Foto:
DoS-aanvallen vormen een van de grootste bedreigingen voor informatiebeveiliging op het moderne internet. Er zijn tientallen botnets die aanvallers verhuren om dergelijke aanvallen uit te voeren.
Wetenschappers van de Universiteit van San Diego de mate waarin het gebruik van proxy's helpt om het negatieve effect van DoS-aanvallen te verminderen - we presenteren onder uw aandacht de belangrijkste stellingen van dit werk.
Introductie: Proxy als DoS Fighting Tool
Soortgelijke experimenten worden periodiek uitgevoerd door onderzoekers uit verschillende landen, maar hun gemeenschappelijke probleem is het gebrek aan middelen om aanvallen te simuleren die de realiteit benaderen. Tests op kleine banken laten geen antwoord op vragen over hoe succesvol proxy's een aanval in complexe netwerken zullen weerstaan, welke parameters een sleutelrol spelen bij het vermogen om schade te minimaliseren, enz.
Voor het experiment creΓ«erden de wetenschappers een model van een typische webapplicatie, bijvoorbeeld een e-commerceservice. Het werkt met behulp van een cluster van servers, gebruikers zijn verspreid over verschillende geografische locaties en gebruiken internet om toegang te krijgen tot de service. In dit model dient internet als communicatiemiddel tussen de service en gebruikers - zo werken webservices van zoekmachines tot tools voor online bankieren.
DoS-aanvallen maken normale interactie tussen de dienst en gebruikers onmogelijk. Er zijn twee soorten DoS: aanvallen op de applicatielaag en aanvallen op de infrastructuurlaag. In het laatste geval vallen aanvallers rechtstreeks het netwerk en de hosts aan waarop de dienst draait (ze overspoelen bijvoorbeeld de hele netwerkbandbreedte met overstromingsverkeer). In het geval van een aanval op applicatieniveau is het doelwit van de aanvaller de interface voor gebruikersinteractie - hiervoor sturen ze een groot aantal verzoeken om de applicatie te laten crashen. Het beschreven experiment betrof aanvallen op infrastructuurniveau.
Proxynetwerken zijn een van de tools om de schade door DoS-aanvallen te minimaliseren. In het geval van het gebruik van een proxy worden alle verzoeken van de gebruiker aan de service en de antwoorden daarop niet rechtstreeks verzonden, maar via tussenliggende servers. Zowel de gebruiker als de applicatie "zien" elkaar niet rechtstreeks, er zijn alleen proxy-adressen voor hen beschikbaar. Als gevolg hiervan is het onmogelijk om de applicatie rechtstreeks aan te vallen. Aan de rand van het netwerk bevinden zich zogenaamde edge-proxy's - externe proxies met beschikbare IP-adressen, de verbinding gaat eerst naar hen toe.
Om een ββDoS-aanval met succes te weerstaan, moet een proxynetwerk twee belangrijke mogelijkheden hebben. Ten eerste zou zo'n intermediair netwerk de rol van tussenpersoon moeten spelen, dat wil zeggen dat u alleen via de applicatie kunt "doordringen". Dit elimineert de mogelijkheid van een directe aanval op de service. Ten tweede moet het proxynetwerk gebruikers in staat stellen om met de applicatie te communiceren, zelfs tijdens de aanval.
Experimenteer infrastructuur
De studie gebruikte vier belangrijke componenten:
- implementatie van een proxy-netwerk;
- Apache webserver
- tool voor webtesten ;
- aanval hulpmiddel .
De simulatie is uitgevoerd in de MicroGrid-omgeving - hiermee kunnen netwerken met 20 routers worden gesimuleerd, wat vergelijkbaar is met de netwerken van Tier-1-operators.
Een typisch Trinoo-netwerk bestaat uit een set gecompromitteerde hosts die de daemon van het programma uitvoeren. Er is ook monitoringsoftware om het netwerk te controleren en DoS-aanvallen te sturen. Gegeven een lijst met IP-adressen, stuurt de Trinoo-daemon UDP-pakketten op het opgegeven tijdstip naar de doelen.
