Kép:
A DoS támadások jelentik az egyik legnagyobb veszélyt az információbiztonságra a modern interneten. Több tucat botnet létezik, amelyeket a támadók bérelnek ilyen támadások végrehajtására.
A San Diego-i Egyetem tudósai hogy a proxyk használata mennyiben segít csökkenteni a DoS támadások negatív hatását – ismertetjük a figyelmükkel e munka fő téziseit.
Bevezetés: Proxy, mint DoS harci eszköz
Rendszeresen végeznek hasonló kísérleteket különböző országok kutatói, de közös problémájuk az erőforrások hiánya a valósághoz közeli támadások szimulálására. A kispadokon végzett tesztek nem teszik lehetővé olyan kérdések megválaszolását, hogy a proxyk mennyire tudnak ellenállni egy támadásnak összetett hálózatokban, milyen paraméterek játszanak kulcsszerepet a károk minimalizálásában stb.
A kísérlethez a tudósok egy tipikus webalkalmazás - például egy e-kereskedelmi szolgáltatás - modelljét készítettek. Szerverfürt segítségével működik, a felhasználók különböző földrajzi helyeken vannak elosztva, és az internetet használják a szolgáltatás eléréséhez. Ebben a modellben az Internet szolgál kommunikációs eszközként a szolgáltatás és a felhasználók között – így működnek a webszolgáltatások a keresőktől az online banki eszközökig.
A DoS támadások lehetetlenné teszik a normál interakciót a szolgáltatás és a felhasználók között. A DoS-nek két típusa van: az alkalmazási réteg támadásai és az infrastruktúraréteg támadásai. Ez utóbbi esetben a támadók közvetlenül a hálózatot és a szolgáltatást futtató gazdagépeket támadják meg (például a teljes hálózati sávszélességet elárasztják a forgalommal). Alkalmazásszintű támadás esetén a támadó célpontja a felhasználói interakciós felület – ehhez hatalmas számú kérést küldenek az alkalmazás összeomlásához. A leírt kísérlet infrastruktúra szintű támadásokra vonatkozott.
A proxyhálózatok az egyik eszköz a DoS-támadások okozta károk minimalizálására. Proxy használata esetén a felhasználótól a szolgáltatáshoz intézett összes kérés és az azokra adott válasz nem közvetlenül, hanem köztes szervereken keresztül kerül továbbításra. A felhasználó és az alkalmazás közvetlenül "nem látja" egymást, csak a proxy címek állnak rendelkezésére. Ennek eredményeként lehetetlen közvetlenül megtámadni az alkalmazást. A hálózat szélén vannak úgynevezett élproxyk - külső proxy elérhető IP-címekkel, a kapcsolat először hozzájuk megy.
Ahhoz, hogy sikeresen ellenállhasson a DoS támadásnak, a proxyhálózatnak két kulcsfontosságú képességgel kell rendelkeznie. Először is, egy ilyen közvetítő hálózatnak közvetítő szerepet kell játszania, vagyis csak rajta keresztül juthat el az alkalmazáshoz. Ez kiküszöböli a szolgáltatás elleni közvetlen támadás lehetőségét. Másodszor, a proxyhálózatnak lehetővé kell tennie a felhasználók számára, hogy még a támadás során is interakcióba lépjenek az alkalmazással.
Kísérleti infrastruktúra
A tanulmány négy kulcselemet használt:
- proxy hálózat megvalósítása;
- Apache webszerver
- webes tesztelő eszköz ;
- támadási eszköz .
A szimuláció MicroGrid környezetben történt - 20 ezer routerrel lehet hálózatokat szimulálni, ami összevethető a Tier-1 operátorok hálózataival.
Egy tipikus Trinoo hálózat a program démonját futtató kompromittált gazdagépekből áll. A hálózat vezérlésére és a DoS támadások közvetlen kezelésére is van megfigyelő szoftver. Az IP-címek listája alapján a Trinoo démon a megadott időpontban UDP-csomagokat küld a célpontoknak.
