Imagen:
Los ataques DoS son una de las mayores amenazas para la seguridad de la información en la Internet moderna. Hay docenas de botnets que los atacantes alquilan para llevar a cabo este tipo de ataques.
Científicos de la Universidad de San Diego la medida en que el uso de proxies ayuda a reducir el efecto negativo de los ataques DoS: presentamos a su atención las tesis principales de este trabajo.
Introducción: Proxy como herramienta de lucha contra DoS
Experimentos similares son realizados periódicamente por investigadores de diferentes países, pero su problema común es la falta de recursos para simular ataques que se acerquen a la realidad. Las pruebas en bancos pequeños no permiten responder preguntas sobre qué tan bien los proxies resistirán un ataque en redes complejas, qué parámetros juegan un papel clave en la capacidad de minimizar el daño, etc.
Para el experimento, los científicos crearon un modelo de una aplicación web típica, por ejemplo, un servicio de comercio electrónico. Funciona con la ayuda de un clúster de servidores, los usuarios se distribuyen en diferentes ubicaciones geográficas y utilizan Internet para acceder al servicio. En este modelo, Internet sirve como medio de comunicación entre el servicio y los usuarios, así funcionan los servicios web desde los motores de búsqueda hasta las herramientas de banca en línea.
Los ataques DoS hacen imposible la interacción normal entre el servicio y los usuarios. Hay dos tipos de DoS: ataques a la capa de aplicación y ataques a la capa de infraestructura. En el último caso, los atacantes atacan directamente la red y los hosts en los que se ejecuta el servicio (por ejemplo, inundan todo el ancho de banda de la red con tráfico de inundación). En el caso de un ataque a nivel de aplicación, el objetivo del atacante es la interfaz de interacción del usuario; para esto, envía una gran cantidad de solicitudes para que la aplicación se bloquee. El experimento descrito se refería a ataques a nivel de infraestructura.
Las redes proxy son una de las herramientas para minimizar el daño de los ataques DoS. En el caso de utilizar un proxy, todas las solicitudes del usuario al servicio y las respuestas a las mismas no se transmiten directamente, sino a través de servidores intermedios. Tanto el usuario como la aplicación "no se ven" directamente, solo las direcciones proxy están disponibles para ellos. Como resultado, es imposible atacar la aplicación directamente. En el borde de la red hay los llamados proxies de borde: proxies externos con direcciones IP disponibles, la conexión se dirige primero a ellos.
Para resistir con éxito un ataque DoS, una red proxy debe tener dos capacidades clave. En primer lugar, dicha red intermedia debe desempeñar el papel de un intermediario, es decir, puede "pasar" a la aplicación solo a través de ella. Esto eliminará la posibilidad de un ataque directo al servicio. En segundo lugar, la red proxy debe permitir que los usuarios sigan interactuando con la aplicación, incluso durante el ataque.
Infraestructura experimental
El estudio utilizó cuatro componentes clave:
- implementación de una red proxy;
- servidor web apache
- herramienta de prueba web ;
- herramienta de ataque .
La simulación se llevó a cabo en el entorno MicroGrid: se puede usar para simular redes con 20 mil enrutadores, lo que es comparable a las redes de los operadores de nivel 1.
Una red típica de Trinoo consta de un conjunto de hosts comprometidos que ejecutan el demonio del programa. También hay un software de monitoreo para controlar la red y dirigir los ataques DoS. Dada una lista de direcciones IP, el demonio Trinoo envía paquetes UDP a los objetivos en el momento especificado.
Durante el experimento, se utilizaron dos grupos. El simulador MicroGrid se ejecutó en un clúster Xeon Linux de 16 nodos (servidores de 2.4 GHz con 1 GB de memoria por máquina) conectados a través de un concentrador Ethernet de 1 Gbps. Otros componentes de software se ubicaron en un grupo de 24 nodos (450 MHz PII Linux-cthdths con 1 GB de memoria por máquina) conectados por un concentrador Ethernet de 100 Mbps. Se conectaron dos clústeres por un canal de 1 Gbps.
La red proxy está alojada en un grupo de 1000 hosts. Los proxies perimetrales se distribuyen uniformemente en todo el grupo de recursos. Los proxies para trabajar con la aplicación se encuentran en hosts más cercanos a su infraestructura. El resto de los servidores proxy se distribuyen uniformemente entre los servidores proxy de borde y los servidores proxy de aplicación.
Red para simulación
Para estudiar la eficacia de un proxy como herramienta para contrarrestar un ataque DoS, los investigadores midieron la productividad de la aplicación en diferentes escenarios de influencias externas. En total, había 192 servidores proxy en la red de servidores proxy (64 de ellos eran fronterizos). Para llevar a cabo el ataque, se creó una red Trinoo, que incluía 100 demonios. Cada uno de los demonios tenía un canal de 100 Mbps. Esto corresponde a una botnet de 10 enrutadores domésticos.
Se midió el impacto de un ataque DoS en la aplicación y la red proxy. En la configuración experimental, la aplicación tenía un canal de Internet de 250 Mbps y cada proxy de borde tenía 100 Mbps.
Resultados del experimento
Según los resultados del análisis, resultó que un ataque a 250 Mbps aumenta significativamente el tiempo de respuesta de la aplicación (unas diez veces), por lo que se vuelve imposible utilizarla. Sin embargo, cuando se usa una red proxy, el ataque no tiene un impacto significativo en el rendimiento y no degrada la experiencia del usuario. Esto se debe a que los proxies de borde diluyen el efecto del ataque y los recursos totales de la red de proxy son más altos que los de la propia aplicación.
Según las estadísticas, si la potencia de ataque no supera los 6.0 Gbps (a pesar de que el ancho de banda total de los canales del proxy fronterizo es de solo 6.4 Gbps), el 95 % de los usuarios no experimentan una degradación notable del rendimiento. Al mismo tiempo, en el caso de un ataque muy potente que supere los 6.4 Gbps, incluso el uso de una red proxy no permitiría evitar la degradación del nivel de servicio para los usuarios finales.
En el caso de ataques concentrados, cuando su poder se concentra en un conjunto aleatorio de proxies de borde. En este caso, el ataque obstruye parte de la red proxy, por lo que una parte importante de los usuarios notará una caída en el rendimiento.
Hallazgos
Los resultados del experimento sugieren que las redes proxy pueden mejorar el rendimiento de las aplicaciones TCP y brindar un nivel familiar de servicio para los usuarios, incluso en caso de ataques DoS. Según los datos obtenidos, los proxies de red son una forma efectiva de minimizar las consecuencias de los ataques, más del 90% de los usuarios durante el experimento no sintieron una disminución en la calidad del servicio. Además, los investigadores descubrieron que a medida que aumenta el tamaño de la red proxy, la escala de los ataques DoS que puede soportar aumenta casi linealmente. Por lo tanto, cuanto más grande sea la red, con mayor eficacia se ocupará de DoS.
Enlaces y materiales útiles de :
Fuente: www.habr.com