Bilde:
DoS-angrep er en av de største truslene mot informasjonssikkerheten på det moderne Internett. Det er dusinvis av botnett som angripere leier ut for å utføre slike angrep.
Forskere fra University of San Diego i hvilken grad bruken av proxyer bidrar til å redusere den negative effekten av DoS-angrep - vi presenterer hovedoppgavene i dette arbeidet for din oppmerksomhet.
Introduksjon: Proxy som et DoS Fighting Tool
Lignende eksperimenter utføres med jevne mellomrom av forskere fra forskjellige land, men deres felles problem er mangelen på ressurser til å simulere angrep som er nær virkeligheten. Tester på små benker tillater ikke å svare på spørsmål om hvor vellykket proxyer vil motstå et angrep i komplekse nettverk, hvilke parametere som spiller en nøkkelrolle i evnen til å minimere skader, etc.
For eksperimentet laget forskerne en modell av en typisk nettapplikasjon - for eksempel en e-handelstjeneste. Det fungerer ved hjelp av en klynge av servere, brukere er fordelt på forskjellige geografiske steder og bruker Internett for å få tilgang til tjenesten. I denne modellen fungerer Internett som et kommunikasjonsmiddel mellom tjenesten og brukerne – det er slik nettjenester fungerer fra søkemotorer til nettbankverktøy.
DoS-angrep gjør normal interaksjon mellom tjenesten og brukere umulig. Det finnes to typer DoS: applikasjonslagsangrep og infrastrukturlagsangrep. I sistnevnte tilfelle angriper angripere direkte nettverket og vertene som tjenesten kjører på (for eksempel oversvømmer de hele nettverksbåndbredden med flomtrafikk). I tilfelle et angrep på applikasjonsnivå er angriperens mål grensesnittet for brukerinteraksjon - for dette sender de et stort antall forespørsler for å få applikasjonen til å krasje. Det beskrevne eksperimentet gjaldt angrep på infrastrukturnivå.
Proxy-nettverk er et av verktøyene for å minimere skade fra DoS-angrep. Ved bruk av en proxy sendes ikke alle forespørsler fra brukeren til tjenesten og svar på dem direkte, men gjennom mellomservere. Både brukeren og applikasjonen "ser ikke" hverandre direkte, kun proxy-adresser er tilgjengelige for dem. Som et resultat er det umulig å angripe applikasjonen direkte. I kanten av nettverket er det såkalte edge-proxyer – eksterne proxyer med tilgjengelige IP-adresser, forbindelsen går først til dem.
For å kunne motstå et DoS-angrep, må et proxy-nettverk ha to nøkkelfunksjoner. For det første bør et slikt mellomnettverk spille rollen som en mellommann, det vil si at du bare kan "komme gjennom" til applikasjonen gjennom den. Dette vil eliminere muligheten for et direkte angrep på tjenesten. For det andre må proxy-nettverket kunne tillate brukere å fortsatt samhandle med applikasjonen, selv under angrepet.
Eksperimenter infrastruktur
Studien brukte fire nøkkelkomponenter:
- implementering av et proxy-nettverk;
- Apache webserver
- netttestverktøy ;
- angrepsverktøy .
Simuleringen ble utført i MicroGrid-miljøet - den kan brukes til å simulere nettverk med 20 tusen rutere, som kan sammenlignes med nettverkene til Tier-1-operatører.
Et typisk Trinoo-nettverk består av et sett med kompromitterte verter som kjører programmets daemon. Det finnes også overvåkingsprogramvare for å kontrollere nettverket og direkte DoS-angrep. Gitt en liste over IP-adresser, sender Trinoo-demonen UDP-pakker til målene på det angitte tidspunktet.
Under forsøket ble to klynger brukt. MicroGrid-simulatoren kjørte på en Xeon Linux-klynge med 16 noder (2.4 GHz-servere med 1 GB minne per maskin) koblet til via en 1 Gbps Ethernet-hub. Andre programvarekomponenter var lokalisert i en klynge med 24 noder (450MHz PII Linux-kthdths med 1 GB minne per maskin) koblet med en 100Mbps Ethernet-hub. To klynger ble koblet sammen med en 1 Gbps kanal.
Proxy-nettverket er vert i en pool på 1000 verter. Edge proxyer er jevnt fordelt over hele ressurspoolen. Proxyer for å jobbe med applikasjonen er plassert på verter som er nærmere infrastrukturen. Resten av fullmakter er jevnt fordelt mellom kantfullmakter og applikasjonsfullmakter.
Nettverk for simulering
For å studere effektiviteten til en proxy som et verktøy for å motvirke et DoS-angrep, målte forskerne produktiviteten til applikasjonen under forskjellige scenarier med ytre påvirkninger. Totalt var det 192 fullmakter i proxy-nettverket (64 av dem var grensefullmakter). For å utføre angrepet ble det opprettet et Trinoo-nettverk, inkludert 100 demoner. Hver av demonene hadde en 100 Mbps kanal. Dette tilsvarer et botnett på 10 XNUMX hjemmerutere.
Virkningen av et DoS-angrep på applikasjonen og proxy-nettverket ble målt. I den eksperimentelle konfigurasjonen hadde applikasjonen en Internett-kanal på 250 Mbps, og hver grenseproxy hadde 100 Mbps.
Eksperimentresultater
I følge resultatene av analysen viste det seg at et angrep på 250 Mbps øker responstiden til applikasjonen betydelig (omtrent ti ganger), som et resultat av at det blir umulig å bruke det. Men når du bruker et proxy-nettverk, har angrepet ikke en betydelig innvirkning på ytelsen og forringer ikke brukeropplevelsen. Dette er fordi kantproxyer fortynner effekten av angrepet, og de totale ressursene til proxy-nettverket er høyere enn selve applikasjonen.
I følge statistikk, hvis angrepskraften ikke overstiger 6.0 Gbps (til tross for at den totale båndbredden til grenseproxy-kanalene bare er 6.4 Gbps), så opplever ikke 95 % av brukerne en merkbar ytelsesforringelse. Samtidig, i tilfelle et svært kraftig angrep som overstiger 6.4 Gbps, vil selv bruken av et proxy-nettverk ikke tillate å unngå forringelse av tjenestenivået for sluttbrukere.
I tilfelle av konsentrerte angrep, når kraften deres er konsentrert om et tilfeldig sett med kantproxyer. I dette tilfellet tetter angrepet en del av proxy-nettverket, slik at en betydelig del av brukerne vil merke et fall i ytelse.
Funn
Resultatene av eksperimentet tyder på at proxy-nettverk kan forbedre ytelsen til TCP-applikasjoner og gi brukere et kjent servicenivå, selv i tilfelle DoS-angrep. I følge dataene som er innhentet, er nettverksproxyer en effektiv måte å minimere konsekvensene av angrep, mer enn 90% av brukerne under eksperimentet følte ikke en reduksjon i kvaliteten på tjenesten. I tillegg fant forskerne at når størrelsen på proxy-nettverket øker, øker omfanget av DoS-angrep som det kan tåle nesten lineært. Derfor, jo større nettverket er, desto mer effektivt vil det håndtere DoS.
Nyttige lenker og materiell fra :
Kilde: www.habr.com