Tijdens het experiment werden twee clusters gebruikt. De MicroGrid-simulator draaide op een Xeon Linux-cluster van 16 knooppunten (2.4 GHz-servers met 1 GB geheugen per machine) verbonden via een 1 Gbps Ethernet-hub. Andere softwarecomponenten bevonden zich in een cluster van 24 knooppunten (450 MHz PII Linux-cthdths met 1 GB geheugen per machine) verbonden door een 100 Mbps Ethernet-hub. Twee clusters waren verbonden door een 1Gbps-kanaal.
Het proxynetwerk wordt gehost in een pool van 1000 hosts. Edge-proxy's worden gelijkmatig verdeeld over de resourcepool. Proxy's voor het werken met de applicatie bevinden zich op hosts die zich dichter bij de infrastructuur bevinden. De rest van de proxy's wordt gelijkmatig verdeeld tussen de edge-proxy's en de toepassingsproxy's.
Netwerk voor simulatie
Om de effectiviteit van een proxy als hulpmiddel om een ββDoS-aanval tegen te gaan te bestuderen, maten de onderzoekers de productiviteit van de applicatie onder verschillende scenario's van externe invloeden. In totaal waren er 192 proxy's in het proxynetwerk (waarvan 64 aan de grens). Om de aanval uit te voeren, werd een Trinoo-netwerk gemaakt, inclusief 100 demonen. Elk van de daemons had een kanaal van 100 Mbps. Dit komt overeen met een botnet van 10 thuisrouters.
De impact van een DoS-aanval op de applicatie en het proxynetwerk werd gemeten. In de experimentele configuratie had de applicatie een internetkanaal van 250 Mbps en had elke grensproxy 100 Mbps.
Experimenteer resultaten
Volgens de resultaten van de analyse bleek dat een aanval op 250 Mbps de responstijd van de applicatie aanzienlijk verhoogt (ongeveer tien keer), waardoor het onmogelijk wordt om deze te gebruiken. Bij gebruik van een proxynetwerk heeft de aanval echter geen significante invloed op de prestaties en verslechtert de gebruikerservaring niet. Dit komt omdat edge-proxy's het effect van de aanval afzwakken en de totale bronnen van het proxynetwerk hoger zijn dan die van de applicatie zelf.
Volgens statistieken, als de aanvalskracht niet hoger is dan 6.0 Gbps (ondanks het feit dat de totale bandbreedte van de grensproxykanalen slechts 6.4 Gbps is), ervaart 95% van de gebruikers geen merkbare prestatievermindering. Tegelijkertijd zou zelfs het gebruik van een proxy-netwerk in het geval van een zeer krachtige aanval van meer dan 6.4 Gbps niet kunnen voorkomen dat het serviceniveau voor de eindgebruikers verslechtert.
In het geval van geconcentreerde aanvallen, wanneer hun kracht is geconcentreerd op een willekeurige set randproxy's. In dit geval verstopt de aanval een deel van het proxynetwerk, zodat een aanzienlijk deel van de gebruikers een prestatiedaling zal merken.
Bevindingen
De resultaten van het experiment suggereren dat proxynetwerken de prestaties van TCP-applicaties kunnen verbeteren en gebruikers een vertrouwd niveau van dienstverlening kunnen bieden, zelfs in het geval van DoS-aanvallen. Volgens de verkregen gegevens zijn netwerkproxy's een effectieve manier om de gevolgen van aanvallen te minimaliseren, meer dan 90% van de gebruikers tijdens het experiment voelde geen afname van de kwaliteit van de service. Bovendien ontdekten de onderzoekers dat naarmate de omvang van het proxynetwerk toeneemt, de omvang van de DoS-aanvallen die het kan doorstaan, bijna lineair toeneemt. Daarom, hoe groter het netwerk, hoe effectiever het zal omgaan met DoS.
Nuttige links en materialen van :
Bron: www.habr.com