obrázok:
DoS útoky sú jednou z najväčších hrozieb informačnej bezpečnosti na modernom internete. Existujú desiatky botnetov, ktoré si útočníci prenajímajú na uskutočnenie takýchto útokov.
Vedci z univerzity v San Diegu do akej miery napomáha používanie proxy k znižovaniu negatívneho efektu DoS útokov – predkladáme Vám hlavné tézy tejto práce.
Úvod: Proxy ako nástroj boja proti DoS
Podobné experimenty periodicky vykonávajú výskumníci z rôznych krajín, ale ich spoločným problémom je nedostatok zdrojov na simuláciu útokov, ktoré sú blízke realite. Testy na malých laviciach neumožňujú odpovedať na otázky, ako úspešne budú proxy odolávať útoku v zložitých sieťach, aké parametre hrajú kľúčovú rolu v schopnosti minimalizovať škody atď.
Pre experiment vedci vytvorili model typickej webovej aplikácie – napríklad služby elektronického obchodu. Funguje s pomocou klastra serverov, používatelia sú rozmiestnení v rôznych geografických lokalitách a na prístup k službe využívajú internet. V tomto modeli internet slúži ako prostriedok komunikácie medzi službou a používateľmi – takto fungujú webové služby od vyhľadávačov až po nástroje online bankovníctva.
Útoky DoS znemožňujú normálnu interakciu medzi službou a používateľmi. Existujú dva typy DoS: útoky na aplikačnú vrstvu a útoky na vrstvu infraštruktúry. V druhom prípade útočníci priamo útočia na sieť a hostiteľov, na ktorých služba beží (napríklad zaplavia celú šírku pásma siete záplavou). V prípade útoku na úrovni aplikácie je cieľom útočníka rozhranie interakcie používateľa – na tento účel odosielajú obrovské množstvo požiadaviek, aby spôsobili pád aplikácie. Opísaný experiment sa týkal útokov na úrovni infraštruktúry.
Proxy siete sú jedným z nástrojov na minimalizáciu škôd spôsobených DoS útokmi. V prípade použitia proxy sa všetky požiadavky používateľa na službu a odpovede na ne neprenášajú priamo, ale cez sprostredkujúce servery. Používateľ aj aplikácia na seba priamo „nevidia“, dostupné sú im len proxy adresy. V dôsledku toho nie je možné priamo napadnúť aplikáciu. Na okraji siete sú takzvané edge proxy - externé proxy s dostupnými IP adresami, spojenie ide najskôr k nim.
Aby mohla sieť proxy úspešne odolať útoku DoS, musí mať dve kľúčové funkcie. Po prvé, takáto sprostredkovateľská sieť by mala hrať úlohu sprostredkovateľa, to znamená, že sa do aplikácie môžete „dostať“ iba cez ňu. Tým sa eliminuje možnosť priameho útoku na službu. Po druhé, sieť proxy musí byť schopná umožniť používateľom stále interakciu s aplikáciou, a to aj počas útoku.
Experimentálna infraštruktúra
Štúdia využívala štyri kľúčové komponenty:
- implementácia siete proxy;
- Webový server Apache
- nástroj na testovanie webu ;
- útočný nástroj .
Simulácia bola realizovaná v prostredí MicroGrid - je možné pomocou nej simulovať siete s 20 tisíc routermi, čo je porovnateľné so sieťami operátorov Tier-1.
Typická sieť Trinoo pozostáva zo sady napadnutých hostiteľov, na ktorých beží démon programu. Nechýba ani monitorovací softvér na kontrolu siete a priame DoS útoky. Daný zoznam IP adries, démon Trinoo posiela UDP pakety na ciele v určenom čase.
Počas experimentu boli použité dva klastre. Simulátor MicroGrid bežal na Xeon Linuxovom klastri so 16 uzlami (2.4 GHz servery s 1 GB pamäte na stroj) pripojených cez 1Gbps Ethernet hub. Ostatné softvérové komponenty boli umiestnené v klastri 24 uzlov (450 MHz PII Linux-cthdths s 1 GB pamäte na stroj) prepojených 100 Mbps Ethernet hubom. Dva klastre boli prepojené 1Gbps kanálom.
Sieť proxy je hosťovaná v skupine 1000 XNUMX hostiteľov. Okrajové proxy servery sú rovnomerne rozmiestnené v celom fonde zdrojov. Proxy pre prácu s aplikáciou sú umiestnené na hostiteľoch, ktoré sú bližšie k jej infraštruktúre. Zvyšok proxy je rovnomerne rozdelený medzi okrajové proxy a aplikačné proxy.
Sieť pre simuláciu
Na skúmanie účinnosti servera proxy ako nástroja na boj proti útoku DoS výskumníci merali produktivitu aplikácie v rôznych scenároch vonkajších vplyvov. Celkovo bolo v proxy sieti 192 proxy (z toho 64 hraničných). Na vykonanie útoku bola vytvorená sieť Trinoo, vrátane 100 démonov. Každý z démonov mal 100 Mbps kanál. To zodpovedá botnetu 10 XNUMX domácich smerovačov.
Meral sa vplyv DoS útoku na aplikáciu a sieť proxy. V experimentálnej konfigurácii mala aplikácia internetový kanál 250 Mbps a každý hraničný proxy mal 100 Mbps.
Výsledky experimentu
Podľa výsledkov analýzy sa ukázalo, že útok na 250 Mbps výrazne zvyšuje čas odozvy aplikácie (asi desaťkrát), v dôsledku čoho je nemožné ju použiť. Pri použití proxy siete však útok nemá výrazný vplyv na výkon a nezhoršuje používateľskú skúsenosť. Je to preto, že okrajové proxy oslabujú účinok útoku a celkové zdroje proxy siete sú vyššie ako zdroje samotnej aplikácie.
Podľa štatistík, ak sila útoku nepresiahne 6.0 Gbps (napriek tomu, že celková šírka pásma hraničných proxy kanálov je len 6.4 Gbps), potom 95 % používateľov nezaznamená výrazné zníženie výkonu. Zároveň by v prípade veľmi silného útoku presahujúceho 6.4 Gbps ani použitie proxy siete neumožnilo vyhnúť sa degradácii úrovne služieb pre koncových užívateľov.
V prípade koncentrovaných útokov, kedy je ich sila sústredená na náhodnú množinu okrajových proxy. V tomto prípade útok upchá časť siete proxy, takže značná časť používateľov zaznamená pokles výkonu.
Závery
Výsledky experimentu naznačujú, že proxy siete môžu zlepšiť výkon aplikácií TCP a poskytnúť používateľom známu úroveň služieb, a to aj v prípade útokov DoS. Podľa získaných údajov sú sieťové proxy efektívnym spôsobom, ako minimalizovať následky útokov, viac ako 90 % používateľov počas experimentu nepocítilo pokles kvality služby. Okrem toho výskumníci zistili, že so zväčšujúcou sa veľkosťou siete proxy sa rozsah útokov DoS, ktoré dokáže vydržať, zvyšuje takmer lineárne. Preto čím väčšia je sieť, tým efektívnejšie sa vysporiada s DoS.
Užitočné odkazy a materiály z :
Zdroj: www.habr.com