Paveikslėlis:
DoS atakos yra viena didžiausių grėsmių informacijos saugumui šiuolaikiniame internete. Yra dešimtys botnetų, kuriuos užpuolikai nuomoja tokioms atakoms vykdyti.
Mokslininkai iš San Diego universiteto kiek tarpinių serverių naudojimas padeda sumažinti neigiamą DoS atakų poveikį – Jūsų dėmesiui pateikiame pagrindines šio darbo tezes.
Įvadas: tarpinis serveris kaip DoS kovos įrankis
Panašius eksperimentus periodiškai atlieka mokslininkai iš skirtingų šalių, tačiau bendra jų problema – resursų trūkumas imituoti atakas, artimas tikrovei. Bandymai ant mažų suolelių neleidžia atsakyti į klausimus, kaip sėkmingai tarpiniai serveriai atsispirs atakai sudėtinguose tinkluose, kokie parametrai atlieka pagrindinį vaidmenį siekiant sumažinti žalą ir pan.
Eksperimentui mokslininkai sukūrė tipinės žiniatinklio programos – pavyzdžiui, elektroninės prekybos paslaugos – modelį. Jis veikia su serverių klasterio pagalba, vartotojai yra paskirstyti skirtingose geografinėse vietose ir prieigai prie paslaugos naudojasi internetu. Šiame modelyje internetas tarnauja kaip ryšio tarp paslaugos ir vartotojų priemonė – taip interneto paslaugos veikia nuo paieškos sistemų iki internetinės bankininkystės įrankių.
DoS atakos padaro neįmanomą normalią paslaugos ir vartotojų sąveiką. Yra du DoS tipai: taikomojo sluoksnio atakos ir infrastruktūros sluoksnio atakos. Pastaruoju atveju užpuolikai tiesiogiai atakuoja tinklą ir pagrindinius kompiuterius, kuriuose veikia paslauga (pavyzdžiui, jie užtvindo visą tinklo pralaidumą srautu). Programos lygio atakos atveju užpuoliko taikinys yra vartotojo sąveikos sąsaja – tam jie siunčia daugybę užklausų, kad programa sugestų. Aprašytas eksperimentas buvo susijęs su atakomis infrastruktūros lygiu.
Tarpiniai tinklai yra viena iš priemonių, leidžiančių sumažinti DoS atakų žalą. Naudojant tarpinį serverį, visos vartotojo užklausos paslaugai ir atsakymai į jas perduodami ne tiesiogiai, o per tarpinius serverius. Tiek vartotojas, tiek programa vienas kito tiesiogiai „nemato“, jiems prieinami tik tarpinio serverio adresai. Dėl to neįmanoma tiesiogiai pulti programos. Tinklo pakraštyje yra vadinamieji krašto tarpiniai serveriai – išoriniai tarpiniai serveriai su turimais IP adresais, ryšys eina pirmiausia prie jų.
Kad galėtų sėkmingai atsispirti DoS atakai, tarpinis serveris turi turėti dvi pagrindines galimybes. Pirma, toks tarpinis tinklas turėtų atlikti tarpininko vaidmenį, tai yra, jūs galite „patekti“ į programą tik per jį. Tai pašalins tiesioginio atakos prieš paslaugą galimybę. Antra, tarpinio serverio tinklas turi leisti vartotojams vis tiek bendrauti su programa net atakos metu.
Eksperimento infrastruktūra
Tyrime buvo naudojami keturi pagrindiniai komponentai:
- tarpinio serverio tinklo diegimas;
- Apache žiniatinklio serveris
- žiniatinklio testavimo įrankis ;
- puolimo įrankis .
Modeliavimas buvo atliktas MicroGrid aplinkoje – juo galima imituoti tinklus su 20 tūkstančių maršrutizatorių, kas prilygsta Tier-1 operatorių tinklams.
Įprastą „Trinoo“ tinklą sudaro pažeistų kompiuterių, kuriuose veikia programos demonas, rinkinys. Taip pat yra stebėjimo programinė įranga, skirta valdyti tinklą ir tiesiogines DoS atakas. Turėdamas IP adresų sąrašą, „Trinoo“ demonas siunčia UDP paketus į taikinius nurodytu laiku.