A kísérlet során két klasztert használtunk. A MicroGrid szimulátor egy 16 csomópontból álló Xeon Linux-fürtön futott (2.4 GHz-es szerverek 1 GB memóriával gépenként), amelyek egy 1 Gbps-os Ethernet hubon keresztül csatlakoztak. A többi szoftverkomponens egy 24 csomópontból álló fürtben helyezkedett el (450 MHz-es PII Linux-cthdth-ek, gépenként 1 GB memóriával), amelyeket egy 100 Mbps-os Ethernet-elosztó kapcsolt össze. Két klaszter 1 Gbps-os csatornával volt összekötve.
A proxy hálózat 1000 gazdagépből álló készletben található. Az Edge proxyk egyenletesen vannak elosztva az erőforráskészletben. Az alkalmazással való munkavégzéshez szükséges proxyk olyan gazdagépeken találhatók, amelyek közelebb vannak az infrastruktúrájához. A többi proxy egyenletesen van elosztva az élproxyk és az alkalmazásproxyk között.
Hálózat szimulációhoz
A proxy mint a DoS támadások elleni küzdelem eszközének hatékonyságának tanulmányozása érdekében a kutatók megmérték az alkalmazás termelékenységét a külső hatások különböző forgatókönyvei között. Összesen 192 proxy volt a proxy hálózatban (ebből 64 határ menti). A támadás végrehajtásához egy Trinoo hálózatot hoztak létre, benne 100 démonnal. Mindegyik démonnak volt egy 100 Mbps-os csatornája. Ez egy 10 XNUMX otthoni routerből álló botnetnek felel meg.
Megmérték egy DoS támadás hatását az alkalmazásra és a proxy hálózatra. A kísérleti konfigurációban az alkalmazás 250 Mbps-os internetes csatornával rendelkezett, és minden határproxy 100 Mbps sebességgel rendelkezett.
Kísérleti eredmények
Az elemzés eredményei szerint kiderült, hogy a 250Mbps-os támadás jelentősen megnöveli az alkalmazás válaszidejét (körülbelül tízszeresére), aminek következtében a használata lehetetlenné válik. Proxyhálózat használata esetén azonban a támadásnak nincs jelentős hatása a teljesítményre, és nem rontja a felhasználói élményt. Ennek az az oka, hogy az élproxyk felhígítják a támadás hatását, és a proxyhálózat összes erőforrása magasabb, mint magának az alkalmazásnak.
A statisztikák szerint, ha a támadási teljesítmény nem haladja meg a 6.0 Gbps-ot (annak ellenére, hogy a határmenti proxy csatornák teljes sávszélessége csak 6.4 Gbps), akkor a felhasználók 95%-a nem tapasztal észrevehető teljesítményromlást. Ugyanakkor egy nagyon erős, 6.4 Gbps-ot meghaladó támadás esetén még a proxy hálózat használata sem tenné lehetővé a végfelhasználók szolgáltatási színvonalának romlását.
Koncentrált támadások esetén, amikor erejük az élproxyk véletlenszerű halmazára összpontosul. Ebben az esetben a támadás eltömíti a proxy hálózat egy részét, így a felhasználók jelentős része teljesítménycsökkenést észlel.
Álláspontja
A kísérlet eredményei arra utalnak, hogy a proxy hálózatok javíthatják a TCP-alkalmazások teljesítményét, és a felhasználók számára megszokott szintű szolgáltatást nyújthatnak még DoS támadások esetén is. A kapott adatok szerint a hálózati proxy hatékony módja a támadások következményeinek minimalizálásának, a kísérlet során a felhasználók több mint 90%-a nem érzett csökkenést a szolgáltatás minőségében. Ezenkívül a kutatók azt találták, hogy a proxyhálózat méretének növekedésével szinte lineárisan növekszik az általa elviselhető DoS-támadások mértéke. Ezért minél nagyobb a hálózat, annál hatékonyabban kezeli a DoS-t.
Hasznos linkek és anyagok innen :
Forrás: www.habr.com