Pilt:
DoS-rünnakud on kaasaegse Interneti üks suurimaid ohte infoturbele. Seal on kümneid botnette, mida ründajad selliste rünnakute läbiviimiseks rendivad.
San Diego ülikooli teadlased viisid läbi Kuidas puhverserverite kasutamine aitab vähendada DoS rünnakute negatiivset mõju – tutvustame teie tähelepanu selle töö põhiteesid.
Sissejuhatus: puhverserver kui tööriist DoS-i vastu võitlemiseks
Sarnaseid katseid viivad perioodiliselt läbi erinevate riikide teadlased, kuid nende ühiseks probleemiks on ressursside nappus reaalsuslähedaste rünnakute simuleerimiseks. Väikestel katsestendidel tehtud testid ei võimalda vastata küsimustele, kui edukalt peavad puhverserverid vastu rünnakule keerulistes võrkudes, millised parameetrid mängivad kahjustuste minimeerimisel võtmerolli jne.
Eksperimendi jaoks lõid teadlased tüüpilise veebirakenduse mudeli - näiteks e-kaubanduse teenuse. See töötab serverite klastri abil; kasutajad on jaotatud erinevatesse geograafilistesse asukohtadesse ja kasutavad teenusele juurdepääsuks Internetti. Selles mudelis toimib Internet teenuse ja kasutajate vahelise suhtlusvahendina – nii töötavad veebiteenused otsingumootoritest internetipanga tööriistadeni.
DoS-rünnakud muudavad tavapärase suhtluse teenuse ja kasutajate vahel võimatuks. DoS-i on kahte tüüpi: rakenduse tasemel ja infrastruktuuri tasemel rünnakud. Viimasel juhul ründavad ründajad otse võrku ja hoste, millel teenus töötab (näiteks ummistavad nad kogu võrgu ribalaiuse üleujutusliiklusega). Rakenduse tasemel ründe puhul on ründaja sihtmärgiks kasutajaliides – selleks saadavad nad tohutul hulgal päringuid, et rakendus kokku jookseb. Kirjeldatud eksperiment puudutas rünnakuid infrastruktuuri tasemel.
Puhverserverivõrgud on üks tööriistu DoS-i rünnakutest tuleneva kahju minimeerimiseks. Puhverserveri kasutamisel edastatakse kõik kasutaja päringud teenusele ja vastused neile mitte otse, vaid vaheserverite kaudu. Nii kasutaja kui ka rakendus ei näe üksteist otse, neile on saadaval ainult puhverserveri aadressid. Selle tulemusena on võimatu rakendust otse rünnata. Võrgu servas on nn servapuhverserverid – saadaolevate IP-aadressidega välised puhverserverid, ühendus läheb kõigepealt nendega.
DoS-rünnakule edukaks vastu seistamiseks peab puhverserveri võrgul olema kaks peamist võimalust. Esiteks peab selline vahevõrk täitma vahendaja rolli, see tähendab, et rakendust saab ainult selle kaudu “jõuda”. See välistab teenuse otsese rünnaku võimaluse. Teiseks peab puhverserveri võrk võimaldama kasutajatel rakendusega suhelda isegi rünnaku ajal.
Eksperimentide infrastruktuur
Uuringus kasutati nelja põhikomponenti:
- puhverserveri võrgu rakendamine;
- Apache veebiserver;
- veebi testimise tööriist ;
- rünnaku tööriist .
Simulatsioon viidi läbi MicroGrid keskkonnas – selle abil saab simuleerida võrke 20 tuhande ruuteriga, mis on võrreldav Tier-1 operaatorite võrkudega.
Tüüpiline Trinoo võrk koosneb ohustatud hostide komplektist, mis käitavad programmideemonit. Samuti on olemas seiretarkvara võrgu jälgimiseks ja DoS-rünnakute suunamiseks. Pärast IP-aadresside loendi saamist saadab Trinoo deemon UDP-paketid sihtmärkidele kindlaksmääratud aegadel.
