Slika:
DoS napadi jedna su od najvećih prijetnji informacijskoj sigurnosti na modernom Internetu. Postoje deseci botneta koje napadači iznajmljuju za izvođenje takvih napada.
Proveli su znanstvenici sa Sveučilišta u San Diegu Kako korištenje proxyja pomaže u smanjenju negativnog učinka DoS napada - predstavljamo vam glavne teze ovog rada.
Uvod: proxy kao alat za borbu protiv DoS-a
Slične eksperimente povremeno provode istraživači iz različitih zemalja, ali njihov zajednički problem je nedostatak resursa za simulaciju napada bliskih stvarnosti. Testovi na malim ispitnim stolovima ne dopuštaju odgovore na pitanja o tome koliko će se proxy-i uspješno oduprijeti napadu u složenim mrežama, koji parametri igraju ključnu ulogu u sposobnosti minimiziranja štete itd.
Znanstvenici su za eksperiment izradili model tipične web aplikacije – na primjer usluge e-trgovine. Radi pomoću klastera poslužitelja; korisnici su raspoređeni po različitim geografskim lokacijama i koriste internet za pristup usluzi. U ovom modelu internet služi kao sredstvo komunikacije između servisa i korisnika – tako funkcioniraju web servisi od tražilica do alata za online bankarstvo.
DoS napadi onemogućuju normalnu interakciju između usluge i korisnika. Postoje dvije vrste DoS-a: napadi na razini aplikacije i napadi na razini infrastrukture. U potonjem slučaju, napadači izravno napadaju mrežu i hostove na kojima se servis izvodi (na primjer, začepljuju cijelu propusnost mreže flood prometom). U slučaju napada na razini aplikacije, meta napadača je korisničko sučelje - da bi to učinili, šalju ogroman broj zahtjeva kako bi uzrokovali pad aplikacije. Opisani eksperiment odnosio se na napade na razini infrastrukture.
Proxy mreže jedan su od alata za smanjenje štete od DoS napada. Kada koristite proxy, svi zahtjevi korisnika prema usluzi i odgovori na njih prenose se ne izravno, već preko posredničkih poslužitelja. I korisnik i aplikacija ne "vide" jedno drugo izravno, dostupne su im samo proxy adrese. Kao rezultat toga, nemoguće je izravno napasti aplikaciju. Na rubu mreže nalaze se takozvani edge proxiji - vanjski proxyji s dostupnim IP adresama, veza ide prvo prema njima.
Da bi se uspješno oduprla DoS napadu, proxy mreža mora imati dvije ključne mogućnosti. Prvo, takva posrednička mreža mora imati ulogu posrednika, odnosno samo se preko nje može “doći” do aplikacije. To će eliminirati mogućnost izravnog napada na uslugu. Drugo, proxy mreža mora omogućiti korisnicima interakciju s aplikacijom čak i tijekom napada.
Eksperimentalna infrastruktura
Studija je koristila četiri ključne komponente:
- implementacija proxy mreže;
- Apache web poslužitelj;
- alat za web testiranje ;
- alat za napad .
Simulacija je provedena u MicroGrid okruženju - njime se mogu simulirati mreže s 20 tisuća routera, što je usporedivo s mrežama Tier-1 operatera.
Tipična Trinoo mreža sastoji se od skupa kompromitiranih hostova koji pokreću programski demon. Postoji i nadzorni softver za nadzor mreže i usmjeravanje DoS napada. Nakon što primi popis IP adresa, Trinoo demon šalje UDP pakete ciljevima u određeno vrijeme.
Tijekom eksperimenta korištena su dva klastera. Simulator MicroGrid radio je na Xeon Linux klasteru od 16 čvorova (2.4 GHz poslužitelji s 1 gigabajtom memorije na svakom stroju) povezanim preko 1 Gbps Ethernet čvorišta. Ostale komponente softvera bile su smještene u klasteru od 24 čvora (450MHz PII Linux-cthdths s 1 GB memorije na svakom stroju), povezanih 100Mbps Ethernet čvorištem. Dva su klastera povezana kanalom od 1 Gbps.
Proxy mreža nalazi se u skupu od 1000 hostova. Rubni proxyji ravnomjerno su raspoređeni po cijelom skupu resursa. Proxiji za rad s aplikacijom nalaze se na hostovima koji su bliže njenoj infrastrukturi. Preostali proxyji ravnomjerno su raspoređeni između rubnih i aplikacijskih proxyja.
Simulacijska mreža
Kako bi proučili učinkovitost proxyja kao alata za suzbijanje DoS napada, istraživači su mjerili produktivnost aplikacije pod različitim scenarijima vanjskih utjecaja. U proxy mreži bilo je ukupno 192 proxyja (od toga 64 edge). Za izvođenje napada stvorena je mreža Trinoo koja uključuje 100 demona. Svaki od demona imao je kanal od 100 Mbps. To odgovara botnetu od 10 tisuća kućnih usmjerivača.
Mjeren je utjecaj DoS napada na aplikaciju i proxy mrežu. U eksperimentalnoj konfiguraciji aplikacija je imala internetski kanal od 250 Mbps, a svaki rubni proxy imao je kanal od 100 Mbps.
Rezultati eksperimenta
Na temelju rezultata analize pokazalo se da napad na 250Mbps značajno povećava vrijeme odziva aplikacije (oko deset puta), zbog čega postaje nemoguće koristiti je. Međutim, kada koristite proxy mrežu, napad nema značajan utjecaj na performanse i ne degradira korisničko iskustvo. To se događa jer rubni proxyji umanjuju učinak napada, a ukupni resursi proxy mreže veći su od resursa same aplikacije.
Prema statistikama, ako snaga napada ne prelazi 6.0 Gbps (unatoč tome što je ukupna propusnost rubnih proxy kanala samo 6.4 Gbps), tada 95% korisnika ne doživljava zamjetno smanjenje performansi. Štoviše, u slučaju vrlo snažnog napada koji prelazi 6.4 Gbps, čak ni upotreba proxy mreže ne bi izbjegla degradaciju razine usluge za krajnje korisnike.
U slučaju koncentriranih napada, kada je njihova moć koncentrirana na slučajni skup rubnih proxyja. U tom slučaju napad začepljuje dio proxy mreže, pa će značajan dio korisnika primijetiti pad performansi.
Zaključci
Rezultati eksperimenta sugeriraju da proxy mreže mogu poboljšati performanse TCP aplikacija i pružiti uobičajenu razinu usluge korisnicima, čak i u slučaju DoS napada. Prema dobivenim podacima, proxy mreže su se pokazale kao učinkovit način za minimiziranje posljedica napada; više od 90% korisnika nije doživjelo smanjenje kvalitete usluge tijekom eksperimenta. Osim toga, istraživači su otkrili da kako se veličina proxy mreže povećava, opseg DoS napada koje ona može izdržati raste gotovo linearno. Stoga, što je mreža veća, to će se učinkovitije boriti protiv DoS-a.
Korisni linkovi i materijali iz :
Izvor: www.habr.com