Εικόνα:
Οι επιθέσεις DoS είναι μία από τις μεγαλύτερες απειλές για την ασφάλεια των πληροφοριών στο σύγχρονο Διαδίκτυο. Υπάρχουν δεκάδες botnet που νοικιάζουν οι εισβολείς για να πραγματοποιήσουν τέτοιες επιθέσεις.
Επιστήμονες από το Πανεπιστήμιο του Σαν Ντιέγκο ο βαθμός στον οποίο η χρήση διακομιστή μεσολάβησης συμβάλλει στη μείωση της αρνητικής επίδρασης των επιθέσεων DoS - παρουσιάζουμε στην προσοχή σας τις κύριες θέσεις αυτής της εργασίας.
Εισαγωγή: Ο διακομιστής μεσολάβησης ως εργαλείο μάχης DoS
Παρόμοια πειράματα πραγματοποιούνται περιοδικά από ερευνητές από διαφορετικές χώρες, αλλά το κοινό τους πρόβλημα είναι η έλλειψη πόρων για την προσομοίωση επιθέσεων που είναι κοντά στην πραγματικότητα. Οι δοκιμές σε μικρούς πάγκους δεν επιτρέπουν την απάντηση σε ερωτήσεις σχετικά με το πόσο επιτυχώς θα αντισταθούν οι πληρεξούσιοι σε μια επίθεση σε πολύπλοκα δίκτυα, ποιες παράμετροι παίζουν βασικό ρόλο στην ικανότητα ελαχιστοποίησης της ζημιάς κ.λπ.
Για το πείραμα, οι επιστήμονες δημιούργησαν ένα μοντέλο τυπικής διαδικτυακής εφαρμογής - για παράδειγμα, μια υπηρεσία ηλεκτρονικού εμπορίου. Λειτουργεί με τη βοήθεια ενός συμπλέγματος διακομιστών, οι χρήστες κατανέμονται σε διαφορετικές γεωγραφικές τοποθεσίες και χρησιμοποιούν το Διαδίκτυο για πρόσβαση στην υπηρεσία. Σε αυτό το μοντέλο, το Διαδίκτυο χρησιμεύει ως μέσο επικοινωνίας μεταξύ της υπηρεσίας και των χρηστών - έτσι λειτουργούν οι υπηρεσίες ιστού από τις μηχανές αναζήτησης έως τα εργαλεία ηλεκτρονικής τραπεζικής.
Οι επιθέσεις DoS καθιστούν αδύνατη την κανονική αλληλεπίδραση μεταξύ της υπηρεσίας και των χρηστών. Υπάρχουν δύο τύποι DoS: επιθέσεις επιπέδου εφαρμογής και επιθέσεις επιπέδου υποδομής. Στην τελευταία περίπτωση, οι εισβολείς επιτίθενται απευθείας στο δίκτυο και στους κεντρικούς υπολογιστές στους οποίους εκτελείται η υπηρεσία (για παράδειγμα, πλημμυρίζουν ολόκληρο το εύρος ζώνης του δικτύου με κίνηση πλημμύρας). Στην περίπτωση μιας επίθεσης σε επίπεδο εφαρμογής, ο στόχος του εισβολέα είναι η διεπαφή αλληλεπίδρασης με τον χρήστη - για αυτό στέλνουν έναν τεράστιο αριθμό αιτημάτων για να προκαλέσουν τη διακοπή λειτουργίας της εφαρμογής. Το περιγραφόμενο πείραμα αφορούσε επιθέσεις σε επίπεδο υποδομής.
Τα δίκτυα μεσολάβησης είναι ένα από τα εργαλεία για την ελαχιστοποίηση της ζημιάς από επιθέσεις DoS. Στην περίπτωση χρήσης διακομιστή μεσολάβησης, όλα τα αιτήματα του χρήστη προς την υπηρεσία και οι απαντήσεις σε αυτά δεν μεταδίδονται απευθείας, αλλά μέσω ενδιάμεσων διακομιστών. Τόσο ο χρήστης όσο και η εφαρμογή "δεν βλέπονται" άμεσα, μόνο οι διευθύνσεις διακομιστή μεσολάβησης είναι διαθέσιμες σε αυτούς. Ως αποτέλεσμα, είναι αδύνατο να επιτεθεί απευθείας στην εφαρμογή. Στην άκρη του δικτύου υπάρχουν τα λεγόμενα edge proxies - εξωτερικοί διακομιστής μεσολάβησης με διαθέσιμες διευθύνσεις IP, η σύνδεση πηγαίνει πρώτα σε αυτούς.
