nΓ΄d Xeon Linux (gweinyddion 2.4GHz gyda 1 gigabeit o gof ar bob peiriant) wedi'i gysylltu trwy ganolbwynt Ethernet 1 Gbps. Roedd cydrannau meddalwedd eraill wedi'u lleoli mewn clwstwr o 24 nod (450MHz PII Linux-cthdths gyda 1 GB o gof ar bob peiriant), wedi'u cysylltu gan ganolbwynt Ethernet 100Mbps. Cysylltwyd dau glwstwr gan sianel 1Gbps.
Mae'r rhwydwaith dirprwy yn cael ei gynnal mewn cronfa o 1000 o westeion. Mae dirprwyon ymyl wedi'u dosbarthu'n gyfartal ledled y gronfa adnoddau. Mae dirprwyon ar gyfer gweithio gyda'r cais wedi'u lleoli ar westeion sy'n agosach at ei seilwaith. Mae'r dirprwyon sy'n weddill wedi'u dosbarthu'n gyfartal rhwng dirprwyon ymyl a chymwysiadau.
Rhwydwaith efelychu
Er mwyn astudio effeithiolrwydd dirprwy fel offeryn ar gyfer gwrthsefyll ymosodiad DoS, mesurodd ymchwilwyr gynhyrchiant y cais o dan wahanol senarios o ddylanwadau allanol. Roedd cyfanswm o 192 o ddirprwyon yn y rhwydwaith dirprwy (64 ohonynt ar ymyl). Er mwyn cyflawni'r ymosodiad, crΓ«wyd rhwydwaith Trinoo, gan gynnwys 100 o gythreuliaid. Roedd gan bob un o'r cythreuliaid sianel 100Mbps. Mae hyn yn cyfateb i botnet o 10 mil o lwybryddion cartref.
Mesurwyd effaith ymosodiad DoS ar y cais a'r rhwydwaith dirprwy. Yn y cyfluniad arbrofol, roedd gan y cais sianel Rhyngrwyd o 250 Mbps, ac roedd gan bob dirprwy ymyl sianel o 100 Mbps.
Canlyniadau arbrawf
Yn seiliedig ar ganlyniadau'r dadansoddiad, daeth yn amlwg bod ymosodiad o 250Mbps yn cynyddu'n sylweddol amser ymateb y cais (tua deg gwaith), ac o ganlyniad mae'n dod yn amhosibl ei ddefnyddio. Fodd bynnag, wrth ddefnyddio rhwydwaith dirprwy, nid yw'r ymosodiad yn cael effaith sylweddol ar berfformiad ac nid yw'n diraddio profiad y defnyddiwr. Mae hyn yn digwydd oherwydd bod dirprwyon ymyl yn gwanhau effaith yr ymosodiad, ac mae cyfanswm adnoddau'r rhwydwaith dirprwy yn uwch na rhai'r cais ei hun.
Yn Γ΄l yr ystadegau, os nad yw'r pΕ΅er ymosodiad yn fwy na 6.0Gbps (er mai dim ond 6.4Gbps yw cyfanswm y sianeli dirprwy ymylol sy'n mynd trwyddynt), yna nid yw 95% o ddefnyddwyr yn profi gostyngiad amlwg mewn perfformiad. Ar ben hynny, yn achos ymosodiad pwerus iawn sy'n fwy na 6.4Gbps, ni fyddai hyd yn oed defnyddio rhwydwaith dirprwy yn osgoi diraddio lefel y gwasanaeth ar gyfer defnyddwyr terfynol.
Yn achos ymosodiadau crynodedig, pan fydd eu pΕ΅er yn cael ei ganolbwyntio ar set ar hap o ddirprwyon ymyl. Yn yr achos hwn, mae'r ymosodiad yn tagu rhan o'r rhwydwaith dirprwy, felly bydd cyfran sylweddol o ddefnyddwyr yn sylwi ar ostyngiad mewn perfformiad.
Canfyddiadau
Mae canlyniadau'r arbrawf yn awgrymu y gall rhwydweithiau dirprwy wella perfformiad cymwysiadau TCP a darparu'r lefel arferol o wasanaeth i ddefnyddwyr, hyd yn oed os bydd ymosodiadau DoS. Yn Γ΄l y data a gafwyd, mae rhwydweithiau dirprwy yn troi allan i fod yn ffordd effeithiol o leihau canlyniadau ymosodiadau; ni welodd mwy na 90% o ddefnyddwyr ostyngiad yn ansawdd y gwasanaeth yn ystod yr arbrawf. Yn ogystal, canfu'r ymchwilwyr, wrth i faint rhwydwaith dirprwy gynyddu, bod graddfa'r ymosodiadau DoS y gall wrthsefyll yn cynyddu bron yn llinol. Felly, po fwyaf yw'r rhwydwaith, y mwyaf effeithiol y bydd yn mynd i'r afael Γ’ DoS.
Dolenni a deunyddiau defnyddiol o :
Ffynhonnell: www.habr.com