ניסוי: האם ניתן להפחית את ההשפעות השליליות של התקפות DoS באמצעות פרוקסי

תְמוּנָה: Unsplash

התקפות DoS הן אחד האיומים הגדולים ביותר על אבטחת המידע באינטרנט המודרני. יש עשרות רשתות בוטים שתוקפים משכירים כדי לבצע התקפות כאלה.

מדענים מאוניברסיטת סן דייגו מחקר עד כמה השימוש בפרוקסי עוזר להפחית את ההשפעה השלילית של התקפות DoS - אנו מציגים לתשומת לבך את התזות העיקריות של עבודה זו.

מבוא: פרוקסי ככלי לחימה ב-DoS

ניסויים דומים מבוצעים מעת לעת על ידי חוקרים ממדינות שונות, אך הבעיה הנפוצה שלהם היא המחסור במשאבים לדמות התקפות הקרובות למציאות. בדיקות על ספסלים קטנים אינם מאפשרים לענות על שאלות לגבי מידת ההצלחה של פרוקסי יתנגדו להתקפה ברשתות מורכבות, אילו פרמטרים ממלאים תפקיד מפתח ביכולת למזער נזקים וכו'.

לצורך הניסוי יצרו המדענים מודל של אפליקציית אינטרנט טיפוסית - למשל, שירות מסחר אלקטרוני. זה עובד בעזרת אשכול שרתים, המשתמשים מופצים במקומות גיאוגרפיים שונים ומשתמשים באינטרנט כדי לגשת לשירות. במודל זה האינטרנט משמש כאמצעי תקשורת בין השירות למשתמשים – כך פועלים שירותי אינטרנט ממנועי חיפוש ועד כלי בנקאות מקוונים.

התקפות DoS הופכות אינטראקציה רגילה בין השירות למשתמשים לבלתי אפשרית. ישנם שני סוגים של DoS: התקפות שכבת יישומים והתקפות שכבת תשתית. במקרה האחרון, תוקפים תוקפים ישירות את הרשת ואת המארחים שעליהם פועל השירות (לדוגמה, הם מציפים את כל רוחב הפס של הרשת בתעבורה מציפה). במקרה של התקפה ברמת האפליקציה, המטרה של התוקף היא ממשק האינטראקציה של המשתמש - לשם כך הם שולחים מספר עצום של בקשות על מנת לגרום לאפליקציה לקרוס. הניסוי המתואר עסק בהתקפות ברמת התשתית.

רשתות פרוקסי הן אחד הכלים למזער נזקים מהתקפות DoS. במקרה של שימוש ב-proxy, כל הבקשות מהמשתמש לשירות והתשובות להן אינן מועברות ישירות, אלא באמצעות שרתי ביניים. גם המשתמש וגם האפליקציה "לא רואים" זה את זה ישירות, רק כתובות פרוקסי זמינות עבורם. כתוצאה מכך, אי אפשר לתקוף את האפליקציה ישירות. בקצה הרשת יש מה שנקרא edge proxies - פרוקסי חיצוניים עם כתובות IP זמינות, החיבור עובר קודם אליהם.

כדי להתנגד בהצלחה להתקפת DoS, רשת פרוקסי חייבת להיות בעלת שתי יכולות מפתח. ראשית, רשת ביניים כזו צריכה למלא תפקיד של מתווך, כלומר, אתה יכול "לעבור" לאפליקציה רק ​​דרכה. זה יבטל את האפשרות של התקפה ישירה על השירות. שנית, רשת ה-proxy חייבת להיות מסוגלת לאפשר למשתמשים עדיין ליצור אינטראקציה עם האפליקציה, אפילו במהלך ההתקפה.

ניסוי תשתית

המחקר השתמש בארבעה מרכיבים מרכזיים:

• יישום רשת פרוקסי;
• שרת אינטרנט של אפאצ'י
• כלי בדיקת אינטרנט מצור;
• כלי תקיפה טרינו.

הסימולציה בוצעה בסביבת MicroGrid - ניתן להשתמש בה כדי לדמות רשתות עם 20 אלף נתבים, אשר ניתן להשוות לרשתות של מפעילי Tier-1.

רשת Trinoo טיפוסית מורכבת מקבוצה של מארחים שנפגעו המריצים את הדמון של התוכנית. יש גם תוכנת ניטור לשליטה ברשת ולהפנות התקפות DoS. בהינתן רשימה של כתובות IP, הדמון Trinoo שולח מנות UDP למטרות בזמן שצוין.

