Esperiment: huwa possibbli li jitnaqqsu l-effetti negattivi ta 'attakki DoS bl-użu ta' prokura

Stampa: Unsplash

L-attakki DoS huma wieħed mill-akbar theddidiet għas-sigurtà tal-informazzjoni fuq l-Internet modern. Hemm għexieren ta 'botnets li l-attakkanti jikru biex iwettqu attakki bħal dawn.

Xjentisti mill-Università ta 'San Diego riċerka il-punt sa fejn l-użu ta 'prokuri jgħin biex jitnaqqas l-effett negattiv ta' attakki DoS - aħna nippreżentaw għall-attenzjoni tiegħek it-teżijiet ewlenin ta 'dan ix-xogħol.

Introduzzjoni: Prokura bħala Għodda għall-Ġlieda DoS

Esperimenti simili jitwettqu perjodikament minn riċerkaturi minn pajjiżi differenti, iżda l-problema komuni tagħhom hija n-nuqqas ta 'riżorsi biex jissimulaw attakki li huma qrib ir-realtà. It-testijiet fuq bankijiet żgħar ma jippermettux li jwieġbu mistoqsijiet dwar kif il-prokuri se jirreżistu b'suċċess attakk f'netwerks kumplessi, liema parametri għandhom rwol ewlieni fil-kapaċità li jimminimizzaw il-ħsara, eċċ.

Għall-esperiment, ix-xjentisti ħolqu mudell ta 'applikazzjoni web tipika - pereżempju, servizz ta' kummerċ elettroniku. Jaħdem bl-għajnuna ta 'grupp ta' servers, l-utenti huma mqassma f'postijiet ġeografiċi differenti u jużaw l-Internet biex jaċċessaw is-servizz. F'dan il-mudell, l-Internet iservi bħala mezz ta' komunikazzjoni bejn is-servizz u l-utenti - hekk jaħdmu s-servizzi tal-web minn magni tat-tiftix għal għodod bankarji onlajn.

L-attakki DoS jagħmlu l-interazzjoni normali bejn is-servizz u l-utenti impossibbli. Hemm żewġ tipi ta' DoS: attakki ta' saff ta' applikazzjoni u attakki ta' saff ta' infrastruttura. Fil-każ tal-aħħar, l-attakkanti jattakkaw direttament in-netwerk u l-hosts li fuqhom qed jaħdem is-servizz (per eżempju, jgħarrqu l-bandwidth tan-netwerk kollu bit-traffiku tal-għargħar). Fil-każ ta 'attakk fil-livell ta' applikazzjoni, il-mira tal-attakkant hija l-interface tal-interazzjoni tal-utent - għal dan huma jibagħtu numru kbir ta 'talbiet sabiex jikkawżaw l-applikazzjoni tiġġarraf. L-esperiment deskritt kien jikkonċerna attakki fil-livell tal-infrastruttura.

In-netwerks tal-prokura huma waħda mill-għodod biex jimminimizzaw il-ħsara minn attakki DoS. Fil-każ ta 'użu ta' prokura, it-talbiet kollha mill-utent għas-servizz u t-tweġibiet għalihom mhumiex trażmessi direttament, iżda permezz ta 'servers intermedji. Kemm l-utent kif ukoll l-applikazzjoni "ma jarawx" lil xulxin direttament, l-indirizzi tal-prokura biss huma disponibbli għalihom. Bħala riżultat, huwa impossibbli li tattakka l-applikazzjoni direttament. Fit-tarf tan-netwerk hemm l-hekk imsejħa prokuri tat-tarf - prokuri esterni b'indirizzi IP disponibbli, il-konnessjoni tmur l-ewwel għalihom.

Sabiex jirreżisti b'suċċess attakk DoS, netwerk prokura għandu jkollu żewġ kapaċitajiet ewlenin. L-ewwelnett, netwerk intermedju bħal dan għandu jkollu r-rwol ta 'intermedjarju, jiġifieri, tista' "tgħaddi" għall-applikazzjoni biss permezz tagħha. Dan se jelimina l-possibbiltà ta 'attakk dirett fuq is-servizz. It-tieni, in-netwerk prokura għandu jkun jista 'jippermetti lill-utenti li xorta jinteraġixxu mal-applikazzjoni, anke waqt l-attakk.

Infrastruttura tal-esperimenti

L-istudju uża erba’ komponenti ewlenin:

• implimentazzjoni ta' netwerk ta' prokura;
• Web server Apache
• għodda għall-ittestjar tal-web Assedju;
• għodda attakk Trinoo.

Is-simulazzjoni twettqet fl-ambjent MicroGrid - tista 'tintuża biex tissimula netwerks b'20 elf router, li hija komparabbli man-netwerks ta' operaturi Tier-1.

Netwerk Trinoo tipiku jikkonsisti f'sett ta' hosts kompromessi li jmexxu d-daemon tal-programm. Hemm ukoll softwer ta 'monitoraġġ biex jikkontrolla n-netwerk u jidderieġi attakki DoS. Minħabba lista ta 'indirizzi IP, id-daemon Trinoo jibgħat pakketti UDP lill-miri fil-ħin speċifikat.

