Kuva:
DoS-hyökkäykset ovat yksi suurimmista uhista nykyaikaisen Internetin tietoturvalle. Hyökkääjät vuokraavat kymmeniä bottiverkkoja tehdäkseen tällaisia hyökkäyksiä.
San Diegon yliopiston tutkijat missä määrin välityspalvelinten käyttö auttaa vähentämään DoS-hyökkäysten negatiivista vaikutusta - esittelemme tämän työn pääteemat.
Johdanto: Välityspalvelin DoS-torjuntatyökaluna
Samanlaisia kokeita tekevät ajoittain tutkijat eri maista, mutta heidän yhteinen ongelmansa on resurssien puute simuloida todellisuutta lähellä olevia hyökkäyksiä. Testit pienillä penkeillä eivät anna vastausta kysymyksiin siitä, kuinka onnistuneesti välityspalvelimet vastustavat hyökkäystä monimutkaisissa verkoissa, mitkä parametrit ovat avainasemassa mahdollisessa vahingon minimoimisessa jne.
Kokeilua varten tutkijat loivat mallin tyypillisestä verkkosovelluksesta - esimerkiksi verkkokauppapalvelusta. Se toimii palvelimien klusterin avulla, käyttäjät ovat jakautuneet eri maantieteellisiin paikkoihin ja käyttävät Internetiä päästäkseen palveluun. Tässä mallissa Internet toimii viestintävälineenä palvelun ja käyttäjien välillä – näin verkkopalvelut toimivat hakukoneista verkkopankkityökaluihin.
DoS-hyökkäykset tekevät normaalin vuorovaikutuksen palvelun ja käyttäjien välillä mahdottomaksi. DoS-palveluja on kahdenlaisia: sovelluskerroksen hyökkäykset ja infrastruktuurikerroksen hyökkäykset. Jälkimmäisessä tapauksessa hyökkääjät hyökkäävät suoraan verkkoa ja isäntiä vastaan, joissa palvelu on käynnissä (he esimerkiksi täyttävät koko verkon kaistanleveyden tulvimalla liikenteellä). Sovellustason hyökkäyksen tapauksessa hyökkääjän kohteena on käyttöliittymä - tätä varten he lähettävät valtavan määrän pyyntöjä saadakseen sovelluksen kaatumaan. Kuvattu kokeilu koski infrastruktuuritason hyökkäyksiä.
Välityspalvelimet ovat yksi työkaluista DoS-hyökkäysten aiheuttamien vahinkojen minimoimiseksi. Välityspalvelinta käytettäessä kaikkia käyttäjän palveluun tulleita pyyntöjä ja vastauksia niihin ei välitetä suoraan, vaan välipalvelimien kautta. Sekä käyttäjä että sovellus "eivät näe" toisiaan suoraan, vain välityspalvelinosoitteet ovat heidän käytettävissään. Tämän seurauksena on mahdotonta hyökätä suoraan sovellukseen. Verkon reunalla on ns. reunavälityspalvelimet - ulkoiset välityspalvelimet, joilla on käytettävissä IP-osoitteet, yhteys menee ensin niihin.
Jotta välityspalvelinverkko voi vastustaa DoS-hyökkäystä onnistuneesti, sillä on oltava kaksi keskeistä ominaisuutta. Ensinnäkin tällaisen väliverkon tulisi toimia välittäjänä, eli voit "päästä" sovellukseen vain sen kautta. Tämä eliminoi suoran hyökkäyksen palvelua vastaan. Toiseksi välityspalvelinverkon on voitava antaa käyttäjille mahdollisuus olla vuorovaikutuksessa sovelluksen kanssa jopa hyökkäyksen aikana.
Kokeiluinfrastruktuuri
Tutkimuksessa käytettiin neljää avainkomponenttia:
- välityspalvelinverkon toteuttaminen;
- Apache-verkkopalvelin
- verkkotestaustyökalu ;
- hyökkäystyökalu .
Simulaatio suoritettiin MicroGrid-ympäristössä - sillä voidaan simuloida verkkoja 20 tuhannella reitittimellä, mikä on verrattavissa Tier-1-operaattoreiden verkkoihin.
Tyypillinen Trinoo-verkko koostuu joukosta vaarantuneita isäntiä, jotka käyttävät ohjelman demonia. Siellä on myös valvontaohjelmisto verkon hallintaan ja DoS-hyökkäyksien ohjaamiseen. IP-osoitteiden luettelon perusteella Trinoo-daemon lähettää UDP-paketit kohteille määritettynä aikana.
