Eksperiment: er det muligt at reducere de negative virkninger af DoS-angreb ved hjælp af en proxy

Billede: Unsplash

DoS-angreb er en af ​​de største trusler mod informationssikkerheden på det moderne internet. Der er snesevis af botnets, som angribere lejer ud for at udføre sådanne angreb.

Forskere fra University of San Diego undersøgelse i hvilket omfang brugen af ​​proxyer er med til at reducere den negative effekt af DoS-angreb - vi præsenterer for din opmærksomhed hovedteserne i dette arbejde.

Introduktion: Proxy som DoS Fighting Tool

Lignende eksperimenter udføres med jævne mellemrum af forskere fra forskellige lande, men deres fælles problem er manglen på ressourcer til at simulere angreb, der er tæt på virkeligheden. Test på små bænke tillader ikke at besvare spørgsmål om, hvor succesfuldt proxyer vil modstå et angreb i komplekse netværk, hvilke parametre der spiller en nøglerolle i evnen til at minimere skader osv.

Til eksperimentet skabte forskerne en model af en typisk webapplikation - for eksempel en e-handelstjeneste. Det fungerer ved hjælp af en klynge af servere, brugere er fordelt på forskellige geografiske steder og bruger internettet til at få adgang til tjenesten. I denne model fungerer internettet som et kommunikationsmiddel mellem tjenesten og brugerne – sådan fungerer webtjenester fra søgemaskiner til netbankværktøjer.

DoS-angreb gør normal interaktion mellem tjenesten og brugere umulig. Der er to typer DoS: applikationslagsangreb og infrastrukturlagsangreb. I sidstnævnte tilfælde angriber angribere direkte netværket og de værter, som tjenesten kører på (f.eks. oversvømmer de hele netværksbåndbredden med oversvømmelsestrafik). I tilfælde af et angreb på applikationsniveau er angriberens mål brugerinteraktionsgrænsefladen - til dette sender de et stort antal anmodninger for at få applikationen til at gå ned. Det beskrevne eksperiment vedrørte angreb på infrastrukturniveau.

Proxy-netværk er et af værktøjerne til at minimere skader fra DoS-angreb. I tilfælde af brug af en proxy sendes alle anmodninger fra brugeren til tjenesten og svar på dem ikke direkte, men gennem mellemliggende servere. Både brugeren og applikationen "ser" ikke hinanden direkte, kun proxy-adresser er tilgængelige for dem. Som et resultat er det umuligt at angribe applikationen direkte. I kanten af ​​netværket er der såkaldte edge proxies - eksterne proxyer med tilgængelige IP-adresser, forbindelsen går først til dem.

For at kunne modstå et DoS-angreb skal et proxy-netværk have to nøglefunktioner. For det første bør et sådant mellemnetværk spille rollen som en mellemmand, det vil sige, at du kun kan "komme igennem" til applikationen gennem den. Dette vil eliminere muligheden for et direkte angreb på tjenesten. For det andet skal proxy-netværket være i stand til at tillade brugere at stadig interagere med applikationen, selv under angrebet.

Eksperimenter infrastruktur

Undersøgelsen brugte fire nøglekomponenter:

• implementering af et proxy-netværk;
• Apache webserver
• webtestværktøj Siege;
• angrebsværktøj Trinoo.

Simuleringen blev udført i MicroGrid-miljøet - den kan bruges til at simulere netværk med 20 tusinde routere, hvilket kan sammenlignes med netværkene af Tier-1-operatører.

Et typisk Trinoo-netværk består af et sæt kompromitterede værter, der kører programmets dæmon. Der er også overvågningssoftware til at styre netværket og direkte DoS-angreb. Givet en liste over IP-adresser sender Trinoo-dæmonen UDP-pakker til målene på det angivne tidspunkt.

