Image:
Les attaques DoS sont l'une des plus grandes menaces pour la sécurité de l'information sur l'Internet moderne. Il existe des dizaines de botnets que les attaquants louent pour mener de telles attaques.
Scientifiques de l'Université de San Diego la mesure dans laquelle l'utilisation de proxys contribue à réduire l'effet négatif des attaques DoS - nous présentons à votre attention les principales thèses de ce travail.
Introduction : Proxy comme outil de combat DoS
Des expériences similaires sont périodiquement menées par des chercheurs de différents pays, mais leur problème commun est le manque de ressources pour simuler des attaques proches de la réalité. Les tests sur de petits bancs ne permettent pas de répondre aux questions sur le succès des proxies à résister à une attaque dans les réseaux complexes, sur les paramètres qui jouent un rôle clé dans la capacité à minimiser les dommages, etc.
Pour l'expérience, les scientifiques ont créé un modèle d'application Web typique - par exemple, un service de commerce électronique. Il fonctionne à l'aide d'un cluster de serveurs, les utilisateurs sont répartis dans différentes zones géographiques et utilisent Internet pour accéder au service. Dans ce modèle, Internet sert de moyen de communication entre le service et les utilisateurs - c'est ainsi que fonctionnent les services Web, des moteurs de recherche aux outils bancaires en ligne.
Les attaques DoS rendent impossible une interaction normale entre le service et les utilisateurs. Il existe deux types de DoS : les attaques de la couche application et les attaques de la couche infrastructure. Dans ce dernier cas, les attaquants attaquent directement le réseau et les hôtes sur lesquels le service s'exécute (par exemple, ils inondent toute la bande passante du réseau avec du trafic inondé). Dans le cas d'une attaque au niveau de l'application, la cible de l'attaquant est l'interface d'interaction utilisateur - pour cela, ils envoient un grand nombre de requêtes afin de provoquer le blocage de l'application. L'expérience décrite concernait des attaques au niveau de l'infrastructure.
Les réseaux proxy sont l'un des outils permettant de minimiser les dommages causés par les attaques DoS. Dans le cas de l'utilisation d'un proxy, toutes les demandes de l'utilisateur au service et les réponses à celles-ci ne sont pas transmises directement, mais via des serveurs intermédiaires. L'utilisateur et l'application ne se "voient" pas directement, seules les adresses proxy leur sont accessibles. De ce fait, il est impossible d'attaquer directement l'application. À la périphérie du réseau, il y a des soi-disant proxies de périphérie - des proxies externes avec des adresses IP disponibles, la connexion va d'abord à eux.
Afin de résister avec succès à une attaque DoS, un réseau proxy doit avoir deux capacités clés. Premièrement, un tel réseau intermédiaire devrait jouer le rôle d'intermédiaire, c'est-à-dire que vous ne pouvez «accéder» à l'application que par son intermédiaire. Cela éliminera la possibilité d'une attaque directe sur le service. Deuxièmement, le réseau proxy doit pouvoir permettre aux utilisateurs de continuer à interagir avec l'application, même pendant l'attaque.
Infrastructure d'expérimentation
L'étude a utilisé quatre éléments clés :
- mise en place d'un réseau proxy ;
- Serveur Web Apache
- outil de test web ;
- outil d'attaque .
La simulation a été réalisée dans l'environnement MicroGrid - elle peut être utilisée pour simuler des réseaux avec 20 1 routeurs, ce qui est comparable aux réseaux des opérateurs de niveau XNUMX.
Un réseau Trinoo typique se compose d'un ensemble d'hôtes compromis exécutant le démon du programme. Il existe également un logiciel de surveillance pour contrôler le réseau et diriger les attaques DoS. Étant donné une liste d'adresses IP, le démon Trinoo envoie des paquets UDP aux cibles à l'heure spécifiée.
Au cours de l'expérience, deux clusters ont été utilisés. Le simulateur MicroGrid fonctionnait sur un cluster Xeon Linux de 16 nœuds (serveurs 2.4 GHz avec 1 Go de mémoire par machine) connectés via un hub Ethernet 1 Gbps. Les autres composants logiciels étaient situés dans un cluster de 24 nœuds (cthdths Linux PII 450 MHz avec 1 Go de mémoire par machine) connectés par un concentrateur Ethernet 100 Mbps. Deux clusters étaient connectés par un canal 1Gbps.
Le réseau proxy est hébergé dans un pool de 1000 hôtes. Les proxys Edge sont répartis uniformément dans le pool de ressources. Les proxys pour travailler avec l'application sont situés sur des hôtes plus proches de son infrastructure. Le reste des proxys est réparti de manière égale entre les proxys de périphérie et les proxys d'application.
Réseau de simulation
Pour étudier l'efficacité d'un proxy comme outil pour contrer une attaque DoS, les chercheurs ont mesuré la productivité de l'application sous différents scénarios d'influences externes. Au total, il y avait 192 proxys dans le réseau proxy (64 d'entre eux étaient frontaliers). Pour mener à bien l'attaque, un réseau Trinoo a été créé, comprenant 100 démons. Chacun des démons avait un canal de 100 Mbps. Cela correspond à un botnet de 10 XNUMX routeurs domestiques.
L'impact d'une attaque DoS sur l'application et le réseau proxy a été mesuré. Dans la configuration expérimentale, l'application disposait d'un canal Internet de 250 Mbps et chaque proxy frontalier disposait de 100 Mbps.
Résultats de l'expérience
Selon les résultats de l'analyse, il s'est avéré qu'une attaque sur 250 Mbps augmente considérablement le temps de réponse de l'application (une dizaine de fois), à la suite de quoi il devient impossible de l'utiliser. Cependant, lors de l'utilisation d'un réseau proxy, l'attaque n'a pas d'impact significatif sur les performances et ne dégrade pas l'expérience utilisateur. En effet, les proxys périphériques diluent l'effet de l'attaque et les ressources totales du réseau proxy sont supérieures à celles de l'application elle-même.
Selon les statistiques, si la puissance d'attaque ne dépasse pas 6.0 Gbps (malgré le fait que la bande passante totale des canaux proxy frontaliers n'est que de 6.4 Gbps), alors 95% des utilisateurs ne subissent pas de dégradation notable des performances. Dans le même temps, dans le cas d'une attaque très puissante dépassant 6.4 Gbps, même l'utilisation d'un réseau proxy ne permettrait pas d'éviter une dégradation du niveau de service pour les utilisateurs finaux.
Dans le cas d'attaques concentrées, lorsque leur puissance est concentrée sur un ensemble aléatoire de proxys de périphérie. Dans ce cas, l'attaque obstrue une partie du réseau proxy, de sorte qu'une partie importante des utilisateurs remarquera une baisse des performances.
résultats
Les résultats de l'expérience suggèrent que les réseaux proxy peuvent améliorer les performances des applications TCP et fournir un niveau de service familier aux utilisateurs, même en cas d'attaques DoS. Selon les données obtenues, les proxys réseau sont un moyen efficace pour minimiser les conséquences des attaques, plus de 90% des utilisateurs lors de l'expérimentation n'ont pas ressenti de baisse de la qualité du service. De plus, les chercheurs ont découvert qu'à mesure que la taille du réseau proxy augmente, l'ampleur des attaques DoS qu'il peut supporter augmente de manière presque linéaire. Par conséquent, plus le réseau est grand, plus il traitera efficacement le DoS.
Liens et documents utiles de :
Source : www.habr.com