Cenário:
Os ataques DoS são uma das maiores ameaças à segurança da informação na Internet moderna. Existem dezenas de botnets que os invasores alugam para realizar esses ataques.
Cientistas da Universidade de San Diego até que ponto o uso de proxies ajuda a reduzir o efeito negativo dos ataques DoS - apresentamos a sua atenção as principais teses deste trabalho.
Introdução: Proxy como uma ferramenta de combate DoS
Experimentos semelhantes são realizados periodicamente por pesquisadores de diferentes países, mas o problema comum é a falta de recursos para simular ataques próximos da realidade. Os testes em pequenas bancadas não permitem responder a perguntas sobre como os proxies resistirão com sucesso a um ataque em redes complexas, quais parâmetros desempenham um papel fundamental na capacidade de minimizar danos etc.
Para o experimento, os cientistas criaram um modelo de aplicativo da web típico - por exemplo, um serviço de comércio eletrônico. Funciona com o auxílio de um cluster de servidores, os usuários são distribuídos em diferentes localizações geográficas e utilizam a Internet para acessar o serviço. Nesse modelo, a Internet serve como meio de comunicação entre o serviço e os usuários - é assim que funcionam os serviços da web, desde os mecanismos de pesquisa até as ferramentas de banco online.
Os ataques DoS impossibilitam a interação normal entre o serviço e os usuários. Existem dois tipos de DoS: ataques de camada de aplicativo e ataques de camada de infraestrutura. No último caso, os invasores atacam diretamente a rede e os hosts nos quais o serviço está sendo executado (por exemplo, eles inundam toda a largura de banda da rede com tráfego intenso). No caso de um ataque no nível do aplicativo, o alvo do invasor é a interface de interação do usuário - para isso, eles enviam um grande número de solicitações para causar a falha do aplicativo. O experimento descrito envolveu ataques no nível da infraestrutura.
As redes proxy são uma das ferramentas para minimizar os danos causados por ataques DoS. No caso de usar um proxy, todas as solicitações do usuário ao serviço e as respostas a elas não são transmitidas diretamente, mas por meio de servidores intermediários. Tanto o usuário quanto o aplicativo "não se veem" diretamente, apenas endereços de proxy estão disponíveis para eles. Como resultado, é impossível atacar o aplicativo diretamente. Na borda da rede existem os chamados proxies de borda - proxies externos com endereços IP disponíveis, a conexão vai primeiro para eles.
Para resistir com sucesso a um ataque DoS, uma rede proxy deve ter dois recursos principais. Em primeiro lugar, essa rede intermediária deve desempenhar o papel de intermediária, ou seja, você só pode “chegar” ao aplicativo por meio dela. Isso eliminará a possibilidade de um ataque direto ao serviço. Em segundo lugar, a rede proxy deve ser capaz de permitir que os usuários ainda interajam com o aplicativo, mesmo durante o ataque.
Infraestrutura experimental
O estudo usou quatro componentes principais:
- implementação de uma rede proxy;
- servidor web apache
- ferramenta de teste da web ;
- ferramenta de ataque .
A simulação foi realizada no ambiente MicroGrid - pode ser usado para simular redes com 20 mil roteadores, o que é comparável às redes das operadoras Tier-1.
Uma rede Trinoo típica consiste em um conjunto de hosts comprometidos executando o daemon do programa. Há também software de monitoramento para controlar a rede e direcionar ataques DoS. Dada uma lista de endereços IP, o daemon Trinoo envia pacotes UDP para os alvos no horário especificado.
Durante o experimento, dois clusters foram usados. O simulador MicroGrid foi executado em um cluster Xeon Linux de 16 nós (servidores de 2.4 GHz com 1 GB de memória por máquina) conectado por meio de um hub Ethernet de 1 Gbps. Outros componentes de software foram localizados em um cluster de 24 nós (450 MHz PII Linux-cthdths com 1 GB de memória por máquina) conectados por um hub Ethernet de 100 Mbps. Dois clusters foram conectados por um canal de 1 Gbps.
A rede proxy é hospedada em um pool de 1000 hosts. Os proxies de borda são distribuídos uniformemente por todo o pool de recursos. Os proxies para trabalhar com o aplicativo estão localizados em hosts mais próximos de sua infraestrutura. O restante dos proxies é distribuído uniformemente entre os proxies de borda e os proxies de aplicativo.
Rede para simulação
Para estudar a eficácia de um proxy como ferramenta para combater um ataque DoS, os pesquisadores mediram a produtividade do aplicativo em diferentes cenários de influências externas. No total, havia 192 proxies na rede proxy (64 deles eram de borda). Para realizar o ataque, uma rede Trinoo foi criada, incluindo 100 demônios. Cada um dos daemons tinha um canal de 100 Mbps. Isso corresponde a um botnet de 10 roteadores domésticos.
O impacto de um ataque DoS no aplicativo e na rede proxy foi medido. Na configuração experimental, a aplicação possuía um canal Internet de 250 Mbps, e cada proxy de borda possuía 100 Mbps.
Resultados do experimento
De acordo com os resultados da análise, verificou-se que um ataque a 250 Mbps aumenta significativamente o tempo de resposta do aplicativo (cerca de dez vezes), o que torna impossível usá-lo. No entanto, ao usar uma rede proxy, o ataque não causa impacto significativo no desempenho e não degrada a experiência do usuário. Isso ocorre porque os proxies de borda diluem o efeito do ataque e os recursos totais da rede proxy são maiores do que os do próprio aplicativo.
De acordo com as estatísticas, se o poder de ataque não exceder 6.0 Gbps (apesar do fato de que a largura de banda total dos canais de proxy de borda é de apenas 6.4 Gbps), 95% dos usuários não experimentarão uma degradação perceptível no desempenho. Ao mesmo tempo, no caso de um ataque muito poderoso superior a 6.4 Gbps, mesmo o uso de uma rede proxy não permitiria evitar a degradação do nível de serviço para os usuários finais.
No caso de ataques concentrados, quando seu poder está concentrado em um conjunto aleatório de proxies de borda. Nesse caso, o ataque obstrui parte da rede proxy, portanto, uma parcela significativa dos usuários notará uma queda no desempenho.
Descobertas
Os resultados do experimento sugerem que as redes proxy podem melhorar o desempenho de aplicações TCP e fornecer um nível de serviço familiar aos usuários, mesmo em caso de ataques DoS. De acordo com os dados obtidos, os proxies de rede são uma forma eficaz de minimizar as consequências dos ataques, mais de 90% dos usuários durante o experimento não sentiram queda na qualidade do serviço. Além disso, os pesquisadores descobriram que, à medida que o tamanho da rede proxy aumenta, a escala de ataques DoS que ela pode suportar aumenta quase linearmente. Portanto, quanto maior a rede, mais efetivamente ela lidará com o DoS.
Links úteis e materiais de :
Fonte: www.habr.com