Ofbylding:
DoS-oanfallen binne ien fan 'e grutste bedrigingen foar ynformaasjefeiligens op it moderne ynternet. D'r binne tsientallen botnets dy't oanfallers ferhiere om sokke oanfallen út te fieren.
Wittenskippers fan 'e Universiteit fan San Diego de mjitte wêryn't it brûken fan proxy's helpt om it negative effekt fan DoS-oanfallen te ferminderjen - wy presintearje jo oandacht de wichtichste proefskriften fan dit wurk.
Yntroduksje: Proxy as in DoS Fighting Tool
Fergelykbere eksperiminten wurde periodyk útfierd troch ûndersikers út ferskate lannen, mar har mienskiplike probleem is it ûntbrekken fan middels om oanfallen te simulearjen dy't tichtby de realiteit binne. Tests op lytse banken litte gjin fragen beantwurdzje oer hoe suksesfol proxy's sille wjerstean tsjin in oanfal yn komplekse netwurken, hokker parameters spylje in wichtige rol yn 'e mooglikheid om skea te minimalisearjen, ensfh.
Foar it eksperimint makken de wittenskippers in model fan in typyske webapplikaasje - bygelyks in e-commerce tsjinst. It wurket mei help fan in kluster fan servers, brûkers wurde ferdield yn ferskate geografyske lokaasjes en brûke it ynternet om tagong te krijen ta de tsjinst. Yn dit model tsjinnet it ynternet as in middel fan kommunikaasje tusken de tsjinst en brûkers - dit is hoe't webtsjinsten wurkje fan sykmasines oant online banking-ark.
DoS-oanfallen meitsje normale ynteraksje tusken de tsjinst en brûkers ûnmooglik. D'r binne twa soarten DoS: oanfallen fan applikaasjelaach en oanfallen fan ynfrastruktuerlaach. Yn it lêste gefal falle oanfallers direkt it netwurk en de hosts oan wêrop de tsjinst rint (bygelyks oerstreame se de hiele netwurkbânbreedte mei oerstreamingsferkear). Yn it gefal fan in oanfal op applikaasjenivo is it doel fan 'e oanfaller de ynteraksje-ynterface fan brûkers - dêrfoar stjoere se in enoarm oantal oanfragen om de applikaasje te crashen. It beskreaune eksperimint gie om oanfallen op ynfrastruktuernivo.
Proxy-netwurken binne ien fan 'e ark om skea fan DoS-oanfallen te minimalisearjen. Yn it gefal fan it brûken fan in proxy wurde alle oanfragen fan 'e brûker nei de tsjinst en antwurden op har net direkt oerbrocht, mar fia tuskenlizzende servers. Sawol de brûker as de applikaasje "sjogge" elkoar net direkt, allinich proxyadressen binne foar har beskikber. As gefolch is it ûnmooglik om de applikaasje direkt oan te fallen. Oan de râne fan it netwurk steane saneamde edge proxies - eksterne proxys mei beskikbere IP-adressen, de ferbining giet earst nei harren.
Om in DoS-oanfal mei súkses te wjerstean, moat in proxynetwurk twa kaaimooglikheden hawwe. As earste, sa'n tuskenlizzende netwurk moat spylje de rol fan in tuskenpersoan, dat is, kinne jo "troch" ta de applikaasje allinne troch it. Dit sil de mooglikheid fan in direkte oanfal op 'e tsjinst eliminearje. Twadder moat it proxy-netwurk yn steat wêze kinne om brûkers noch te ynteraksje mei de applikaasje, sels tidens de oanfal.
Eksperimintearje ynfrastruktuer
De stúdzje brûkt fjouwer wichtige komponinten:
- ymplemintaasje fan in proxy netwurk;
- Apache webserver
- web test ark ;
- oanfal ark .
De simulaasje waard útfierd yn 'e MicroGrid-omjouwing - it kin brûkt wurde om netwurken te simulearjen mei 20 tûzen routers, wat te fergelykjen is mei de netwurken fan Tier-1-operators.
In typysk Trinoo-netwurk bestiet út in set kompromittearre hosts dy't de daemon fan it programma útfiere. D'r is ek tafersjochsoftware om it netwurk te kontrolearjen en DoS-oanfallen te direkte. Mei in list mei IP-adressen stjoert de Trinoo-daemon UDP-pakketten nei de doelen op 'e oantsjutte tiid.