במהלך הניסוי נעשה שימוש בשני אשכולות. סימולטור MicroGrid רץ על אשכול Xeon Linux של 16 צמתים (שרתים 2.4GHz עם 1GB זיכרון לכל מכונה) המחוברים דרך רכזת Ethernet של 1Gbps. רכיבי תוכנה אחרים אותרו באשכול של 24 צמתים (450MHz PII Linux-cthdths עם 1 GB זיכרון לכל מכונה) המחוברים באמצעות רכזת Ethernet של 100Mbps. שני אשכולות חוברו על ידי ערוץ 1Gbps.

רשת ה-proxy מתארחת במאגר של 1000 מארחים. פרוקסי Edge מחולקים באופן שווה בכל מאגר המשאבים. פרוקסי לעבודה עם האפליקציה ממוקמים על מארחים הקרובים יותר לתשתית שלה. שאר ה-proxies מחולקים באופן שווה בין פרוקסי הקצה לבין פרוקסי האפליקציה.

רשת לסימולציה

כדי לחקור את היעילות של פרוקסי ככלי למניעת התקפת DoS, החוקרים מדדו את הפרודוקטיביות של האפליקציה תחת תרחישים שונים של השפעות חיצוניות. בסך הכל, היו 192 פרוקסי ברשת הפרוקסי (64 מתוכם היו גבולות). כדי לבצע את המתקפה, נוצרה רשת Trinoo הכוללת 100 שדים. לכל אחד מהדמונים היה ערוץ של 100Mbps. זה מתאים ל-botnet של 10 נתבים ביתיים.

נמדדה ההשפעה של מתקפת DoS על האפליקציה ועל רשת ה-proxy. בתצורה הניסיונית, לאפליקציה היה ערוץ אינטרנט של 250Mbps, ולכל פרוקסי גבול היה 100 Mbps.

תוצאות הניסוי

על פי תוצאות הניתוח, התברר כי מתקפה על 250Mbps מגדילה משמעותית את זמן התגובה של האפליקציה (כפי עשרה), וכתוצאה מכך לא ניתן להשתמש בה. עם זאת, בעת שימוש ברשת פרוקסי, למתקפה אין השפעה משמעותית על הביצועים ואינה פוגעת בחוויית המשתמש. הסיבה לכך היא שפרוקסי קצה מדללים את השפעת המתקפה, וסך המשאבים של רשת ה-proxy גבוהים מאלה של האפליקציה עצמה.

לפי הסטטיסטיקה, אם עוצמת ההתקפה אינה עולה על 6.0Gbps (למרות שרוחב הפס הכולל של ערוצי ה-proxy הגבול הוא רק 6.4Gbps), אזי 95% מהמשתמשים אינם חווים ירידה ניכרת בביצועים. יחד עם זאת, במקרה של התקפה חזקה מאוד העולה על 6.4Gbps, אפילו השימוש ברשת פרוקסי לא יאפשר למנוע ירידה ברמת השירות עבור משתמשי הקצה.

במקרה של התקפות מרוכזות, כאשר כוחן מרוכז בסט אקראי של פרוקסי קצה. במקרה זה, המתקפה סותמת חלק מרשת ה-proxy, כך שחלק ניכר מהמשתמשים יבחינו בירידה בביצועים.

ממצאים

תוצאות הניסוי מצביעות על כך שרשתות פרוקסי יכולות לשפר את הביצועים של יישומי TCP ולספק רמת שירות מוכרת למשתמשים, גם במקרה של התקפות DoS. לפי הנתונים שהתקבלו, פרוקסי רשת הם דרך יעילה למזער את ההשלכות של התקפות, יותר מ-90% מהמשתמשים במהלך הניסוי לא הרגישו ירידה באיכות השירות. בנוסף, החוקרים מצאו שככל שגודל רשת ה-proxy גדל, היקף התקפות ה-DoS שהיא יכולה לסבול גדל כמעט באופן ליניארי. לכן, ככל שהרשת גדולה יותר, כך היא תתמודד עם DoS בצורה יעילה יותר.

קישורים וחומרים שימושיים מ אינפאטיקה:

• מחקר: יצירת שירות פרוקסי עמיד לחסימות באמצעות תורת המשחקים
• ההיסטוריה של המאבק נגד הצנזורה: כיצד פועלת שיטת ה-Flash Proxy שנוצרה על ידי מדענים מ-MIT וסטנפורד
• כיצד להבין מתי פרוקסי משקרים: אימות מיקומים פיזיים של פרוקסי רשת באמצעות אלגוריתם המיקום הגיאוגרפי הפעיל
• איך להסוות את עצמך באינטרנט: השוואת פרוקסי שרת ומגורים

מקור: www.habr.com