:ΠΠ±ΡΠ°ΠΆΠ΅Π½ΠΈΠ΅:
Serangan DoS adalah salah satu ancaman terbesar kepada keselamatan maklumat di Internet moden. Terdapat berpuluh-puluh botnet yang disewakan oleh penyerang untuk melakukan serangan sedemikian.
Para saintis dari Universiti San Diego menjalankan Bagaimana penggunaan proksi membantu mengurangkan kesan negatif serangan DoS - kami membentangkan kepada perhatian anda tesis utama kerja ini.
Pengenalan: proksi sebagai alat untuk memerangi DoS
Eksperimen serupa dijalankan secara berkala oleh penyelidik dari negara yang berbeza, tetapi masalah biasa mereka ialah kekurangan sumber untuk mensimulasikan serangan yang hampir kepada realiti. Ujian pada bangku ujian kecil tidak membenarkan menjawab soalan tentang bagaimana proksi berjaya menentang serangan dalam rangkaian kompleks, parameter apakah yang memainkan peranan penting dalam keupayaan untuk meminimumkan kerosakan, dsb.
Untuk percubaan, saintis mencipta model aplikasi web biasa - contohnya, perkhidmatan e-dagang. Ia berfungsi menggunakan sekumpulan pelayan; pengguna diedarkan merentasi lokasi geografi yang berbeza dan menggunakan Internet untuk mengakses perkhidmatan tersebut. Dalam model ini, Internet berfungsi sebagai alat komunikasi antara perkhidmatan dan pengguna - ini adalah cara perkhidmatan web daripada enjin carian kepada alat perbankan dalam talian berfungsi.
Serangan DoS menjadikan interaksi biasa antara perkhidmatan dan pengguna menjadi mustahil. Terdapat dua jenis DoS: serangan peringkat aplikasi dan peringkat infrastruktur. Dalam kes kedua, penyerang secara langsung menyerang rangkaian dan hos di mana perkhidmatan itu berjalan (contohnya, mereka menyumbat keseluruhan lebar jalur rangkaian dengan trafik banjir). Dalam kes serangan peringkat aplikasi, sasaran penyerang ialah antara muka pengguna - untuk melakukan ini, mereka menghantar sejumlah besar permintaan untuk menyebabkan aplikasi ranap. Percubaan menerangkan serangan yang berkenaan di peringkat infrastruktur.
Rangkaian proksi adalah salah satu alat untuk meminimumkan kerosakan daripada serangan DoS. Apabila menggunakan proksi, semua permintaan daripada pengguna kepada perkhidmatan dan respons kepada mereka dihantar bukan secara langsung, tetapi melalui pelayan perantaraan. Kedua-dua pengguna dan aplikasi tidak "melihat" satu sama lain secara langsung; hanya alamat proksi yang tersedia untuk mereka. Akibatnya, adalah mustahil untuk menyerang aplikasi secara langsung. Di pinggir rangkaian terdapat apa yang dipanggil proksi tepi - proksi luaran dengan alamat IP yang tersedia, sambungan pergi kepada mereka terlebih dahulu.
Untuk berjaya menentang serangan DoS, rangkaian proksi mesti mempunyai dua keupayaan utama. Pertama, rangkaian perantaraan sedemikian mesti memainkan peranan sebagai perantara, iaitu, aplikasi hanya boleh "dicapai" melaluinya. Ini akan menghapuskan kemungkinan serangan langsung ke atas perkhidmatan. Kedua, rangkaian proksi mesti boleh membenarkan pengguna untuk masih berinteraksi dengan aplikasi walaupun semasa serangan.
Infrastruktur eksperimen
Kajian ini menggunakan empat komponen utama:
- pelaksanaan rangkaian proksi;
- pelayan web Apache;
- alat ujian web ;
- alat serangan .
Simulasi telah dijalankan dalam persekitaran MicroGrid - ia boleh digunakan untuk mensimulasikan rangkaian dengan 20 ribu penghala, yang setanding dengan rangkaian pengendali Tier-1.
