Foto:
Atak DoS yo se youn nan pi gwo menas pou sekirite enfòmasyon sou Entènèt modèn lan. Gen plizyè douzèn botne ke atakè lwe pou fè atak sa yo.
Syantis nan University of San Diego fè Ki jan itilizasyon prokurasyon ede diminye efè negatif atak DoS - nou prezante nan atansyon ou tèz prensipal yo nan travay sa a.
Entwodiksyon: proxy kòm yon zouti pou konbat DoS
Eksperyans ki sanble yo detanzantan fè chèchè ki soti nan diferan peyi, men pwoblèm komen yo se mank nan resous pou simulation atak ki pre reyalite. Tès sou ti ban tès yo pa pèmèt reponn kesyon sou kijan proxy yo pral reziste kont yon atak nan rezo konplèks, ki paramèt jwe yon wòl kle nan kapasite pou minimize domaj, elatriye.
Pou eksperyans la, syantis yo te kreye yon modèl aplikasyon entènèt tipik - pou egzanp, yon sèvis e-commerce. Li travay lè l sèvi avèk yon gwoup sèvè; itilizatè yo distribye atravè diferan kote jeyografik epi sèvi ak entènèt la pou jwenn aksè nan sèvis la. Nan modèl sa a, entènèt la sèvi kòm yon mwayen kominikasyon ant sèvis la ak itilizatè yo - sa a se ki jan sèvis entènèt soti nan motè rechèch nan zouti bankè sou entènèt travay.
Atak DoS fè entèraksyon nòmal ant sèvis la ak itilizatè yo enposib. Gen de kalite DoS: atak nivo aplikasyon ak atak nivo enfrastrikti. Nan dènye ka a, atakè yo atake dirèkteman rezo a ak tout pouvwa a kote sèvis la kouri (pa egzanp, yo bouche tout rezo a ak trafik inondasyon). Nan ka yon atak nivo aplikasyon an, sib atakè a se koòdone itilizatè a - pou fè sa, yo voye yon gwo kantite demann yo nan lòd yo lakòz aplikasyon an aksidan. Eksperyans lan te dekri atak konsène nan nivo enfrastrikti.
Rezo prokurasyon yo se youn nan zouti pou minimize domaj nan atak DoS. Lè w ap itilize yon prokurasyon, tout demann ki soti nan itilizatè a nan sèvis la ak repons yo transmèt pa dirèkteman, men atravè sèvè entèmedyè. Tou de itilizatè a ak aplikasyon an pa "wè" youn ak lòt dirèkteman; se sèlman adrès proxy ki disponib pou yo. Kòm yon rezilta, li enposib atake aplikasyon an dirèkteman. Nan kwen an nan rezo a gen sa yo rele proksi kwen - proksi ekstèn ak adrès IP ki disponib, koneksyon an ale nan yo an premye.
Pou reziste kont yon atak DoS avèk siksè, yon rezo proxy dwe gen de kapasite kle. Premyèman, tankou yon rezo entèmedyè dwe jwe wòl nan yon entèmedyè, se sa ki, aplikasyon an ka sèlman "rive" atravè li. Sa a pral elimine posiblite pou yon atak dirèk sou sèvis la. Dezyèmman, rezo prokurasyon an dwe kapab pèmèt itilizatè yo toujou kominike avèk aplikasyon an menm pandan yon atak.
Eksperyans enfrastrikti
Etid la te itilize kat eleman kle:
- aplikasyon yon rezo proxy;
- Apache sèvè entènèt;
- zouti tès entènèt ;
- zouti atak .
Simulation te fèt nan anviwònman MicroGrid - li ka itilize pou simulation rezo ak 20 mil routeurs, ki konparab ak rezo operatè Tier-1.
Yon rezo Trinoo tipik konsiste de yon seri lame konpwomèt ki kouri yon demon pwogram. Genyen tou lojisyèl siveyans pou kontwole rezo a ak dirije atak DoS. Apre li fin resevwa yon lis adrès IP, daemon Trinoo voye pake UDP nan sib nan moman espesifik yo.
