Bild:
DoS-Angriffe sind eine der größten Bedrohungen für die Informationssicherheit im modernen Internet. Es gibt Dutzende Botnetze, die Angreifer für solche Angriffe mieten.
Wissenschaftler der University of San Diego Inwieweit der Einsatz von Proxys dazu beiträgt, die negativen Auswirkungen von DoS-Angriffen zu reduzieren – wir stellen Ihnen die Hauptthesen dieser Arbeit vor.
Einführung: Proxy als DoS-Kampftool
Ähnliche Experimente werden regelmäßig von Forschern aus verschiedenen Ländern durchgeführt, ihr gemeinsames Problem ist jedoch der Mangel an Ressourcen, um realitätsnahe Angriffe zu simulieren. Tests auf kleinen Prüfständen erlauben keine Beantwortung der Fragen, wie erfolgreich Proxys einem Angriff in komplexen Netzwerken widerstehen, welche Parameter eine Schlüsselrolle bei der Schadensminimierung spielen usw.
Für das Experiment erstellten die Wissenschaftler ein Modell einer typischen Webanwendung – beispielsweise eines E-Commerce-Dienstes. Es funktioniert mit Hilfe eines Serverclusters. Benutzer sind an verschiedenen geografischen Standorten verteilt und nutzen das Internet, um auf den Dienst zuzugreifen. In diesem Modell dient das Internet als Kommunikationsmittel zwischen Dienst und Nutzern – so funktionieren Webdienste von Suchmaschinen bis hin zu Online-Banking-Tools.
DoS-Angriffe machen eine normale Interaktion zwischen Dienst und Benutzern unmöglich. Es gibt zwei Arten von DoS: Angriffe auf Anwendungsebene und Angriffe auf Infrastrukturebene. Im letzteren Fall greifen Angreifer direkt das Netzwerk und die Hosts an, auf denen der Dienst ausgeführt wird (sie überfluten beispielsweise die gesamte Netzwerkbandbreite mit Flutverkehr). Bei einem Angriff auf Anwendungsebene ist das Ziel des Angreifers die Benutzerinteraktionsschnittstelle – hierfür sendet er eine große Anzahl von Anfragen, um die Anwendung zum Absturz zu bringen. Bei dem beschriebenen Experiment handelte es sich um Angriffe auf Infrastrukturebene.
Proxy-Netzwerke sind eines der Werkzeuge, um Schäden durch DoS-Angriffe zu minimieren. Bei der Verwendung eines Proxys werden alle Anfragen des Benutzers an den Dienst und Antworten darauf nicht direkt, sondern über zwischengeschaltete Server übermittelt. Sowohl der Benutzer als auch die Anwendung „sehen“ sich gegenseitig nicht direkt, es stehen ihnen nur Proxy-Adressen zur Verfügung. Dadurch ist ein direkter Angriff auf die Anwendung nicht möglich. Am Rand des Netzwerks gibt es sogenannte Edge-Proxys – externe Proxys mit verfügbaren IP-Adressen, zu denen die Verbindung zunächst geht.
Um einem DoS-Angriff erfolgreich widerstehen zu können, muss ein Proxy-Netzwerk über zwei Schlüsselfunktionen verfügen. Erstens sollte ein solches Zwischennetzwerk die Rolle eines Vermittlers spielen, das heißt, Sie können nur über dieses Netzwerk zur Anwendung „durchdringen“. Dadurch wird die Möglichkeit eines direkten Angriffs auf den Dienst ausgeschlossen. Zweitens muss das Proxy-Netzwerk es Benutzern ermöglichen, auch während des Angriffs weiterhin mit der Anwendung zu interagieren.
Experimentelle Infrastruktur
Die Studie verwendete vier Schlüsselkomponenten:
- Implementierung eines Proxy-Netzwerks;
- Apache-Webserver
- Web-Test-Tool ;
- Angriffswerkzeug .
Die Simulation wurde in der MicroGrid-Umgebung durchgeführt – damit können Netzwerke mit 20 Routern simuliert werden, was mit den Netzwerken von Tier-1-Betreibern vergleichbar ist.
Ein typisches Trinoo-Netzwerk besteht aus einer Reihe kompromittierter Hosts, auf denen der Daemon des Programms läuft. Darüber hinaus gibt es eine Überwachungssoftware zur Kontrolle des Netzwerks und zur Steuerung von DoS-Angriffen. Anhand einer Liste von IP-Adressen sendet der Trinoo-Daemon zum angegebenen Zeitpunkt UDP-Pakete an die Ziele.
