Imagine:
Atacurile DoS sunt una dintre cele mai mari amenințări la adresa securității informațiilor pe internetul modern. Există zeci de botnet-uri pe care atacatorii le închiriază pentru a efectua astfel de atacuri.
Oameni de știință de la Universitatea din San Diego măsura în care utilizarea proxy-urilor ajută la reducerea efectului negativ al atacurilor DoS – vă prezentăm atenției principalele teze ale acestei lucrări.
Introducere: Proxy ca instrument de luptă DoS
Experimente similare sunt efectuate periodic de cercetători din diferite țări, dar problema lor comună este lipsa resurselor pentru a simula atacuri apropiate de realitate. Testele pe bancuri mici nu permit să se răspundă la întrebări despre cât de cu succes vor rezista proxy-urile unui atac în rețele complexe, ce parametri joacă un rol cheie în capacitatea de a minimiza daunele etc.
Pentru experiment, oamenii de știință au creat un model al unei aplicații web tipice - de exemplu, un serviciu de comerț electronic. Funcționează cu ajutorul unui cluster de servere, utilizatorii sunt distribuiți în diferite locații geografice și folosesc Internetul pentru a accesa serviciul. În acest model, Internetul servește ca mijloc de comunicare între serviciu și utilizatori - așa funcționează serviciile web, de la motoarele de căutare la instrumentele bancare online.
Atacurile DoS fac imposibilă interacțiunea normală între serviciu și utilizatori. Există două tipuri de DoS: atacuri la nivel de aplicație și atacuri la nivel de infrastructură. În acest din urmă caz, atacatorii atacă direct rețeaua și gazdele pe care rulează serviciul (de exemplu, inundează întreaga lățime de bandă a rețelei cu trafic de inundații). În cazul unui atac la nivel de aplicație, ținta atacatorului este interfața de interacțiune cu utilizatorul - pentru aceasta trimit un număr mare de solicitări pentru a provoca blocarea aplicației. Experimentul descris a vizat atacuri la nivel de infrastructură.
Rețelele proxy sunt unul dintre instrumentele pentru a minimiza daunele cauzate de atacurile DoS. În cazul utilizării unui proxy, toate cererile de la utilizator către serviciu și răspunsurile la acestea nu sunt transmise direct, ci prin servere intermediare. Atât utilizatorul, cât și aplicația „nu se văd” direct, doar adresele proxy le sunt disponibile. Ca urmare, este imposibil să ataci aplicația direct. La marginea rețelei există așa-numitele proxy-uri de margine - proxy-uri externe cu adrese IP disponibile, conexiunea merge mai întâi la ei.
Pentru a rezista cu succes unui atac DoS, o rețea proxy trebuie să aibă două capabilități cheie. În primul rând, o astfel de rețea intermediară ar trebui să joace rolul unui intermediar, adică puteți „trece” la aplicație numai prin intermediul acesteia. Acest lucru va elimina posibilitatea unui atac direct asupra serviciului. În al doilea rând, rețeaua proxy trebuie să poată permite utilizatorilor să interacționeze în continuare cu aplicația, chiar și în timpul atacului.
Experimentați infrastructura
Studiul a folosit patru componente cheie:
- implementarea unei rețele proxy;
- Server web Apache
- instrument de testare web ;
- instrument de atac .
Simularea a fost realizată în mediul MicroGrid - poate fi folosită pentru a simula rețele cu 20 de mii de routere, ceea ce este comparabil cu rețelele operatorilor de nivel 1.
O rețea tipică Trinoo constă dintr-un set de gazde compromise care rulează demonul programului. Există, de asemenea, software de monitorizare pentru a controla rețeaua și a direcționa atacurile DoS. Având în vedere o listă de adrese IP, demonul Trinoo trimite pachete UDP către ținte la ora specificată.
În timpul experimentului, au fost utilizate două clustere. Simulatorul MicroGrid a rulat pe un cluster Xeon Linux de 16 noduri (servere de 2.4 GHz cu 1 GB de memorie pe mașină) conectate printr-un hub Ethernet de 1 Gbps. Alte componente software au fost localizate într-un cluster de 24 de noduri (450MHz PII Linux-cthdths cu 1 GB de memorie per mașină) conectate printr-un hub Ethernet de 100Mbps. Două clustere au fost conectate printr-un canal de 1 Gbps.
Rețeaua proxy este găzduită într-un grup de 1000 de gazde. Proxy-urile Edge sunt distribuite uniform în întregul pool de resurse. Proxy-urile pentru lucrul cu aplicația sunt localizate pe gazde care sunt mai aproape de infrastructura acesteia. Restul proxy-urilor sunt distribuite uniform între proxy-urile marginale și proxy-urile aplicației.
Rețea pentru simulare
Pentru a studia eficiența unui proxy ca instrument pentru a contracara un atac DoS, cercetătorii au măsurat productivitatea aplicației în diferite scenarii de influențe externe. În total, în rețeaua de proxy erau 192 de proxy (64 dintre ei erau de frontieră). Pentru a efectua atacul, a fost creată o rețea Trinoo, inclusiv 100 de demoni. Fiecare dintre demoni avea un canal de 100 Mbps. Aceasta corespunde unei rețele bot de 10 de routere de acasă.
A fost măsurat impactul unui atac DoS asupra aplicației și rețelei proxy. În configurația experimentală, aplicația avea un canal de Internet de 250 Mbps, iar fiecare proxy de frontieră avea 100 Mbps.
Rezultatele experimentului
Conform rezultatelor analizei, s-a dovedit că un atac pe 250Mbps mărește semnificativ timpul de răspuns al aplicației (de aproximativ zece ori), în urma căruia devine imposibilă utilizarea acesteia. Cu toate acestea, atunci când utilizați o rețea proxy, atacul nu are un impact semnificativ asupra performanței și nu degradează experiența utilizatorului. Acest lucru se datorează faptului că proxy-urile edge diluează efectul atacului, iar resursele totale ale rețelei proxy sunt mai mari decât cele ale aplicației în sine.
Conform statisticilor, dacă puterea de atac nu depășește 6.0 Gbps (în ciuda faptului că lățimea de bandă totală a canalelor proxy de frontieră este de doar 6.4 Gbps), atunci 95% dintre utilizatori nu se confruntă cu o degradare vizibilă a performanței. În același timp, în cazul unui atac foarte puternic care depășește 6.4 Gbps, chiar și utilizarea unei rețele proxy nu ar permite să se evite degradarea nivelului de serviciu pentru utilizatorii finali.
În cazul atacurilor concentrate, când puterea lor este concentrată pe un set aleatoriu de proxy de margine. În acest caz, atacul blochează o parte a rețelei proxy, astfel încât o parte semnificativă a utilizatorilor va observa o scădere a performanței.
Constatări
Rezultatele experimentului sugerează că rețelele proxy pot îmbunătăți performanța aplicațiilor TCP și pot oferi un nivel familiar de serviciu pentru utilizatori, chiar și în cazul atacurilor DoS. Conform datelor obținute, proxy-urile de rețea sunt o modalitate eficientă de a minimiza consecințele atacurilor, peste 90% dintre utilizatori în timpul experimentului nu au simțit o scădere a calității serviciului. În plus, cercetătorii au descoperit că, pe măsură ce dimensiunea rețelei proxy crește, amploarea atacurilor DoS pe care le poate suporta crește aproape liniar. Prin urmare, cu cât rețeaua este mai mare, cu atât va trata mai eficient cu DoS.
Link-uri si materiale utile de la :
Sursa: www.habr.com