Immagine:
Gli attacchi DoS sono una delle più grandi minacce alla sicurezza delle informazioni su Internet moderno. Esistono dozzine di botnet che gli aggressori affittano per eseguire tali attacchi.
Scienziati dell'Università di San Diego la misura in cui l'uso dei proxy aiuta a ridurre l'effetto negativo degli attacchi DoS - presentiamo alla vostra attenzione le tesi principali di questo lavoro.
Introduzione: il proxy come strumento di lotta al DoS
Esperimenti simili vengono periodicamente condotti da ricercatori di diversi paesi, ma il loro problema comune è la mancanza di risorse per simulare attacchi vicini alla realtà. I test su piccoli banchi non consentono di rispondere a domande su come i proxy resisteranno con successo a un attacco in reti complesse, quali parametri giocano un ruolo chiave nella capacità di ridurre al minimo i danni, ecc.
Per l'esperimento, gli scienziati hanno creato un modello di una tipica applicazione web, ad esempio un servizio di e-commerce. Funziona con l'ausilio di un cluster di server, gli utenti sono distribuiti in diverse località geografiche e utilizzano Internet per accedere al servizio. In questo modello, Internet funge da mezzo di comunicazione tra il servizio e gli utenti: ecco come funzionano i servizi Web, dai motori di ricerca agli strumenti di online banking.
Gli attacchi DoS rendono impossibile la normale interazione tra il servizio e gli utenti. Esistono due tipi di DoS: attacchi a livello di applicazione e attacchi a livello di infrastruttura. In quest'ultimo caso, gli aggressori attaccano direttamente la rete e gli host su cui è in esecuzione il servizio (ad esempio, inondano l'intera larghezza di banda della rete con traffico flood). Nel caso di un attacco a livello di applicazione, l'obiettivo dell'attaccante è l'interfaccia di interazione dell'utente: per questo invia un numero enorme di richieste per causare il crash dell'applicazione. L'esperimento descritto riguardava attacchi a livello di infrastruttura.
Le reti proxy sono uno degli strumenti per ridurre al minimo i danni causati dagli attacchi DoS. Nel caso di utilizzo di un proxy, tutte le richieste dell'utente al servizio e le risposte ad esse non vengono trasmesse direttamente, ma tramite server intermedi. Sia l'utente che l'applicazione "non si vedono" direttamente, hanno a disposizione solo gli indirizzi proxy. Di conseguenza, è impossibile attaccare direttamente l'applicazione. Ai margini della rete ci sono i cosiddetti edge proxy: proxy esterni con indirizzi IP disponibili, la connessione va prima a loro.
Per resistere con successo a un attacco DoS, una rete proxy deve avere due funzionalità chiave. In primo luogo, una tale rete intermedia dovrebbe svolgere il ruolo di intermediario, ovvero è possibile "passare" all'applicazione solo attraverso di essa. Ciò eliminerà la possibilità di un attacco diretto al servizio. In secondo luogo, la rete proxy deve essere in grado di consentire agli utenti di interagire ancora con l'applicazione, anche durante l'attacco.
Infrastruttura sperimentale
Lo studio ha utilizzato quattro componenti chiave:
- implementazione di una rete proxy;
- Webserver Apache
- strumento di test web ;
- strumento di attacco .
La simulazione è stata eseguita nell'ambiente MicroGrid: può essere utilizzata per simulare reti con 20mila router, che è paragonabile alle reti degli operatori Tier-1.
Una tipica rete Trinoo consiste in un insieme di host compromessi che eseguono il demone del programma. Esiste anche un software di monitoraggio per controllare la rete e dirigere gli attacchi DoS. Dato un elenco di indirizzi IP, il demone Trinoo invia pacchetti UDP alle destinazioni all'ora specificata.
Durante l'esperimento, sono stati utilizzati due cluster. Il simulatore MicroGrid è stato eseguito su un cluster Xeon Linux di 16 nodi (server a 2.4 GHz con 1 GB di memoria per macchina) collegati tramite un hub Ethernet da 1 Gbps. Altri componenti software si trovavano in un cluster di 24 nodi (450MHz PII Linux-cthdths con 1 GB di memoria per macchina) collegati da un hub Ethernet a 100Mbps. Due cluster erano collegati da un canale da 1 Gbps.
La rete proxy è ospitata in un pool di 1000 host. I proxy perimetrali sono distribuiti uniformemente in tutto il pool di risorse. I proxy per lavorare con l'applicazione si trovano su host più vicini alla sua infrastruttura. Il resto dei proxy è distribuito uniformemente tra i proxy perimetrali e i proxy dell'applicazione.
Rete per la simulazione
Per studiare l'efficacia di un proxy come strumento per contrastare un attacco DoS, i ricercatori hanno misurato la produttività dell'applicazione in diversi scenari di influenze esterne. In totale, nella rete dei proxy c'erano 192 proxy (di cui 64 di frontiera). Per portare a termine l'attacco è stata creata una rete Trinoo, comprendente 100 demoni. Ognuno dei demoni aveva un canale da 100Mbps. Ciò corrisponde a una botnet di 10 router domestici.
È stato misurato l'impatto di un attacco DoS sull'applicazione e sulla rete proxy. Nella configurazione sperimentale, l'applicazione aveva un canale Internet di 250 Mbps e ogni proxy di confine aveva 100 Mbps.
Risultati dell'esperimento
Secondo i risultati dell'analisi, è emerso che un attacco a 250 Mbps aumenta notevolmente il tempo di risposta dell'applicazione (circa dieci volte), per cui diventa impossibile utilizzarla. Tuttavia, quando si utilizza una rete proxy, l'attacco non ha un impatto significativo sulle prestazioni e non degrada l'esperienza dell'utente. Questo perché i proxy edge diluiscono l'effetto dell'attacco e le risorse totali della rete proxy sono superiori a quelle dell'applicazione stessa.
Secondo le statistiche, se la potenza di attacco non supera i 6.0 Gbps (nonostante il fatto che la larghezza di banda totale dei canali proxy di confine sia di soli 6.4 Gbps), il 95% degli utenti non subisce un notevole calo delle prestazioni. Allo stesso tempo, nel caso di un attacco molto potente superiore a 6.4Gbps, anche l'utilizzo di una rete proxy non permetterebbe di evitare il degrado del livello di servizio per gli utenti finali.
Nel caso di attacchi concentrati, quando il loro potere è concentrato su un insieme casuale di edge proxy. In questo caso, l'attacco intasa parte della rete proxy, quindi una parte significativa degli utenti noterà un calo delle prestazioni.
risultati
I risultati dell'esperimento suggeriscono che le reti proxy possono migliorare le prestazioni delle applicazioni TCP e fornire un livello di servizio familiare agli utenti, anche in caso di attacchi DoS. Secondo i dati ottenuti, i proxy di rete sono un modo efficace per ridurre al minimo le conseguenze degli attacchi, oltre il 90% degli utenti durante l'esperimento non ha avvertito un calo della qualità del servizio. Inoltre, i ricercatori hanno scoperto che all'aumentare delle dimensioni della rete proxy, la portata degli attacchi DoS che può sopportare aumenta quasi linearmente. Pertanto, più grande è la rete, più efficacemente gestirà il DoS.
Link utili e materiali da :
Fonte: www.habr.com