Imaxe:
Os ataques DoS son unha das maiores ameazas para a seguridade da información na Internet moderna. Hai decenas de botnets que os atacantes alugan para realizar este tipo de ataques.
Científicos da Universidade de San Diego realizaron Como o uso de proxies axuda a reducir o efecto negativo dos ataques DoS - presentamos á súa atención as teses principais deste traballo.
Introdución: o proxy como ferramenta para combater o DoS
Experimentos similares son realizados periódicamente por investigadores de diferentes países, pero o seu problema común é a falta de recursos para simular ataques próximos á realidade. As probas en pequenos bancos de probas non permiten responder preguntas sobre o éxito que resistirán os proxis a un ataque en redes complexas, que parámetros xogan un papel fundamental na capacidade de minimizar os danos, etc.
Para o experimento, os científicos crearon un modelo dunha aplicación web típica, por exemplo, un servizo de comercio electrónico. Funciona mediante un clúster de servidores; os usuarios distribúense en diferentes localizacións xeográficas e utilizan Internet para acceder ao servizo. Neste modelo, Internet serve como medio de comunicación entre o servizo e os usuarios; así funcionan os servizos web desde os buscadores ata as ferramentas de banca en liña.
Os ataques DoS fan imposible a interacción normal entre o servizo e os usuarios. Existen dous tipos de DoS: ataques a nivel de aplicación e de infraestrutura. Neste último caso, os atacantes atacan directamente a rede e os hosts nos que se executa o servizo (por exemplo, obstruyen todo o ancho de banda da rede con tráfico de inundación). No caso dun ataque a nivel de aplicación, o obxectivo do atacante é a interface de usuario; para iso, envían unha gran cantidade de solicitudes para que a aplicación se bloquee. O experimento descrito tratou de ataques a nivel de infraestrutura.
As redes proxy son unha das ferramentas para minimizar os danos dos ataques DoS. Cando se utiliza un proxy, todas as solicitudes do usuario ao servizo e as respostas a elas transmítense non directamente, senón a través de servidores intermedios. Tanto o usuario como a aplicación non se "ve" directamente; só os enderezos proxy están dispoñibles para eles. Como resultado, é imposible atacar a aplicación directamente. No bordo da rede hai os chamados proxies de borde: proxies externos con enderezos IP dispoñibles, a conexión vai a eles primeiro.
Para resistir con éxito un ataque DoS, unha rede proxy debe ter dúas capacidades clave. En primeiro lugar, esa rede intermedia debe desempeñar o papel de intermediario, é dicir, só se pode "acceder" á aplicación a través dela. Isto eliminará a posibilidade dun ataque directo ao servizo. En segundo lugar, a rede proxy debe poder permitir que os usuarios sigan interactuando coa aplicación mesmo durante un ataque.
Infraestrutura de experimentación
O estudo utilizou catro compoñentes fundamentais:
- implantación dunha rede proxy;
- servidor web Apache;
- ferramenta de proba web ;
- ferramenta de ataque .
A simulación realizouse no ambiente MicroGrid: pódese usar para simular redes con 20 mil enrutadores, o que é comparable ás redes dos operadores de nivel 1.
Unha rede Trinoo típica consiste nun conxunto de hosts comprometidos que executan un daemon do programa. Tamén hai un software de seguimento para supervisar a rede e dirixir ataques DoS. Despois de recibir unha lista de enderezos IP, o daemon Trinoo envía paquetes UDP aos destinos en momentos especificados.
Durante o experimento utilizáronse dous clusters. O simulador MicroGrid funcionou nun clúster Xeon Linux de 16 nodos (servidores de 2.4 GHz con 1 gigabyte de memoria en cada máquina) conectado a través dun concentrador Ethernet de 1 Gbps. Outros compoñentes de software localizáronse nun clúster de 24 nodos (450MHz PII Linux-cthdths con 1 GB de memoria en cada máquina), conectados por un concentrador Ethernet de 100Mbps. Dous clústeres estaban conectados por unha canle de 1 Gbps.
A rede proxy está aloxada nun grupo de 1000 hosts. Os proxies Edge distribúense uniformemente por todo o conxunto de recursos. Os proxys para traballar coa aplicación sitúanse en hosts máis próximos á súa infraestrutura. Os proxies restantes distribúense uniformemente entre os proxies de borde e de aplicación.
Rede de simulación
Para estudar a eficacia dun proxy como ferramenta para contrarrestar un ataque DoS, os investigadores mediron a produtividade da aplicación baixo diferentes escenarios de influencias externas. Había un total de 192 proxies na rede de proxy (64 deles borde). Para levar a cabo o ataque, creouse a rede Trinoo, incluíndo 100 demos. Cada un dos demos tiña unha canle de 100 Mbps. Isto corresponde a unha botnet de 10 mil enrutadores domésticos.
Mediuse o impacto dun ataque DoS na aplicación e na rede proxy. Na configuración experimental, a aplicación tiña unha canle de Internet de 250 Mbps e cada proxy de borde tiña unha canle de 100 Mbps.
Resultados do experimento
Segundo os resultados da análise, resultou que un ataque a 250Mbps aumenta significativamente o tempo de resposta da aplicación (unhas dez veces), polo que se fai imposible usala. Non obstante, ao usar unha rede proxy, o ataque non ten un impacto significativo no rendemento e non degrada a experiencia do usuario. Isto ocorre porque os proxies de borde dilúen o efecto do ataque e os recursos totais da rede proxy son superiores aos da propia aplicación.
Segundo as estatísticas, se a potencia de ataque non supera os 6.0 Gbps (a pesar de que o rendemento total das canles proxy de borde é só de 6.4 Gbps), entón o 95% dos usuarios non experimenta unha diminución notable do rendemento. Ademais, no caso dun ataque moi potente que supere os 6.4 Gbps, nin sequera o uso dunha rede proxy evitaría a degradación do nivel de servizo para os usuarios finais.
No caso de ataques concentrados, cando o seu poder se concentra nun conxunto aleatorio de proxies de borde. Neste caso, o ataque atasca parte da rede proxy, polo que unha parte importante dos usuarios notará unha caída no rendemento.
Descubrimentos
Os resultados do experimento suxiren que as redes proxy poden mellorar o rendemento das aplicacións TCP e proporcionar o nivel de servizo habitual aos usuarios, mesmo en caso de ataques DoS. Segundo os datos obtidos, as redes proxy resultan ser unha forma eficaz de minimizar as consecuencias dos ataques; máis do 90% dos usuarios non experimentaron unha diminución da calidade do servizo durante o experimento. Ademais, os investigadores descubriron que a medida que aumenta o tamaño dunha rede proxy, a escala dos ataques DoS que pode soportar aumenta de forma case lineal. Polo tanto, canto maior sexa a rede, máis eficazmente combatirá o DoS.
Ligazóns útiles e materiais de :
Fonte: www.habr.com