Για να αντισταθεί επιτυχώς σε μια επίθεση DoS, ένα δίκτυο μεσολάβησης πρέπει να έχει δύο βασικές δυνατότητες. Πρώτον, ένα τέτοιο ενδιάμεσο δίκτυο θα πρέπει να παίζει το ρόλο ενός διαμεσολαβητή, δηλαδή, μπορείτε να "περάσετε" στην εφαρμογή μόνο μέσω αυτής. Αυτό θα εξαλείψει την πιθανότητα άμεσης επίθεσης στην υπηρεσία. Δεύτερον, το δίκτυο μεσολάβησης πρέπει να μπορεί να επιτρέπει στους χρήστες να αλληλεπιδρούν ακόμα με την εφαρμογή, ακόμη και κατά τη διάρκεια της επίθεσης.
Πειραματική υποδομή
Η μελέτη χρησιμοποίησε τέσσερα βασικά στοιχεία:
- υλοποίηση ενός δικτύου μεσολάβησης·
- Διακομιστής ιστού Apache
- εργαλείο δοκιμών ιστού ;
- εργαλείο επίθεσης .
Η προσομοίωση πραγματοποιήθηκε στο περιβάλλον MicroGrid - μπορεί να χρησιμοποιηθεί για την προσομοίωση δικτύων με 20 χιλιάδες δρομολογητές, κάτι που είναι συγκρίσιμο με τα δίκτυα των χειριστών Tier-1.
Ένα τυπικό δίκτυο Trinoo αποτελείται από ένα σύνολο παραβιασμένων κεντρικών υπολογιστών που εκτελούν τον δαίμονα του προγράμματος. Υπάρχει επίσης λογισμικό παρακολούθησης για τον έλεγχο του δικτύου και την άμεση επιθέσεων DoS. Δεδομένης μιας λίστας διευθύνσεων IP, ο δαίμονας Trinoo στέλνει πακέτα UDP στους στόχους την καθορισμένη ώρα.
Κατά τη διάρκεια του πειράματος χρησιμοποιήθηκαν δύο ομάδες. Ο προσομοιωτής MicroGrid έτρεχε σε ένα σύμπλεγμα Xeon Linux 16 κόμβων (διακομιστές 2.4 GHz με 1 GB μνήμης ανά μηχανή) συνδεδεμένο μέσω ενός διανομέα Ethernet 1 Gbps. Άλλα στοιχεία λογισμικού εντοπίστηκαν σε ένα σύμπλεγμα 24 κόμβων (450MHz PII Linux-cthdths με 1 GB μνήμης ανά μηχάνημα) συνδεδεμένο με έναν διανομέα Ethernet 100Mbps. Δύο συμπλέγματα συνδέθηκαν με ένα κανάλι 1 Gbps.
Το δίκτυο μεσολάβησης φιλοξενείται σε μια ομάδα 1000 κεντρικών υπολογιστών. Οι διακομιστής μεσολάβησης άκρων κατανέμονται ομοιόμορφα σε όλο το σύνολο πόρων. Οι διακομιστής μεσολάβησης για εργασία με την εφαρμογή βρίσκονται σε κεντρικούς υπολογιστές που βρίσκονται πιο κοντά στην υποδομή της. Οι υπόλοιποι διακομιστής μεσολάβησης κατανέμονται ομοιόμορφα μεταξύ των διαμεσολαβητών άκρων και των διακομιστών μεσολάβησης της εφαρμογής.
Δίκτυο για προσομοίωση
Για να μελετήσουν την αποτελεσματικότητα ενός διακομιστή μεσολάβησης ως εργαλείου για την αντιμετώπιση μιας επίθεσης DoS, οι ερευνητές μέτρησαν την παραγωγικότητα της εφαρμογής κάτω από διαφορετικά σενάρια εξωτερικών επιρροών. Συνολικά, υπήρχαν 192 πληρεξούσιοι στο δίκτυο πληρεξουσίων (64 από αυτούς ήταν συνοριακοί). Για να πραγματοποιηθεί η επίθεση, δημιουργήθηκε ένα δίκτυο Trinoo, που περιλαμβάνει 100 δαίμονες. Κάθε ένας από τους δαίμονες είχε ένα κανάλι 100 Mbps. Αυτό αντιστοιχεί σε ένα botnet 10 οικιακών δρομολογητών.
