Obrazek:
Ataki DoS to jedno z największych zagrożeń dla bezpieczeństwa informacji we współczesnym Internecie. Istnieją dziesiątki botnetów, które atakujący wynajmują do przeprowadzania takich ataków.
Naukowcy z Uniwersytetu w San Diego w jakim stopniu wykorzystanie serwerów proxy pomaga ograniczyć negatywne skutki ataków DoS – przedstawiamy Państwa uwadze główne tezy tej pracy.
Wprowadzenie: Proxy jako narzędzie do walki z atakami DoS
Podobne eksperymenty okresowo przeprowadzają badacze z różnych krajów, jednak ich wspólnym problemem jest brak środków do symulacji ataków zbliżonych do rzeczywistości. Testy na małych stanowiskach nie pozwalają odpowiedzieć na pytania, jak skutecznie serwery proxy odpierają atak w złożonych sieciach, jakie parametry odgrywają kluczową rolę w możliwości minimalizowania szkód itp.
Na potrzeby eksperymentu naukowcy stworzyli model typowej aplikacji internetowej – na przykład usługi e-commerce. Działa za pomocą klastra serwerów, użytkownicy są rozmieszczeni w różnych lokalizacjach geograficznych i korzystają z Internetu, aby uzyskać dostęp do usługi. W tym modelu Internet służy jako środek komunikacji między serwisem a użytkownikami – tak działają serwisy internetowe od wyszukiwarek po narzędzia bankowości internetowej.
Ataki DoS uniemożliwiają normalną interakcję między usługą a użytkownikami. Istnieją dwa rodzaje ataków DoS: ataki w warstwie aplikacji i ataki w warstwie infrastruktury. W tym drugim przypadku atakujący bezpośrednio atakują sieć i hosty, na których działa usługa (na przykład zalewają całą przepustowość sieci ruchem typu flood). W przypadku ataku na poziomie aplikacji celem atakującego jest interfejs interakcji użytkownika - w tym celu wysyła ogromną liczbę żądań, aby spowodować awarię aplikacji. Opisany eksperyment dotyczył ataków na poziomie infrastruktury.
Sieci proxy są jednym z narzędzi minimalizowania szkód spowodowanych atakami DoS. W przypadku korzystania z proxy, wszystkie zapytania użytkownika do serwisu i odpowiedzi na nie nie są przekazywane bezpośrednio, ale przez serwery pośredniczące. Zarówno użytkownik, jak i aplikacja „nie widzą” się bezpośrednio, dostępne są dla nich jedynie adresy proxy. W efekcie bezpośredni atak na aplikację jest niemożliwy. Na brzegu sieci znajdują się tzw. edge proxy - zewnętrzne proxy z dostępnymi adresami IP, do których połączenie trafia w pierwszej kolejności.
Aby skutecznie oprzeć się atakowi DoS, sieć proxy musi mieć dwie kluczowe możliwości. Po pierwsze, taka sieć pośrednicząca powinna pełnić rolę pośrednika, czyli do aplikacji można „przedostać się” tylko za jej pośrednictwem. Wyeliminuje to możliwość bezpośredniego ataku na serwis. Po drugie, sieć proxy musi umożliwiać użytkownikom interakcję z aplikacją nawet podczas ataku.
Infrastruktura eksperymentalna
W badaniu wykorzystano cztery kluczowe komponenty:
- wdrożenie sieci proxy;
- Serwer WWW Apache
- narzędzie do testowania sieci ;
- narzędzie ataku .
Symulacja została przeprowadzona w środowisku MicroGrid – można w nim symulować sieci z 20 tysiącami routerów, co jest porównywalne z sieciami operatorów Tier-1.
Typowa sieć Trinoo składa się z zestawu zainfekowanych hostów, na których działa demon programu. Istnieje również oprogramowanie monitorujące do kontroli sieci i bezpośrednich ataków DoS. Mając listę adresów IP, demon Trinoo wysyła pakiety UDP do celów w określonym czasie.
