Փորձ. հնարավո՞ր է նվազեցնել DoS հարձակումների բացասական հետևանքները՝ օգտագործելով պրոքսի:

Պատկեր: Unsplash

DoS հարձակումները ժամանակակից ինտերնետում տեղեկատվական անվտանգության ամենամեծ սպառնալիքներից են: Կան տասնյակ բոտնետներ, որոնք հարձակվողները վարձակալում են նման հարձակումներ իրականացնելու համար:

Սան Դիեգոյի համալսարանի գիտնականներն անցկացրել են հետազոտություն Ինչպես է պրոքսիների օգտագործումն օգնում նվազեցնել DoS հարձակումների բացասական ազդեցությունը, ձեր ուշադրությանն ենք ներկայացնում այս աշխատանքի հիմնական թեզերը։

Ներածություն. վստահված անձը որպես DoS-ի դեմ պայքարի գործիք

Նմանատիպ փորձեր պարբերաբար անցկացվում են տարբեր երկրների հետազոտողների կողմից, սակայն նրանց ընդհանուր խնդիրը իրականությանը մոտ հարձակումների նմանակման ռեսուրսների բացակայությունն է։ Փոքր թեստային նստարանների վրա փորձարկումները թույլ չեն տալիս պատասխանել հարցերին այն մասին, թե որքանով են վստահված անձինք հաջողությամբ դիմակայելու բարդ ցանցերում հարձակմանը, ինչ պարամետրեր են կարևոր դեր խաղում վնասը նվազագույնի հասցնելու ունակության մեջ և այլն:

Փորձի համար գիտնականները ստեղծել են տիպիկ վեբ հավելվածի մոդել, օրինակ՝ էլեկտրոնային առևտրի ծառայություն: Այն աշխատում է՝ օգտագործելով սերվերների կլաստեր, օգտատերերը բաշխված են տարբեր աշխարհագրական վայրերում և օգտագործում են ինտերնետը՝ ծառայության մուտք գործելու համար: Այս մոդելում ինտերնետը ծառայում է որպես ծառայության և օգտատերերի միջև կապի միջոց. այսպես են աշխատում վեբ ծառայությունները՝ որոնման համակարգերից մինչև առցանց բանկային գործիքներ:

DoS հարձակումները անհնարին են դարձնում ծառայության և օգտատերերի միջև նորմալ փոխգործակցությունը: Կան երկու տեսակի DoS՝ կիրառական մակարդակի և ենթակառուցվածքի մակարդակի հարձակումներ: Վերջին դեպքում հարձակվողներն ուղղակիորեն հարձակվում են ցանցի և հոսթերի վրա, որոնց վրա աշխատում է ծառայությունը (օրինակ, նրանք խցանում են ցանցի ողջ թողունակությունը ջրհեղեղով): Հավելվածի մակարդակի հարձակման դեպքում հարձակվողի թիրախը օգտատերերի միջերեսն է. դրա համար նրանք ուղարկում են հսկայական թվով հարցումներ՝ հավելվածի խափանման պատճառ դառնալու համար: Փորձը նկարագրում էր ենթակառուցվածքի մակարդակով հարձակումները:

Proxy ցանցերը DoS հարձակումներից վնասը նվազագույնի հասցնելու գործիքներից են: Վստահված սերվեր օգտագործելիս օգտվողի բոլոր հարցումները ծառայությանը և դրանց պատասխանները փոխանցվում են ոչ թե ուղղակիորեն, այլ միջանկյալ սերվերների միջոցով: Ե՛վ օգտատերը, և՛ հավելվածը ուղղակիորեն չեն «տեսնում» միմյանց, նրանց հասանելի են միայն վստահված անձի հասցեները: Արդյունքում անհնար է ուղղակիորեն հարձակվել հավելվածի վրա։ Ցանցի եզրին կան, այսպես կոչված, եզրային պրոքսիներ՝ հասանելի IP հասցեներով արտաքին վստահված անձինք, կապն առաջինը գնում է նրանց:

DoS հարձակմանը հաջողությամբ դիմակայելու համար պրոքսի ցանցը պետք է ունենա երկու հիմնական հնարավորություն: Նախ՝ նման միջանկյալ ցանցը պետք է միջնորդի դեր կատարի, այսինքն՝ հավելվածին կարելի է «հասնել» միայն դրա միջոցով։ Սա կվերացնի ծառայության վրա ուղղակի հարձակման հնարավորությունը: Երկրորդ, պրոքսի ցանցը պետք է հնարավորություն տա օգտատերերին դեռ շփվել հավելվածի հետ նույնիսկ հարձակման ժամանակ:

Փորձարարական ենթակառուցվածք

Ուսումնասիրությունն օգտագործել է չորս հիմնական բաղադրիչ.

• վստահված անձի ցանցի իրականացում;
• Apache վեբ սերվեր;
• վեբ փորձարկման գործիք Նստելատեղ;
• հարձակման գործիք Տրինո.

Մոդելավորումն իրականացվել է MicroGrid միջավայրում. այն կարող է օգտագործվել 20 հազար երթուղիչով ցանցեր մոդելավորելու համար, ինչը համեմատելի է Tier-1 օպերատորների ցանցերի հետ։

Տիպիկ Trinoo ցանցը բաղկացած է մի շարք վտանգված հյուրընկալողներից, որոնք աշխատում են ծրագրի դեյմոն: Գոյություն ունի նաև մոնիտորինգի ծրագրակազմ՝ ցանցը վերահսկելու և DoS հարձակումները ուղղորդելու համար: IP հասցեների ցանկը ստանալուց հետո, Trinoo daemon-ը UDP փաթեթներ է ուղարկում թիրախներին նշված ժամանակներում:

Փորձի ընթացքում օգտագործվել են երկու կլաստերներ. MicroGrid սիմուլյատորն աշխատում էր 16 հանգույց ունեցող Xeon Linux կլաստերի վրա (2.4 ԳՀց սերվերներ՝ 1 գիգաբայթ հիշողությամբ յուրաքանչյուր մեքենայի վրա), որը միացված էր 1 Գբիտ/վրկ Ethernet հանգույցի միջոցով: Ծրագրային ապահովման այլ բաղադրիչները տեղակայված էին 24 հանգույցներից բաղկացած կլաստերում (450 ՄՀց PII Linux-cthdth-ներ 1 ԳԲ հիշողությամբ յուրաքանչյուր մեքենայի վրա), որոնք միացված էին 100 Մբ/վրկ Ethernet հանգույցով: Երկու կլաստերներ միացված էին 1 Գբիտ/վրկ ալիքով։

Պրոքսի ցանցը տեղակայված է 1000 հոսթից բաղկացած լողավազանում: Եզրային վստահվածները հավասարաչափ բաշխված են ողջ ռեսուրսների լողավազանում: Հավելվածի հետ աշխատելու վստահված անձինք տեղակայված են հոսթինգների վրա, որոնք ավելի մոտ են դրա ենթակառուցվածքին: Մնացած պրոքսիները հավասարապես բաշխված են եզրերի և կիրառական պրոքսիների միջև:

Մոդելավորման ցանց

Պրոքսիի արդյունավետությունը՝ որպես DoS հարձակմանը հակազդելու գործիք, ուսումնասիրելու համար հետազոտողները չափել են հավելվածի արտադրողականությունը արտաքին ազդեցության տարբեր սցենարների ներքո: Պրոքսի ցանցում ընդհանուր առմամբ եղել է 192 վստահված անձ (որոնցից 64-ը եզրային): Հարձակումն իրականացնելու համար ստեղծվել է Trinoo ցանցը, ներառյալ 100 դևեր։ Դևերից յուրաքանչյուրն ուներ 100 Մբիթ/վրկ ալիք: Սա համապատասխանում է 10 հազար տնային երթուղիչներից բաղկացած բոտնետին:

Չափվել է DoS հարձակման ազդեցությունը հավելվածի և պրոքսի ցանցի վրա: Փորձարարական կոնֆիգուրացիայի դեպքում հավելվածն ուներ 250 Մբիթ/վրկ ինտերնետ ալիք, իսկ յուրաքանչյուր եզրային պրոքսի ուներ 100 Մբիթ/վրկ ալիք:

Փորձի արդյունքները

Վերլուծության արդյունքների հիման վրա պարզվել է, որ 250 Մբ/վ արագությամբ հարձակումը զգալիորեն մեծացնում է հավելվածի արձագանքման ժամանակը (մոտ տասն անգամ), ինչի արդյունքում այն ​​օգտագործելն անհնար է դառնում։ Այնուամենայնիվ, պրոքսի ցանց օգտագործելիս հարձակումը էական ազդեցություն չի թողնում կատարողականի վրա և չի նսեմացնում օգտվողի փորձը: Դա տեղի է ունենում, քանի որ եզրային վստահվածները թուլացնում են հարձակման էֆեկտը, և պրոքսի ցանցի ընդհանուր ռեսուրսները ավելի բարձր են, քան բուն հավելվածի ռեսուրսները:

Վիճակագրության համաձայն, եթե հարձակման հզորությունը չի գերազանցում 6.0 Գբիտ/վրկ-ը (չնայած եզրային պրոքսի ալիքների ընդհանուր թողունակությունը կազմում է ընդամենը 6.4 Գբ/վ), ապա օգտատերերի 95%-ը չի նկատում կատարողականի նկատելի նվազում։ Ավելին, շատ հզոր հարձակման դեպքում, որը գերազանցում է 6.4 Գբիտ/վրկ-ը, նույնիսկ պրոքսի ցանցի օգտագործումը չի խուսափի վերջնական օգտագործողների սպասարկման մակարդակի անկումից:

Կենտրոնացված գրոհների դեպքում, երբ նրանց ուժը կենտրոնացած է եզրային վստահված անձանց պատահական հավաքածուի վրա։ Այս դեպքում հարձակումը խցանում է պրոքսի ցանցի մի մասը, ուստի օգտատերերի զգալի մասը կնկատի կատարողականի անկում։

Արդյունքները

Փորձի արդյունքները ցույց են տալիս, որ պրոքսի ցանցերը կարող են բարելավել TCP հավելվածների աշխատանքը և օգտատերերին մատուցել սովորական սպասարկման մակարդակ, նույնիսկ DoS գրոհների դեպքում: Ստացված տվյալների համաձայն՝ պրոքսի ցանցերը, պարզվում է, արդյունավետ միջոց են հարձակումների հետևանքները նվազագույնի հասցնելու համար. օգտատերերի 90%-ից ավելին փորձի ընթացքում ծառայության որակի անկում չի ունեցել։ Բացի այդ, հետազոտողները պարզել են, որ պրոքսի ցանցի չափի մեծանալուն զուգընթաց, DoS հարձակումների մասշտաբները, որոնք այն կարող է դիմակայել, մեծանում են գրեթե գծային: Հետևաբար, որքան մեծ է ցանցը, այնքան ավելի արդյունավետ է այն պայքարելու DoS-ի դեմ:

Օգտակար հղումներ և նյութեր Ինֆատիկա:

• Հետազոտություն. Խաղերի տեսության միջոցով արգելափակման դիմացկուն պրոքսի ծառայության ստեղծում
• Գրաքննության դեմ պայքարի պատմություն. ինչպես է աշխատում MIT-ի և Սթենֆորդի գիտնականների կողմից ստեղծված ֆլեշ պրոքսի մեթոդը
• Ինչպե՞ս հասկանալ, երբ վստահված անձինք ստում են. ցանցի վստահված օգտատերերի ֆիզիկական տեղակայման ստուգում` օգտագործելով ակտիվ աշխարհագրական ալգորիթմը
• Ինչպես քողարկվել ինտերնետում. համեմատելով սերվերի և ռեզիդենտ վստահված անձանց

Աղբյուրը` www.habr.com