Katse käigus kasutati kahte klastrit. MicroGridi simulaator töötas 16-sõlmelises Xeon Linuxi klastris (2.4 GHz serverid 1 gigabaidise mäluga igas masinas), mis oli ühendatud 1 Gbps Etherneti jaoturi kaudu. Teised tarkvarakomponendid asusid 24 sõlme (450 MHz PII Linuxi cthdths koos 1 GB mäluga igas masinas) klastris, mis olid ühendatud 100 Mbps Etherneti jaoturiga. Kaks klastrit olid ühendatud 1 Gbps kanaliga.
Puhverserveri võrku majutatakse 1000 hostist koosnevas kogumis. Edge puhverserverid on ressursikogus ühtlaselt jaotatud. Rakendusega töötamiseks mõeldud puhverserverid asuvad hostides, mis on selle infrastruktuurile lähemal. Ülejäänud puhverserverid on ühtlaselt jaotatud serva- ja rakenduse puhverserverite vahel.
Simulatsioonivõrk
Puhverserveri kui DoS-rünnaku vastu võitlemise vahendi tõhususe uurimiseks mõõtsid teadlased rakenduse tootlikkust erinevate välismõjude stsenaariumide korral. Puhverserveri võrgus oli kokku 192 puhverserverit (neist 64 serva). Rünnaku läbiviimiseks loodi Trinoo võrk, sealhulgas 100 deemonit. Igal deemonil oli 100 Mbps kanal. See vastab 10 tuhande koduruuteri robotivõrgule.
Mõõdeti DoS-rünnaku mõju rakendusele ja puhverserveri võrgule. Eksperimentaalses konfiguratsioonis oli rakenduse Interneti-kanali kiirus 250 Mbps ja iga serva puhverserveri kanal oli 100 Mbps.
Katse tulemused
Analüüsi tulemuste põhjal selgus, et rünnak kiirusel 250Mbps suurendab oluliselt rakenduse reageerimisaega (umbes kümme korda), mille tulemusena muutub selle kasutamine võimatuks. Samas ei mõjuta rünnak puhverserverit kasutades oluliselt jõudlust ega halvenda kasutajakogemust. See juhtub seetõttu, et servapuhverserverid lahjendavad rünnaku mõju ja puhverserveri võrgu koguressursid on suuremad kui rakenduse enda omad.
Kui ründevõimsus ei ületa statistika kohaselt 6.0 Gbps (hoolimata sellest, et servapuhverkanalite kogu läbilaskevõime on vaid 6.4 Gbps), siis 95% kasutajatest ei koge märgatavat jõudluse langust. Veelgi enam, väga võimsa rünnaku korral, mis ületab 6.4 Gbps, ei väldiks isegi puhverserveri võrgu kasutamine lõppkasutajate teenusetaseme halvenemist.
Kontsentreeritud rünnakute korral, kui nende jõud on koondunud juhuslikule servapuhverserveri komplektile. Sel juhul ummistab rünnak osa puhverserveri võrgust, nii et märkimisväärne osa kasutajatest märkab jõudluse langust.
Järeldused
Eksperimendi tulemused viitavad sellele, et puhverservervõrgud võivad parandada TCP-rakenduste jõudlust ja pakkuda kasutajatele tavapärasel tasemel teenust isegi DoS-i rünnakute korral. Saadud andmetel osutusid puhverserverivõrgud tõhusaks viisiks rünnete tagajärgede minimeerimiseks, enam kui 90% kasutajatest ei kogenud katse ajal teenuse kvaliteedi langust. Lisaks leidsid teadlased, et kui puhverserveri võrgu suurus suureneb, suureneb DoS-i rünnakute ulatus, mida see talub, peaaegu lineaarselt. Seega, mida suurem on võrk, seda tõhusamalt võitleb see DoS-iga.
Kasulikud lingid ja materjalid aadressilt :
Allikas: www.habr.com