Kokeen aikana käytettiin kahta klusteria. MicroGrid-simulaattori toimi Xeon Linux -klusterissa, jossa oli 16 solmua (2.4 GHz:n palvelimet, joissa on 1 Gt muistia konetta kohti), jotka oli yhdistetty 1 Gbps Ethernet-keskittimen kautta. Muut ohjelmistokomponentit sijaitsivat 24 solmun klusterissa (450 MHz PII Linux-cthdths ja 1 Gt muistia konetta kohti), jotka oli yhdistetty 100 Mbps Ethernet-keskittimellä. Kaksi klusteria yhdistettiin 1 Gbps kanavalla.
Välityspalvelinverkkoa isännöidään 1000 isännän poolissa. Edge-välityspalvelimet on jaettu tasaisesti koko resurssivalikoimaan. Välityspalvelimet sovelluksen kanssa työskentelemiseen sijaitsevat isännissä, jotka ovat lähempänä sen infrastruktuuria. Loput välityspalvelimet jakautuvat tasaisesti reunavälityspalvelinten ja sovellusvälityspalvelinten kesken.
Verkko simulointiin
Tutkiakseen välityspalvelimen tehokkuutta DoS-hyökkäyksen torjuntaan, tutkijat mittasivat sovelluksen tuottavuutta erilaisten ulkoisten vaikutusten skenaarioissa. Kaikkiaan proxy-verkossa oli 192 välityspalvelinta (joista 64 oli rajapyykkiä). Hyökkäyksen toteuttamiseksi luotiin Trinoo-verkko, jossa oli 100 demonia. Jokaisella demonilla oli 100 Mbps kanava. Tämä vastaa 10 XNUMX kotireitittimen bottiverkkoa.
DoS-hyökkäyksen vaikutus sovellukseen ja välityspalvelinverkkoon mitattiin. Kokeellisessa konfiguraatiossa sovelluksen Internet-kanava oli 250 Mbps ja jokaisella rajavälityspalvelimella 100 Mbps.
Kokeilutulokset
Analyysin tulosten mukaan kävi ilmi, että 250 Mbps:n hyökkäys lisää merkittävästi sovelluksen vasteaikaa (noin kymmenen kertaa), minkä seurauksena sen käyttö on mahdotonta. Välityspalvelinverkkoa käytettäessä hyökkäys ei kuitenkaan vaikuta merkittävästi suorituskykyyn eikä heikennä käyttökokemusta. Tämä johtuu siitä, että reunavälityspalvelimet laimentavat hyökkäyksen vaikutusta ja välityspalvelinverkon kokonaisresurssit ovat korkeammat kuin itse sovelluksen.
Tilastojen mukaan, jos hyökkäysteho ei ylitä 6.0 Gbps (huolimatta siitä, että rajavälityspalvelinkanavien kokonaiskaistanleveys on vain 6.4 Gbps), 95% käyttäjistä ei koe havaittavaa suorituskyvyn heikkenemistä. Samanaikaisesti erittäin voimakkaan, yli 6.4 Gbps:n hyökkäyksen tapauksessa edes välityspalvelimen käyttö ei mahdollistaisi loppukäyttäjien palvelutason heikkenemisen välttämistä.
Keskitettyjen hyökkäysten tapauksessa, kun niiden voima on keskittynyt satunnaiseen joukkoon reunavälityspalvelimia. Tässä tapauksessa hyökkäys tukkii osan välityspalvelinverkosta, joten huomattava osa käyttäjistä huomaa suorituskyvyn heikkenemisen.
Tulokset
Kokeen tulokset viittaavat siihen, että välityspalvelinverkot voivat parantaa TCP-sovellusten suorituskykyä ja tarjota käyttäjille tutun palvelutason myös DoS-hyökkäysten yhteydessä. Saatujen tietojen mukaan verkkovälityspalvelimet ovat tehokas tapa minimoida hyökkäysten seurauksia, yli 90 % käyttäjistä ei kokeen aikana kokenut palvelun laadun heikkenemistä. Lisäksi tutkijat havaitsivat, että välityspalvelinverkon koon kasvaessa sen kestämien DoS-hyökkäysten laajuus kasvaa lähes lineaarisesti. Siksi mitä suurempi verkko, sitä tehokkaammin se käsittelee DoS:ää.
Hyödyllisiä linkkejä ja materiaaleja osoitteesta :
Lähde: www.habr.com