Stærð:
DoS árásir eru ein stærsta ógnin við upplýsingaöryggi á nútíma interneti. Það eru heilmikið af botnetum sem árásarmenn leigja út til að framkvæma slíkar árásir.
Vísindamenn frá háskólanum í San Diego framkvæmdu Hvernig notkun umboðsmanna hjálpar til við að draga úr neikvæðum áhrifum DoS árása - við kynnum þér helstu ritgerðir þessarar vinnu.
Inngangur: umboð sem tæki til að berjast gegn DoS
Svipaðar tilraunir eru gerðar reglulega af vísindamönnum frá mismunandi löndum, en sameiginlegt vandamál þeirra er skortur á fjármagni til að líkja eftir árásum nálægt raunveruleikanum. Próf á litlum prófunarbekkjum leyfa ekki að svara spurningum um hversu árangursríkt umboð standist árás í flóknum netkerfum, hvaða breytur gegna lykilhlutverki í getu til að lágmarka skaða osfrv.
Fyrir tilraunina bjuggu vísindamenn til líkan af dæmigerðu vefforriti - til dæmis rafræna viðskiptaþjónustu. Það virkar með því að nota þyrping netþjóna; notendum er dreift á mismunandi landfræðilega staði og nota internetið til að fá aðgang að þjónustunni. Í þessu líkani þjónar internetið sem samskiptamáti þjónustunnar og notenda – þannig virkar vefþjónusta frá leitarvélum til netbankatóla.
DoS árásir gera eðlileg samskipti milli þjónustunnar og notenda ómöguleg. Það eru tvær tegundir af DoS: árásum á forritastigi og innviðastigi. Í síðara tilvikinu ráðast árásarmenn beint á netið og vélina sem þjónustan keyrir á (til dæmis stífla þeir allri netbandbreiddinni með flóðumferð). Ef um er að ræða árás á forritastigi er markmið árásarmannsins notendaviðmótið - til að gera þetta senda þeir mikinn fjölda beiðna til að valda því að forritið hrynji. Tilraunin sem lýst var varðaði árásir á innviðastigi.
Proxy net eru eitt af verkfærunum til að lágmarka skaða af DoS árásum. Þegar umboð er notað eru allar beiðnir frá notanda til þjónustunnar og svör við þeim sendar ekki beint heldur í gegnum milliþjóna. Bæði notandinn og forritið „sjá“ hvort annað ekki beint; aðeins umboðsnetföng eru í boði fyrir þá. Þar af leiðandi er ómögulegt að ráðast beint á forritið. Á jaðri netkerfisins eru svokallaðir edge proxies - ytri umboð með tiltækum IP tölum, tengingin fer fyrst til þeirra.
Til að standast DoS árás með góðum árangri verður proxy-net að hafa tvo lykilmöguleika. Í fyrsta lagi verður slíkt millinet að gegna hlutverki milliliðs, það er, aðeins er hægt að „ná í“ forritið í gegnum það. Þetta mun útiloka möguleikann á beinni árás á þjónustuna. Í öðru lagi verður proxy-netið að geta gert notendum kleift að hafa samskipti við forritið, jafnvel meðan á árás stendur.
Tilraunainnviði
Rannsóknin notaði fjóra lykilþætti:
- innleiðing umboðsnets;
- Apache vefþjónn;
- vefprófunartæki ;
- árásartæki .
Hermunin var framkvæmd í MicroGrid umhverfinu - það er hægt að nota til að líkja eftir netum með 20 þúsund beinum, sem er sambærilegt við netkerfi Tier-1 rekstraraðila.
Dæmigert Trinoo net samanstendur af hópi hýsinga í hættu sem keyra forritapúka. Það er líka til eftirlitshugbúnaður til að fylgjast með netinu og stýra DoS árásum. Eftir að hafa fengið lista yfir IP tölur sendir Trinoo púkinn UDP pakka til skotmarka á tilteknum tímum.
Í tilrauninni voru tveir klasar notaðir. MicroGrid hermirinn keyrði á 16 hnúta Xeon Linux þyrping (2.4GHz netþjónar með 1 gígabæta minni á hverri vél) tengdur í gegnum 1 Gbps Ethernet miðstöð. Aðrir hugbúnaðaríhlutir voru staðsettir í þyrpingu 24 hnúta (450MHz PII Linux-þættir með 1 GB af minni á hverri vél), tengdir með 100Mbps Ethernet miðstöð. Tveir klasar voru tengdir með 1Gbps rás.
Umboðsnetið er hýst í hópi 1000 gestgjafa. Edge umboð er jafnt dreift um auðlindapottinn. Umboð til að vinna með forritið eru staðsettir á vélum sem eru nær innviðum þess. Eftirstöðvarnar dreifast jafnt á milli brún- og umsóknarumboða.
Hermir net
Til að kanna virkni umboðs sem tæki til að vinna gegn DoS árás, mældu vísindamenn framleiðni forritsins við mismunandi aðstæður utanaðkomandi áhrifa. Alls voru 192 umboðsmenn í proxy-netinu (64 af þeim brún). Til að framkvæma árásina var Trinoo netið búið til, þar á meðal 100 djöflar. Hver djöfla var með 100 Mbps rás. Þetta samsvarar botneti með 10 þúsund heimabeinum.
Áhrif DoS árásar á forritið og proxy-netið voru mæld. Í tilraunauppsetningunni var forritið með netrás upp á 250 Mbps og hver brún proxy hafði 100 Mbps rás.
Niðurstöður tilrauna
Byggt á niðurstöðum greiningarinnar kom í ljós að árás á 250Mbps eykur viðbragðstíma forritsins verulega (um það bil tífalt), þar af leiðandi verður ómögulegt að nota það. Hins vegar, þegar umboðsnet er notað, hefur árásin ekki veruleg áhrif á frammistöðu og rýrir ekki upplifun notenda. Þetta gerist vegna þess að brúnumboð þynna út áhrif árásarinnar og heildarauðlindir proxy-netsins eru hærri en forritsins sjálfs.
Samkvæmt tölfræði, ef árásarstyrkurinn fer ekki yfir 6.0Gbps (þrátt fyrir að heildarafköst brún proxy-rása séu aðeins 6.4Gbps), þá upplifa 95% notenda ekki áberandi minnkun á frammistöðu. Þar að auki, ef um er að ræða mjög öfluga árás sem fer yfir 6.4 Gbps, myndi jafnvel notkun proxy-nets ekki koma í veg fyrir skerðingu á þjónustustigi fyrir endanotendur.
Þegar um einbeittar árásir er að ræða, þegar kraftur þeirra er einbeittur að handahófi sett af brúnumboðum. Í þessu tilviki stíflar árásin hluta af proxy-netinu, þannig að verulegur hluti notenda mun taka eftir lækkun á frammistöðu.
Niðurstöður
Niðurstöður tilraunarinnar benda til þess að umboðsnet geti bætt afköst TCP forrita og veitt notendum venjulega þjónustustig, jafnvel ef um DoS árásir er að ræða. Samkvæmt gögnunum sem fengust, reynast proxy-net vera áhrifarík leið til að lágmarka afleiðingar árása; meira en 90% notenda upplifðu ekki minnkun á gæðum þjónustunnar meðan á tilrauninni stóð. Að auki komust rannsakendur að því að eftir því sem stærð proxy-nets eykst eykst umfang DoS-árása sem það þolir næstum línulega. Því stærra sem netið er, því skilvirkari mun það berjast gegn DoS.
Gagnlegar tenglar og efni frá :
Heimild: www.habr.com