Bildon:
DoS-atakoj estas unu el la plej grandaj minacoj al informa sekureco en la moderna Interreto. Estas dekoj da botnetoj, kiujn atakantoj luis por fari tiajn atakojn.
Sciencistoj de la Universitato de San-Diego faris Kiel la uzo de prokuriloj helpas redukti la negativan efikon de DoS-atakoj - ni prezentas al via atento la ĉefajn tezojn de ĉi tiu verko.
Enkonduko: prokurilo kiel ilo por batali DoS
Similaj eksperimentoj estas periode faritaj de esploristoj el diversaj landoj, sed ilia komuna problemo estas la manko de rimedoj por simuli atakojn proksimajn al la realo. Testoj sur malgrandaj testbenkoj ne permesas respondi demandojn pri kiom sukcese prokuriloj rezistos atakon en kompleksaj retoj, kiaj parametroj ludas ŝlosilan rolon en la kapablo minimumigi damaĝon, ktp.
Por la eksperimento, sciencistoj kreis modelon de tipa TTT-apliko - ekzemple, e-komerca servo. Ĝi funkcias uzante aron da serviloj; uzantoj estas distribuitaj tra malsamaj geografiaj lokoj kaj uzas la Interreton por aliri la servon. En ĉi tiu modelo, Interreto funkcias kiel rimedo de komunikado inter la servo kaj uzantoj - tiel funkcias retservoj de serĉiloj ĝis interretaj bankaj iloj.
DoS-atakoj faras normalan interagadon inter la servo kaj uzantoj neebla. Estas du specoj de DoS: aplikaĵ-nivelaj kaj infrastruktur-nivelaj atakoj. En ĉi-lasta kazo, atakantoj rekte atakas la reton kaj la gastigantojn, sur kiuj funkcias la servo (ekzemple ili ŝtopas la tutan retan bendolarĝon per inundo trafiko). En la kazo de aplikaĵ-nivela atako, la celo de la atakanto estas la uzantinterfaco - por fari tion, ili sendas grandegan nombron da petoj por kaŭzi kraŝon de la aplikaĵo. La eksperimento priskribis koncernajn atakojn sur la infrastruktura nivelo.
Prokuraj retoj estas unu el la iloj por minimumigi damaĝon de DoS-atakoj. Kiam vi uzas prokurilon, ĉiuj petoj de la uzanto al la servo kaj respondoj al ili estas transdonitaj ne rekte, sed per interaj serviloj. Kaj la uzanto kaj la aplikaĵo ne "vidas" unu la alian rekte; nur prokuradresoj estas disponeblaj por ili. Kiel rezulto, estas neeble ataki la aplikaĵon rekte. Ĉe la rando de la reto estas tiel nomataj randaj prokuriloj - eksteraj prokuriloj kun disponeblaj IP-adresoj, la konekto iras al ili unue.
Por sukcese rezisti al DoS-atako, prokura reto devas havi du ŝlosilajn kapablojn. Unue, tia meza reto devas ludi la rolon de peranto, tio estas, la aplikaĵo nur povas esti "atingita" per ĝi. Ĉi tio forigos la eblecon de rekta atako al la servo. Due, la prokura reto devas povi permesi uzantojn ankoraŭ interagi kun la aplikaĵo eĉ dum atako.
Eksperimenta infrastrukturo
La studo uzis kvar ŝlosilajn komponentojn:
- efektivigo de prokura reto;
- Apache retservilo;
- TTT-testilo ;
- atakilo .
La simulado estis farita en la medio MicroGrid - ĝi povas esti uzata por simuli retojn kun 20 mil enkursigiloj, kio estas komparebla al la retoj de Tier-1-funkciigistoj.
Tipa Trinoo-reto konsistas el aro de kompromititaj gastigantoj kurantaj programdemonon. Ekzistas ankaŭ monitora programaro por monitori la reton kaj direkti DoS-atakojn. Post ricevado de listo de IP-adresoj, la Trinoo-demono sendas UDP-pakaĵojn al celoj en difinitaj tempoj.