Tidens it eksperimint waarden twa klusters brûkt. De MicroGrid-simulator rûn op in Xeon Linux-kluster fan 16 knooppunten (2.4GHz-tsjinners mei 1GB ûnthâld per masine) ferbûn fia in 1Gbps Ethernet-hub. Oare softwarekomponinten wiene te finen yn in kluster fan 24 knopen (450MHz PII Linux-cthdths mei 1 GB ûnthâld per masine) ferbûn troch in 100Mbps Ethernet-hub. Twa klusters waarden ferbûn troch in 1Gbps-kanaal.
It proxynetwurk wurdt host yn in pool fan 1000 hosts. Edge-proxy's wurde evenredich ferdield oer de boarnepool. Proxies foar wurkjen mei de applikaasje lizze op hosts dy't tichter by de ynfrastruktuer binne. De rest fan 'e proxy's binne lykwichtich ferdield tusken de râneproxy's en de applikaasjeproxy's.
Netwurk foar simulaasje
Om de effektiviteit fan in proxy te studearjen as ark om in DoS-oanfal tsjin te gean, mjitten de ûndersikers de produktiviteit fan 'e applikaasje ûnder ferskate senario's fan eksterne ynfloeden. Yn totaal wiene d'r 192 proxy's yn it proxynetwurk (64 dêrfan wiene grins). Om de oanfal út te fieren, waard in Trinoo-netwurk makke, ynklusyf 100 demoanen. Elk fan 'e daemons hie in 100Mbps-kanaal. Dit komt oerien mei in botnet fan 10 thúsrouters.
De ynfloed fan in DoS-oanfal op 'e applikaasje en it proxynetwurk waard mjitten. Yn 'e eksperimintele konfiguraasje hie de applikaasje in ynternetkanaal fan 250Mbps, en elke grinsproxy hie 100 Mbps.
Eksperimint resultaten
Neffens de resultaten fan 'e analyze die bliken dat in oanfal op 250Mbps de responstiid fan' e applikaasje signifikant fergruttet (sawat tsien kear), wêrtroch't it ûnmooglik wurdt om it te brûken. By it brûken fan in proxy-netwurk hat de oanfal lykwols gjin signifikante ynfloed op prestaasjes en degradearret de brûkersûnderfining net. Dit komt om't râneproxy's it effekt fan 'e oanfal ferwetterje, en de totale boarnen fan it proxynetwurk binne heger as dy fan 'e applikaasje sels.
Neffens statistiken, as de oanfalskrêft net mear as 6.0Gbps is (nettsjinsteande it feit dat de totale bânbreedte fan 'e grinsproxykanalen mar 6.4Gbps is), dan ûnderfine 95% fan brûkers gjin merkbere prestaasjesdegradaasje. Tagelyk, yn it gefal fan in heul krêftige oanfal fan mear as 6.4Gbps, soe sels it gebrûk fan in proxynetwurk net tastean om degradaasje fan it tsjinstnivo foar ein brûkers te foarkommen.
Yn it gefal fan konsintrearre oanfallen, doe't harren macht is konsintrearre op in willekeurige set fan râne proxy. Yn dit gefal ferstoppet de oanfal in diel fan it proxynetwurk, sadat in signifikant diel fan brûkers in drop yn prestaasjes sil fernimme.
befinings
De resultaten fan it eksperimint suggerearje dat proxy-netwurken de prestaasjes fan TCP-applikaasjes kinne ferbetterje en in fertroud nivo fan tsjinst leverje foar brûkers, sels yn it gefal fan DoS-oanfallen. Neffens de krigen gegevens binne netwurkproxy's in effektive manier om de gefolgen fan oanfallen te minimalisearjen, mear as 90% fan brûkers tidens it eksperimint fielde gjin fermindering fan 'e kwaliteit fan' e tsjinst. Dêrnjonken fûnen de ûndersikers dat as de grutte fan it proxynetwurk tanimt, de skaal fan DoS-oanfallen dy't it kin ferneare hast lineêr tanimt. Dêrom, hoe grutter it netwurk, hoe effektiver it sil omgean mei DoS.
Nuttige keppelings en materialen fan :
Boarne: www.habr.com