Podczas eksperymentu wykorzystano dwa klastry. Symulator MicroGrid działał w klastrze Xeon Linux składającym się z 16 węzłów (serwery 2.4 GHz z 1 GB pamięci na maszynę) połączonych przez koncentrator Ethernet 1 Gb/s. Inne komponenty oprogramowania znajdowały się w klastrze złożonym z 24 węzłów (450 MHz PII Linux-cthdth z 1 GB pamięci na maszynę) połączonych przez koncentrator Ethernet 100 Mb/s. Dwa klastry zostały połączone kanałem 1Gbps.
Sieć proxy jest hostowana w puli 1000 hostów. Serwery proxy Edge są równomiernie rozmieszczone w puli zasobów. Serwery proxy do pracy z aplikacją znajdują się na hostach znajdujących się bliżej jej infrastruktury. Pozostałe serwery proxy są równomiernie rozmieszczone między serwerami proxy krawędzi i serwerami proxy aplikacji.
Sieć do symulacji
Aby zbadać skuteczność proxy jako narzędzia do przeciwdziałania atakom DoS, naukowcy zmierzyli produktywność aplikacji w różnych scenariuszach wpływów zewnętrznych. Łącznie w sieci proxy znajdowały się 192 proxy (64 z nich to graniczne). Aby przeprowadzić atak, utworzono sieć Trinoo, w skład której wchodzi 100 demonów. Każdy z demonów miał kanał 100Mbps. Odpowiada to botnetowi składającemu się z 10 XNUMX routerów domowych.
Zmierzono wpływ ataku DoS na aplikację i sieć proxy. W konfiguracji eksperymentalnej aplikacja posiadała kanał internetowy o przepustowości 250 Mb/s, a każdy border proxy miał 100 Mb/s.
Wyniki eksperymentu
Zgodnie z wynikami analizy okazało się, że atak na 250 Mb/s znacznie wydłuża czas odpowiedzi aplikacji (około dziesięciokrotnie), w wyniku czego korzystanie z niej staje się niemożliwe. Jednak w przypadku korzystania z sieci proxy atak nie ma znaczącego wpływu na wydajność i nie pogarsza doświadczenia użytkownika. Dzieje się tak, ponieważ serwery proxy na krawędzi osłabiają efekt ataku, a łączne zasoby sieci proxy są większe niż w przypadku samej aplikacji.
Według statystyk, jeśli siła ataku nie przekracza 6.0 Gb/s (pomimo faktu, że łączna przepustowość granicznych kanałów proxy wynosi zaledwie 6.4 Gb/s), to 95% użytkowników nie odczuwa zauważalnego spadku wydajności. Jednocześnie w przypadku bardzo silnego ataku przekraczającego 6.4Gbps nawet użycie sieci proxy nie pozwoliłoby uniknąć degradacji poziomu usług dla użytkowników końcowych.
W przypadku skoncentrowanych ataków, gdy ich siła jest skoncentrowana na losowym zestawie brzegowych serwerów proxy. W takim przypadku atak blokuje część sieci proxy, więc znaczna część użytkowników odnotuje spadek wydajności.
odkrycia
Wyniki eksperymentu sugerują, że sieci proxy mogą poprawić wydajność aplikacji TCP i zapewnić znajomy poziom usług dla użytkowników, nawet w przypadku ataków DoS. Z uzyskanych danych wynika, że sieciowe serwery proxy są skutecznym sposobem minimalizowania skutków ataków, ponad 90% użytkowników podczas eksperymentu nie odczuło spadku jakości usługi. Ponadto naukowcy odkryli, że wraz ze wzrostem rozmiaru sieci proxy skala ataków DoS, które może wytrzymać, rośnie niemal liniowo. Dlatego im większa sieć, tym skuteczniej poradzi sobie z DoS.
Przydatne linki i materiały z :
Źródło: www.habr.com