Dum la eksperimento, du aretoj estis uzitaj. La MicroGrid-simulilo funkciis per 16-noda Xeon Linux-areto (2.4GHz-serviloj kun 1 gigabajto da memoro sur ĉiu maŝino) konektita per 1 Gbps Ethernet-nabo. Aliaj softvarkomponentoj situis en areto de 24 nodoj (450MHz PII Linux-cthdths kun 1 Gb da memoro sur ĉiu maŝino), ligitaj per 100Mbps Ethernet-nabo. Du aretoj estis konektitaj per 1Gbps-kanalo.
La prokura reto estas gastigita en aro de 1000 gastigantoj. Randaj prokuriloj estas egale distribuitaj tra la rimeda aro. Prokuriloj por labori kun la aplikaĵo situas sur gastigantoj, kiuj estas pli proksimaj al ĝia infrastrukturo. La ceteraj prokuriloj estas egale distribuitaj inter randaj kaj aplikaĵaj prokuriloj.
Simula reto
Por studi la efikecon de prokurilo kiel ilo por kontraŭstari DoS-atakon, esploristoj mezuris la produktivecon de la aplikaĵo sub malsamaj scenaroj de eksteraj influoj. Estis entute 192 prokuriloj en la prokura reto (64 el ili rando). Por efektivigi la atakon, la reto Trinoo estis kreita, inkluzive de 100 demonoj. Ĉiu el la demonoj havis 100Mbps-kanalon. Ĉi tio respondas al botneto de 10 mil hejmaj enkursigiloj.
La efiko de DoS-atako sur la aplikaĵo kaj la prokura reto estis mezurita. En la eksperimenta agordo, la aplikaĵo havis interretan kanalon de 250 Mbps, kaj ĉiu rando prokurilo havis kanalon de 100 Mbps.
Eksperimentaj rezultoj
Surbaze de la rezultoj de la analizo, montriĝis, ke atako je 250Mbps signife pliigas la respondan tempon de la aplikaĵo (ĉirkaŭ dek fojojn), rezulte de tio fariĝas neeble uzi ĝin. Tamen, kiam vi uzas prokuran reton, la atako ne havas signifan efikon al agado kaj ne degradas la sperton de uzanto. Ĉi tio okazas ĉar randaj prokuriloj diluas la efikon de la atako, kaj la totalaj rimedoj de la prokura reto estas pli altaj ol tiuj de la aplikaĵo mem.
Laŭ statistiko, se la atakpotenco ne superas 6.0Gbps (malgraŭ la totala trafluo de randaj prokurkanaloj estas nur 6.4Gbps), tiam 95% de uzantoj ne spertas rimarkindan malkreskon de rendimento. Krome, en la kazo de tre potenca atako superanta 6.4Gbps, eĉ la uzo de prokura reto ne evitus degeneron de la servonivelo por finaj uzantoj.
En la kazo de koncentritaj atakoj, kiam ilia potenco koncentriĝas sur hazarda aro de randaj prokuriloj. En ĉi tiu kazo, la atako ŝtopas parton de la prokura reto, do grava parto de uzantoj rimarkos malpliiĝon de rendimento.
trovoj
La rezultoj de la eksperimento sugestas, ke prokuraj retoj povas plibonigi la agadon de TCP-aplikoj kaj disponigi la kutiman servonivelon al uzantoj, eĉ en la okazo de DoS-atakoj. Laŭ la akiritaj datumoj, prokuraj retoj rezultas esti efika maniero por minimumigi la konsekvencojn de atakoj; pli ol 90% de uzantoj ne spertis malpliiĝon de la kvalito de la servo dum la eksperimento. Krome, la esploristoj trovis, ke kiam la grandeco de prokura reto pliiĝas, la skalo de DoS-atakoj, kiujn ĝi povas elteni, pliiĝas preskaŭ linie. Tial, ju pli granda estas la reto, des pli efike ĝi batalos DoS.
Utilaj ligiloj kaj materialoj de :
Fonto: www.habr.com