Μετρήθηκε ο αντίκτυπος μιας επίθεσης DoS στην εφαρμογή και στο δίκτυο μεσολάβησης. Στην πειραματική διαμόρφωση, η εφαρμογή είχε ένα κανάλι Διαδικτύου 250 Mbps και κάθε διακομιστής μεσολάβησης περιγράμματος είχε 100 Mbps.
Αποτελέσματα πειράματος
Σύμφωνα με τα αποτελέσματα της ανάλυσης, αποδείχθηκε ότι μια επίθεση στα 250Mbps αυξάνει σημαντικά τον χρόνο απόκρισης της εφαρμογής (περίπου δέκα φορές), με αποτέλεσμα να καθίσταται αδύνατη η χρήση της. Ωστόσο, όταν χρησιμοποιείτε ένα δίκτυο μεσολάβησης, η επίθεση δεν έχει σημαντικό αντίκτυπο στην απόδοση και δεν υποβαθμίζει την εμπειρία του χρήστη. Αυτό οφείλεται στο γεγονός ότι οι διακομιστές μεσολάβησης άκρων μειώνουν το αποτέλεσμα της επίθεσης και οι συνολικοί πόροι του δικτύου μεσολάβησης είναι υψηλότεροι από εκείνους της ίδιας της εφαρμογής.
Σύμφωνα με στατιστικά στοιχεία, εάν η ισχύς επίθεσης δεν υπερβαίνει τα 6.0 Gbps (παρά το γεγονός ότι το συνολικό εύρος ζώνης των καναλιών μεσολάβησης συνόρων είναι μόνο 6.4 Gbps), τότε το 95% των χρηστών δεν αντιμετωπίζει αισθητή υποβάθμιση της απόδοσης. Ταυτόχρονα, σε περίπτωση πολύ ισχυρής επίθεσης άνω των 6.4 Gbps, ακόμη και η χρήση ενός δικτύου μεσολάβησης δεν θα επέτρεπε να αποφευχθεί η υποβάθμιση του επιπέδου εξυπηρέτησης για τους τελικούς χρήστες.
Στην περίπτωση των συγκεντρωμένων επιθέσεων, όταν η δύναμή τους συγκεντρώνεται σε ένα τυχαίο σύνολο διαμεσολαβητών άκρων. Σε αυτήν την περίπτωση, η επίθεση φράζει μέρος του δικτύου μεσολάβησης, οπότε ένα σημαντικό μέρος των χρηστών θα παρατηρήσει πτώση στην απόδοση.
Ευρήματα
Τα αποτελέσματα του πειράματος υποδηλώνουν ότι τα δίκτυα μεσολάβησης μπορούν να βελτιώσουν την απόδοση των εφαρμογών TCP και να παρέχουν ένα οικείο επίπεδο υπηρεσιών στους χρήστες, ακόμη και σε περίπτωση επιθέσεων DoS. Σύμφωνα με τα δεδομένα που ελήφθησαν, οι διακομιστής μεσολάβησης δικτύου είναι ένας αποτελεσματικός τρόπος για την ελαχιστοποίηση των συνεπειών των επιθέσεων, περισσότερο από το 90% των χρηστών κατά τη διάρκεια του πειράματος δεν αισθάνθηκαν μείωση στην ποιότητα της υπηρεσίας. Επιπλέον, οι ερευνητές διαπίστωσαν ότι καθώς το μέγεθος του δικτύου μεσολάβησης αυξάνεται, η κλίμακα των επιθέσεων DoS που μπορεί να αντέξει αυξάνεται σχεδόν γραμμικά. Επομένως, όσο μεγαλύτερο είναι το δίκτυο, τόσο πιο αποτελεσματικά θα αντιμετωπίσει το DoS.
Χρήσιμοι σύνδεσμοι και υλικά από :
Πηγή: www.habr.com