Rangkaian Trinoo biasa terdiri daripada satu set hos terjejas yang menjalankan daemon program. Terdapat juga perisian pemantauan untuk memantau rangkaian dan mengarahkan serangan DoS. Selepas menerima senarai alamat IP, daemon Trinoo menghantar paket UDP ke sasaran pada masa yang ditetapkan.
Semasa eksperimen, dua kelompok telah digunakan. Simulator MicroGrid dijalankan pada kluster Xeon Linux 16-nod (pelayan 2.4GHz dengan memori 1 gigabait pada setiap mesin) yang disambungkan melalui hab Ethernet 1 Gbps. Komponen perisian lain terletak dalam kelompok 24 nod (450MHz PII Linux-cthdths dengan 1 GB memori pada setiap mesin), disambungkan oleh hab Ethernet 100Mbps. Dua kluster disambungkan oleh saluran 1Gbps.
Rangkaian proksi dihoskan dalam kumpulan 1000 hos. Proksi tepi diagihkan sama rata di seluruh kumpulan sumber. Proksi untuk bekerja dengan aplikasi terletak pada hos yang lebih dekat dengan infrastrukturnya. Proksi yang tinggal diagihkan sama rata antara proksi tepi dan aplikasi.
Rangkaian simulasi
Untuk mengkaji keberkesanan proksi sebagai alat untuk menentang serangan DoS, penyelidik mengukur produktiviti aplikasi di bawah senario pengaruh luaran yang berbeza. Terdapat sejumlah 192 proksi dalam rangkaian proksi (64 daripadanya kelebihan). Untuk melakukan serangan itu, rangkaian Trinoo telah diwujudkan, termasuk 100 syaitan. Setiap syaitan mempunyai saluran 100Mbps. Ini sepadan dengan botnet 10 ribu penghala rumah.
Kesan serangan DoS terhadap aplikasi dan rangkaian proksi telah diukur. Dalam konfigurasi percubaan, aplikasi mempunyai saluran Internet 250 Mbps, dan setiap proksi tepi mempunyai saluran 100 Mbps.
Hasil percubaan
Berdasarkan hasil analisis, ternyata serangan pada 250Mbps dengan ketara meningkatkan masa tindak balas aplikasi (kira-kira sepuluh kali ganda), akibatnya menjadi mustahil untuk menggunakannya. Walau bagaimanapun, apabila menggunakan rangkaian proksi, serangan itu tidak mempunyai kesan yang ketara terhadap prestasi dan tidak merendahkan pengalaman pengguna. Ini berlaku kerana proksi tepi mencairkan kesan serangan dan jumlah sumber rangkaian proksi adalah lebih tinggi daripada sumber aplikasi itu sendiri.
Menurut statistik, jika kuasa serangan tidak melebihi 6.0Gbps (walaupun jumlah keseluruhan saluran proksi tepi hanya 6.4Gbps), maka 95% pengguna tidak mengalami penurunan prestasi yang ketara. Selain itu, dalam kes serangan yang sangat kuat melebihi 6.4Gbps, walaupun penggunaan rangkaian proksi tidak akan mengelakkan kemerosotan tahap perkhidmatan untuk pengguna akhir.
Dalam kes serangan tertumpu, apabila kuasa mereka tertumpu pada set rawak proksi tepi. Dalam kes ini, serangan itu menyumbat sebahagian daripada rangkaian proksi, jadi sebahagian besar pengguna akan melihat penurunan dalam prestasi.
Penemuan
Keputusan percubaan mencadangkan bahawa rangkaian proksi boleh meningkatkan prestasi aplikasi TCP dan menyediakan tahap perkhidmatan biasa kepada pengguna, walaupun sekiranya berlaku serangan DoS. Menurut data yang diperoleh, rangkaian proksi ternyata cara yang berkesan untuk meminimumkan akibat serangan; lebih daripada 90% pengguna tidak mengalami penurunan dalam kualiti perkhidmatan semasa percubaan. Di samping itu, penyelidik mendapati bahawa apabila saiz rangkaian proksi meningkat, skala serangan DoS yang boleh ditahannya meningkat hampir secara linear. Oleh itu, lebih besar rangkaian, lebih berkesan ia akan memerangi DoS.
Pautan dan bahan berguna daripada :
Sumber: www.habr.com