Pandan eksperyans la, yo te itilize de grap. Similatè MicroGrid la te kouri sou yon gwoup Xeon Linux 16-nœuds (sèvè 2.4GHz ak 1 gigabyte memwa sou chak machin) konekte atravè yon mwaye Ethernet 1 Gbps. Lòt konpozan lojisyèl yo te chita nan yon gwoup 24 nœuds (450MHz PII Linux-cthdths ak 1 GB memwa sou chak machin), ki konekte pa yon mwaye Ethernet 100Mbps. De grap yo te konekte pa yon chanèl 1 Gbps.
Rezo prokurasyon an anime nan yon pisin ki gen 1000 lame. Proxy Edge yo distribye egalman nan tout rezèvwa resous la. Prokurasyon pou travay ak aplikasyon an sitiye sou tout pouvwa ki pi pre enfrastrikti li yo. Prokurasyon ki rete yo distribye respire ant kwen ak aplikasyon proxy.
Rezo simulation
Pou etidye efikasite yon prokurasyon kòm yon zouti pou kontrekare yon atak DoS, chèchè yo mezire pwodiktivite aplikasyon an anba diferan senaryo enfliyans ekstèn. Te gen yon total de 192 proxy nan rezo a proxy (64 nan yo kwen). Pou pote atak la, yo te kreye rezo Trinoo, ki gen ladan 100 move lespri yo. Chak nan move lespri yo te gen yon kanal 100Mbps. Sa a koresponn ak yon botne nan 10 mil routeurs lakay yo.
Enpak yon atak DoS sou aplikasyon an ak rezo proxy yo te mezire. Nan konfigirasyon eksperimantal la, aplikasyon an te gen yon chanèl entènèt 250 Mbps, ak chak proxy kwen te gen yon chanèl 100 Mbps.
Eksperyans rezilta yo
Ki baze sou rezilta analiz la, li te tounen soti ke yon atak nan 250Mbps siyifikativman ogmante tan an repons nan aplikasyon an (apeprè dis fwa), kòm yon rezilta nan ki li vin enposib yo sèvi ak li. Sepandan, lè w ap itilize yon rezo proxy, atak la pa gen yon enpak siyifikatif sou pèfòmans epi li pa degrade eksperyans itilizatè a. Sa rive paske prokurasyon kwen delye efè atak la, ak resous total rezo proxy yo pi wo pase sa yo ki nan aplikasyon an tèt li.
Dapre estatistik, si pouvwa atak la pa depase 6.0Gbps (malgre debi total chanèl proxy kwen yo se sèlman 6.4Gbps), Lè sa a, 95% nan itilizatè pa fè eksperyans yon diminisyon aparan nan pèfòmans. Anplis, nan ka yon atak trè pwisan ki depase 6.4Gbps, menm itilizasyon yon rezo proxy pa ta evite degradasyon nan nivo sèvis la pou itilizatè fen yo.
Nan ka a nan atak konsantre, lè pouvwa yo konsantre sou yon seri o aza nan proxy kwen. Nan ka sa a, atak la bouche yon pati nan rezo a prokurasyon, kidonk yon pati enpòtan nan itilizatè yo pral remake yon gout nan pèfòmans.
Jwenn
Rezilta yo nan eksperyans la sijere ke rezo proxy ka amelyore pèfòmans aplikasyon TCP yo epi bay itilizatè nivo nòmal sèvis yo, menm nan evènman an nan atak DoS. Dapre done yo jwenn, rezo proxy yo tounen yon fason efikas pou misyon pou minimize konsekans atak yo; plis pase 90% itilizatè pa t 'fè eksperyans yon diminisyon nan kalite sèvis la pandan eksperyans la. Anplis de sa, chèchè yo te jwenn ke kòm gwosè a nan yon rezo proxy ogmante, echèl la nan atak DoS ke li ka kenbe tèt ak ogmante prèske lineyè. Se poutèt sa, pi gwo rezo a, pi efikasman li pral konbat DoS.
Lyen itil ak materyèl ki soti nan :
Sous: www.habr.com