実験: プロキシを使用して DoS 攻撃の悪影響を軽減することは可能か

画像： Unsplash

DoS 攻撃は、現代のインターネットにおける情報セキュリティに対する最大の脅威の XNUMX つです。 攻撃者がこのような攻撃を実行するためにレンタルするボットネットは数十あります。

サンディエゴ大学の科学者 調査 プロキシの使用が DoS 攻撃の悪影響を軽減するのにどの程度役立つか - 私たちはこの研究の主要なテーマを皆さんの注意を引くために提示します。

はじめに: DoS 対策ツールとしてのプロキシ

同様の実験はさまざまな国の研究者によって定期的に実施されていますが、共通の問題は、現実に近い攻撃をシミュレートするためのリソースが不足していることです。 小規模なベンチでのテストでは、プロキシが複雑なネットワークでの攻撃にどの程度うまく抵抗できるか、被害を最小限に抑える能力においてどのパラメータが重要な役割を果たすかなどについての質問に答えることはできません。

実験のために、科学者たちは、電子商取引サービスなどの典型的な Web アプリケーションのモデルを作成しました。 これはサーバーのクラスターの助けを借りて機能し、ユーザーは地理的に異なる場所に分散し、インターネットを使用してサービスにアクセスします。 このモデルでは、インターネットはサービスとユーザー間の通信手段として機能します。これが、検索エンジンからオンライン バンキング ツールに至る Web サービスの仕組みです。

DoS 攻撃により、サービスとユーザー間の通常の対話が不可能になります。 DoS には、アプリケーション層攻撃とインフラストラクチャ層攻撃の XNUMX 種類があります。 後者の場合、攻撃者はネットワークとサービスが実行されているホストを直接攻撃します (たとえば、フラッド トラフィックでネットワーク帯域幅全体をフラッディングします)。 アプリケーション レベルの攻撃の場合、攻撃者のターゲットはユーザー インタラクション インターフェイスです。このため、アプリケーションをクラッシュさせるために膨大な数のリクエストが送信されます。 説明された実験は、インフラストラクチャ レベルでの攻撃に関するものでした。

プロキシ ネットワークは、DoS 攻撃による被害を最小限に抑えるツールの XNUMX つです。 プロキシを使用する場合、ユーザーからサービスへのすべてのリクエストとそれに対する応答は直接送信されず、中間サーバーを介して送信されます。 ユーザーとアプリケーションは両方ともお互いを直接「認識」せず、プロキシ アドレスのみを使用できます。 その結果、アプリケーションを直接攻撃することは不可能になります。 ネットワークのエッジには、いわゆるエッジ プロキシ、つまり利用可能な IP アドレスを持つ外部プロキシがあり、接続は最初にそれらに接続されます。

DoS 攻撃にうまく抵抗するには、プロキシ ネットワークには XNUMX つの重要な機能が必要です。 まず、このような中間ネットワークは仲介者の役割を果たす必要があります。つまり、それを介してのみアプリケーションに「到達」できます。 これにより、サービスに対する直接攻撃の可能性が排除されます。 次に、プロキシ ネットワークは、攻撃中であってもユーザーがアプリケーションを操作できるようにする必要があります。

実験インフラ

この調査では、次の XNUMX つの主要な要素が使用されました。

• プロキシネットワークの実装。
• Apache Webサーバー
• Webテストツール 包囲;
• 攻撃ツール トリヌー.

シミュレーションは MicroGrid 環境で実行されました。MicroGrid 環境を使用すると、Tier-20 オペレーターのネットワークに匹敵する 1 台のルーターを備えたネットワークをシミュレートできます。

一般的な Trinoo ネットワークは、プログラムのデーモンを実行する侵害されたホストのセットで構成されます。 ネットワークを制御し、DoS 攻撃を指示する監視ソフトウェアもあります。 IP アドレスのリストが与えられると、Trinoo デーモンは指定された時刻に UDP パケットをターゲットに送信します。