Eksperimento metu buvo naudojami du klasteriai. „MicroGrid“ simuliatorius veikė „Xeon Linux“ klasteryje, sudarytame iš 16 mazgų (2.4 GHz serveriai su 1 GB atminties viename aparate), prijungtame per 1 Gbps Ethernet šakotuvą. Kiti programinės įrangos komponentai buvo 24 mazgų (450 MHz PII Linux cthdths su 1 GB atminties vienam įrenginiui), sujungtų 100 Mbps Ethernet šakotuvu, grupėje. Du klasteriai buvo sujungti 1 Gbps kanalu.
Tarpinio serverio tinklas yra priglobtas 1000 prieglobų. Edge tarpiniai serveriai yra tolygiai paskirstyti visame išteklių telkinyje. Tarpiniai serveriai, skirti dirbti su programa, yra pagrindiniuose kompiuteriuose, kurie yra arčiau jos infrastruktūros. Likę tarpiniai serveriai yra tolygiai paskirstyti tarp kraštinių tarpinių serverių ir programos tarpinių serverių.
Modeliavimo tinklas
Norėdami ištirti tarpinio serverio, kaip priemonės, padedančios kovoti su DoS ataka, efektyvumą, mokslininkai išmatavo programos produktyvumą pagal skirtingus išorinės įtakos scenarijus. Iš viso tarpinių serverių tinkle buvo 192 tarpiniai serveriai (iš jų 64 – pasienio). Išpuoliui įvykdyti buvo sukurtas „Trinoo“ tinklas, įskaitant 100 demonų. Kiekvienas demonas turėjo 100 Mbps kanalą. Tai atitinka 10 XNUMX namų maršrutizatorių robotų tinklą.
Buvo išmatuotas DoS atakos poveikis programai ir tarpinio serverio tinklui. Eksperimentinėje konfigūracijoje programa turėjo 250 Mbps interneto kanalą, o kiekvienas pasienio tarpinis serveris turėjo 100 Mbps.
Eksperimento rezultatai
Remiantis analizės rezultatais, paaiškėjo, kad 250Mbps ataka žymiai padidina programos atsako laiką (apie dešimt kartų), todėl ja naudotis tampa neįmanoma. Tačiau naudojant tarpinio serverio tinklą ataka neturi didelės įtakos našumui ir nepablogina vartotojo patirties. Taip yra todėl, kad tarpiniai serveriai sumažina atakos poveikį, o bendri tarpinio serverio tinklo ištekliai yra didesni nei pačios programos.
Remiantis statistika, jei atakos galia neviršija 6.0 Gbps (nepaisant to, kad bendras pasienio tarpinio serverio kanalų pralaidumas yra tik 6.4 Gbps), 95% vartotojų nepatiria pastebimo veikimo pablogėjimo. Tuo pačiu metu, esant labai galingai atakai, viršijančiai 6.4 Gbps, net ir tarpinio serverio naudojimas neleistų išvengti galutinių vartotojų paslaugų lygio pablogėjimo.
Koncentruotų atakų atveju, kai jų galia sutelkta į atsitiktinį kraštinių tarpinių serverių rinkinį. Tokiu atveju ataka užkemša dalį tarpinio serverio tinklo, todėl nemaža dalis vartotojų pastebės našumo sumažėjimą.
išvados
Eksperimento rezultatai rodo, kad tarpinio serverio tinklai gali pagerinti TCP programų našumą ir suteikti vartotojams žinomo lygio paslaugas net DoS atakų atveju. Remiantis gautais duomenimis, tinklo tarpiniai serveriai yra efektyvus būdas sumažinti atakų pasekmes, daugiau nei 90% vartotojų eksperimento metu nepajuto paslaugos kokybės sumažėjimo. Be to, mokslininkai nustatė, kad didėjant tarpinio serverio tinklo dydžiui, DoS atakų, kurias jis gali atlaikyti, mastas didėja beveik tiesiškai. Todėl kuo didesnis tinklas, tuo efektyviau jis susidoros su DoS.
Naudingos nuorodos ir medžiaga iš :
Šaltinis: www.habr.com