Matul l-esperiment, intużaw żewġ gruppi. Is-simulatur MicroGrid dam fuq raggruppament Xeon Linux ta’ 16-il nod (servers ta’ 2.4GHz b’1GB ta’ memorja għal kull magna) konnessi permezz ta’ hub Ethernet ta’ 1Gbps. Komponenti oħra tas-softwer kienu jinsabu f'grupp ta '24 node (450MHz PII Linux-cthdths b'1 GB ta' memorja għal kull magna) konnessi minn hub Ethernet ta '100Mbps. Żewġ clusters kienu konnessi minn kanal 1Gbps.

In-netwerk ta' prokura huwa ospitat f'grupp ta' 1000 host. Il-prokuraturi tat-tarf huma mqassma b'mod ugwali madwar il-ġabra tar-riżorsi. Prokuri għall-ħidma mal-applikazzjoni jinsabu fuq hosts li huma eqreb tal-infrastruttura tagħha. Il-bqija tal-prokuri huma mqassma b'mod ugwali bejn il-prokuri tat-tarf u l-prokuri tal-applikazzjoni.

Netwerk għas-simulazzjoni

Biex tistudja l-effettività ta 'prokura bħala għodda biex tiġġieled attakk DoS, ir-riċerkaturi kejlu l-produttività tal-applikazzjoni taħt xenarji differenti ta' influwenzi esterni. B'kollox, kien hemm 192 prokura fin-netwerk ta' prokura (64 minnhom kienu dawk tal-fruntiera). Biex twettaq l-attakk, inħoloq netwerk Trinoo, inkluż 100 demon. Kull wieħed mid-daemons kellu kanal ta '100Mbps. Dan jikkorrispondi għal botnet ta' 10 home router.

Ġie mkejjel l-impatt ta' attakk DoS fuq l-applikazzjoni u n-netwerk proxy. Fil-konfigurazzjoni sperimentali, l-applikazzjoni kellha kanal tal-Internet ta '250Mbps, u kull prokura tal-fruntiera kellha 100 Mbps.

Ir-riżultati tal-esperimenti

Skont ir-riżultati tal-analiżi, irriżulta li attakk fuq 250Mbps iżid b'mod sinifikanti l-ħin tar-rispons tal-applikazzjoni (madwar għaxar darbiet), b'riżultat li jsir impossibbli li tużah. Madankollu, meta tuża netwerk prokura, l-attakk m'għandux impatt sinifikanti fuq il-prestazzjoni u ma jiddegradax l-esperjenza tal-utent. Dan minħabba li l-prokuri tat-tarf inaqqsu l-effett tal-attakk, u r-riżorsi totali tan-netwerk tal-prokura huma ogħla minn dawk tal-applikazzjoni nnifisha.

Skont l-istatistika, jekk il-qawwa tal-attakk ma taqbiżx is-6.0Gbps (minkejja l-fatt li l-bandwidth totali tal-kanali prokura tal-fruntiera hija biss 6.4Gbps), allura 95% tal-utenti ma jesperjenzawx degradazzjoni notevoli tal-prestazzjoni. Fl-istess ħin, fil-każ ta 'attakk qawwi ħafna li jaqbeż is-6.4Gbps, anki l-użu ta' netwerk proxy ma jippermettix li tiġi evitata d-degradazzjoni tal-livell ta 'servizz għall-utenti finali.

Fil-każ ta 'attakki kkonċentrati, meta l-qawwa tagħhom hija kkonċentrata fuq sett każwali ta' prokuri tat-tarf. F'dan il-każ, l-attakk isodd parti min-netwerk tal-prokura, għalhekk porzjon sinifikanti tal-utenti jindunaw tnaqqis fil-prestazzjoni.

Sejbiet

Ir-riżultati ta 'l-esperiment jissuġġerixxu li netwerks ta' prokura jistgħu jtejbu l-prestazzjoni ta 'applikazzjonijiet TCP u jipprovdu livell familjari ta' servizz għall-utenti, anke fil-każ ta 'attakki DoS. Skont id-dejta miksuba, il-prokuri tan-netwerk huma mod effettiv biex jimminimizzaw il-konsegwenzi tal-attakki, aktar minn 90% tal-utenti matul l-esperiment ma ħassewx tnaqqis fil-kwalità tas-servizz. Barra minn hekk, ir-riċerkaturi sabu li hekk kif id-daqs tan-netwerk tal-prokura jiżdied, l-iskala tal-attakki DoS li jista 'jsofri tiżdied kważi b'mod lineari. Għalhekk, iktar ma jkun kbir in-netwerk, aktar se jittratta b'mod effettiv id-DoS.

Links u materjali utli minn Infatika:

• Riċerka: Ħolqien ta 'servizz ta' prokura reżistenti għall-blokki bl-użu tat-teorija tal-logħob
• L-istorja tal-ġlieda kontra ċ-ċensura: kif jaħdem il-metodu flash proxy maħluq minn xjentisti mill-MIT u Stanford
• Kif tifhem meta l-prokuri qed jigdeb: verifika tal-postijiet fiżiċi tal-prokuri tan-netwerk bl-użu tal-algoritmu ta' ġeolokazzjoni attiva
• Kif jaħbi lilek innifsek fuq l-Internet: tqabbel servers u prokuri residenzjali

Sors: www.habr.com