実験中、16 つのクラスターが使用されました。 MicroGrid シミュレーターは、2.4Gbps イーサネット ハブ経由で接続された 1 ノード (マシンあたり 1GB のメモリを備えた 24GHz サーバー) からなる Xeon Linux クラスター上で実行されました。 他のソフトウェア コンポーネントは、450Mbps イーサネット ハブで接続された 1 ノード (マシンあたり 100 GB のメモリを備えた 1MHz PII Linux-cthdths) のクラスター内に配置されました。 XNUMX つのクラスターは XNUMXGbps チャネルで接続されました。

プロキシ ネットワークは、1000 台のホストのプールでホストされます。 エッジ プロキシは、リソース プール全体に均等に分散されます。 アプリケーションを操作するためのプロキシは、そのインフラストラクチャに近いホスト上に配置されます。 残りのプロキシは、エッジ プロキシとアプリケーション プロキシの間で均等に分散されます。

シミュレーション用ネットワーク

DoS 攻撃に対抗するツールとしてのプロキシの有効性を研究するために、研究者らは、外部影響のさまざまなシナリオの下でアプリケーションの生産性を測定しました。 プロキシ ネットワークには合計 192 のプロキシがありました (そのうち 64 は境界のプロキシでした)。 攻撃を実行するために、100 体の悪魔を含むトリヌー ネットワークが作成されました。 各デーモンには 100Mbps チャネルがありました。 これは、10 台のホーム ルーターのボットネットに相当します。

アプリケーションとプロキシ ネットワークに対する DoS 攻撃の影響が測定されました。 実験的な構成では、アプリケーションのインターネット チャネルは 250 Mbps、各境界プロキシの速度は 100 Mbps でした。

実験結果

分析の結果、250Mbpsへの攻撃によりアプリケーションの応答時間が大幅に（約XNUMX倍）増加し、その結果、アプリケーションが使用できなくなることが判明しました。 ただし、プロキシ ネットワークを使用する場合、攻撃はパフォーマンスに大きな影響を与えず、ユーザー エクスペリエンスを低下させません。 これは、エッジ プロキシが攻撃の効果を弱め、プロキシ ネットワークの総リソースがアプリケーション自体のリソースよりも大きいためです。

統計によると、攻撃力が 6.0 Gbps を超えない場合 (ボーダー プロキシ チャネルの合計帯域幅がわずか 6.4 Gbps であるにもかかわらず)、95% のユーザーは目立ったパフォーマンスの低下を経験しません。 同時に、6.4Gbpsを超える非常に強力な攻撃の場合、プロキシネットワークを使用してもエンドユーザーへのサービスレベルの低下は避けられません。

集中攻撃の場合、攻撃の力がランダムなエッジ プロキシのセットに集中します。 この場合、攻撃によりプロキシ ネットワークの一部が詰まるため、かなりの部分のユーザーがパフォーマンスの低下に気づくことになります。

所見

実験の結果は、プロキシ ネットワークが TCP アプリケーションのパフォーマンスを向上させ、DoS 攻撃が発生した場合でもユーザーに使い慣れたレベルのサービスを提供できることを示唆しています。 得られたデータによると、ネットワーク プロキシは攻撃の影響を最小限に抑える効果的な方法であり、実験中に 90% 以上のユーザーがサービス品質の低下を感じませんでした。 さらに、研究者らは、プロキシ ネットワークのサイズが増加するにつれて、耐えられる DoS 攻撃の規模もほぼ直線的に増加することを発見しました。 したがって、ネットワークが大規模であればあるほど、DoS に効果的に対処できます。

からの役立つリンクと資料 インファティカ:

• 研究: ゲーム理論を使用したブロック耐性のあるプロキシ サービスの作成
• 検閲との戦いの歴史: MIT とスタンフォードの科学者によって作成されたフラッシュ プロキシ手法がどのように機能するか
• プロキシが嘘をついている場合を理解する方法: アクティブな地理位置情報アルゴリズムを使用したネットワーク プロキシの物理的な位置の検証
• インターネット上で自分を偽装する方法: サーバー プロキシと住宅用プロキシの比較

出典: www.habr.com