Under forsøget blev der brugt to klynger. MicroGrid-simulatoren kørte på en Xeon Linux-klynge med 16 noder (2.4GHz-servere med 1GB hukommelse pr. maskine) forbundet via en 1Gbps Ethernet-hub. Andre softwarekomponenter var placeret i en klynge af 24 noder (450MHz PII Linux-dele med 1 GB hukommelse pr. maskine) forbundet med en 100 Mbps Ethernet-hub. To klynger blev forbundet med en 1 Gbps kanal.

Proxy-netværket er hostet i en pulje på 1000 værter. Edge proxyer er jævnt fordelt i hele ressourcepuljen. Proxyer til at arbejde med applikationen er placeret på værter, der er tættere på dens infrastruktur. Resten af ​​fuldmagterne er jævnt fordelt mellem kantfuldmagterne og applikationsproxyerne.

Netværk til simulering

For at studere effektiviteten af ​​en proxy som et værktøj til at imødegå et DoS-angreb, målte forskerne applikationens produktivitet under forskellige scenarier med ydre påvirkninger. I alt var der 192 fuldmagter i proxy-netværket (64 af dem var grænseoverskridende). For at udføre angrebet blev der oprettet et Trinoo-netværk, inklusive 100 dæmoner. Hver af dæmonerne havde en 100 Mbps kanal. Det svarer til et botnet på 10 hjemmeroutere.

Virkningen af ​​et DoS-angreb på applikationen og proxy-netværket blev målt. I den eksperimentelle konfiguration havde applikationen en internetkanal på 250 Mbps, og hver grænseproxy havde 100 Mbps.

Eksperimentresultater

Ifølge resultaterne af analysen viste det sig, at et angreb på 250 Mbps øger applikationens responstid betydeligt (ca. ti gange), hvilket resulterer i, at det bliver umuligt at bruge det. Men når du bruger et proxy-netværk, har angrebet ikke en væsentlig indflydelse på ydeevnen og forringer ikke brugeroplevelsen. Dette skyldes, at edge-proxyer fortynder effekten af ​​angrebet, og proxynetværkets samlede ressourcer er højere end selve applikationen.

Ifølge statistikker, hvis angrebskraften ikke overstiger 6.0 Gbps (på trods af at den samlede båndbredde af grænseproxykanalerne kun er 6.4 Gbps), så oplever 95% af brugerne ikke en mærkbar forringelse af ydeevnen. På samme tid, i tilfælde af et meget kraftigt angreb på over 6.4 Gbps, ville selv brugen af ​​et proxy-netværk ikke tillade at undgå forringelse af serviceniveauet for slutbrugere.

I tilfælde af koncentrerede angreb, når deres magt er koncentreret om et tilfældigt sæt kantproxyer. I dette tilfælde tilstopper angrebet en del af proxy-netværket, så en betydelig del af brugerne vil bemærke et fald i ydeevnen.

Fund

Resultaterne af eksperimentet tyder på, at proxy-netværk kan forbedre ydeevnen af ​​TCP-applikationer og give brugerne et velkendt serviceniveau, selv i tilfælde af DoS-angreb. Ifølge de opnåede data er netværksproxyer en effektiv måde at minimere konsekvenserne af angreb, mere end 90% af brugerne under eksperimentet følte ikke et fald i kvaliteten af ​​tjenesten. Derudover fandt forskerne ud af, at når størrelsen af ​​proxy-netværket øges, stiger omfanget af DoS-angreb, som det kan tåle, næsten lineært. Derfor, jo større netværket er, jo mere effektivt vil det håndtere DoS.

Nyttige links og materialer fra Infatica:

• Forskning: Oprettelse af en blok-resistent proxy-tjeneste ved hjælp af spilteori
• Historien om kampen mod censur: hvordan flash proxy-metoden skabt af forskere fra MIT og Stanford fungerer
• Sådan forstår du, hvornår proxyer lyver: verifikation af fysiske placeringer af netværksproxyer ved hjælp af den aktive geolocation-algoritme
• Sådan forklæder du dig selv på internettet: sammenligne server- og boligproxyer

Kilde: www.habr.com