Während des Experiments wurden zwei Cluster verwendet. Der MicroGrid-Simulator lief auf einem Xeon-Linux-Cluster mit 16 Knoten (2.4-GHz-Server mit 1 GB Speicher pro Maschine), die über einen 1-Gbit/s-Ethernet-Hub verbunden waren. Andere Softwarekomponenten befanden sich in einem Cluster aus 24 Knoten (450-MHz-PII-Linux-Prozessoren mit 1 GB Speicher pro Maschine), die über einen 100-Mbit/s-Ethernet-Hub verbunden waren. Zwei Cluster wurden über einen 1-Gbit/s-Kanal verbunden.
Das Proxy-Netzwerk wird in einem Pool von 1000 Hosts gehostet. Edge-Proxys sind gleichmäßig über den gesamten Ressourcenpool verteilt. Proxys für die Arbeit mit der Anwendung befinden sich auf Hosts, die näher an ihrer Infrastruktur liegen. Der Rest der Proxys ist gleichmäßig auf die Edge-Proxys und die Anwendungs-Proxys verteilt.
Netzwerk für Simulation
Um die Wirksamkeit eines Proxys als Mittel zur Abwehr eines DoS-Angriffs zu untersuchen, haben die Forscher die Produktivität der Anwendung unter verschiedenen Szenarien externer Einflüsse gemessen. Insgesamt gab es im Proxy-Netzwerk 192 Proxys (davon 64 Grenz-Proxys). Zur Durchführung des Angriffs wurde ein Trinoo-Netzwerk aufgebaut, dem 100 Dämonen angehörten. Jeder der Daemons verfügte über einen 100-Mbit/s-Kanal. Dies entspricht einem Botnetz von 10 Heimroutern.
Die Auswirkungen eines DoS-Angriffs auf die Anwendung und das Proxy-Netzwerk wurden gemessen. In der experimentellen Konfiguration verfügte die Anwendung über einen Internetkanal mit 250 Mbit/s und jeder Grenz-Proxy über 100 Mbit/s.
Versuchsergebnisse
Den Ergebnissen der Analyse zufolge stellte sich heraus, dass ein Angriff auf 250 Mbit/s die Reaktionszeit der Anwendung deutlich erhöht (etwa das Zehnfache), wodurch ihre Nutzung unmöglich wird. Bei Verwendung eines Proxy-Netzwerks hat der Angriff jedoch keine nennenswerten Auswirkungen auf die Leistung und beeinträchtigt das Benutzererlebnis nicht. Dies liegt daran, dass Edge-Proxys die Wirkung des Angriffs abschwächen und die Gesamtressourcen des Proxy-Netzwerks höher sind als die der Anwendung selbst.
Wenn die Angriffsleistung laut Statistik 6.0 Gbit/s nicht überschreitet (trotz der Tatsache, dass die Gesamtbandbreite der Grenz-Proxy-Kanäle nur 6.4 Gbit/s beträgt), erleben 95 % der Benutzer keinen spürbaren Leistungsabfall. Gleichzeitig würde selbst die Verwendung eines Proxy-Netzwerks bei einem sehr starken Angriff mit mehr als 6.4 Gbit/s eine Verschlechterung des Serviceniveaus für Endbenutzer nicht verhindern.
Bei konzentrierten Angriffen, wenn ihre Kraft auf eine zufällige Gruppe von Edge-Proxys konzentriert ist. In diesem Fall verstopft der Angriff einen Teil des Proxy-Netzwerks, sodass ein erheblicher Teil der Benutzer einen Leistungsabfall bemerken wird.
Befund
Die Ergebnisse des Experiments legen nahe, dass Proxy-Netzwerke die Leistung von TCP-Anwendungen verbessern und Benutzern auch im Falle von DoS-Angriffen ein gewohntes Serviceniveau bieten können. Den erhaltenen Daten zufolge sind Netzwerk-Proxys ein wirksames Mittel, um die Folgen von Angriffen zu minimieren. Mehr als 90 % der Benutzer verspürten während des Experiments keine Verschlechterung der Servicequalität. Darüber hinaus stellten die Forscher fest, dass mit zunehmender Größe des Proxy-Netzwerks das Ausmaß der DoS-Angriffe, denen es standhalten kann, nahezu linear zunimmt. Je größer das Netzwerk ist, desto effektiver kann es DoS bekämpfen.
Nützliche Links und Materialien von :
Quelle: www.habr.com