Slika:
DoS napadi so ena največjih groženj informacijski varnosti na sodobnem internetu. Obstaja na desetine botnetov, ki jih napadalci najemajo za izvajanje takšnih napadov.
Znanstveniki z Univerze v San Diegu so izvedli Kako uporaba proxyjev pomaga zmanjšati negativni učinek napadov DoS - predstavljamo vam glavne teze tega dela.
Uvod: proxy kot orodje za boj proti DoS
Podobne poskuse občasno izvajajo raziskovalci iz različnih držav, vendar je njihova skupna težava pomanjkanje sredstev za simulacijo napadov, ki so blizu resničnosti. Preizkusi na majhnih testnih mizah ne omogočajo odgovorov na vprašanja o tem, kako uspešno se bodo posredniki uprli napadom v kompleksnih omrežjih, kateri parametri igrajo ključno vlogo pri zmožnosti zmanjšanja škode itd.
Za poskus so znanstveniki ustvarili model tipične spletne aplikacije - na primer storitve e-trgovine. Deluje z uporabo grozda strežnikov; uporabniki so razporejeni po različnih geografskih lokacijah in za dostop do storitve uporabljajo internet. V tem modelu internet služi kot komunikacijsko sredstvo med storitvijo in uporabniki – tako delujejo spletne storitve od iskalnikov do orodij za spletno bančništvo.
Napadi DoS onemogočajo normalno interakcijo med storitvijo in uporabniki. Obstajata dve vrsti DoS: napadi na ravni aplikacije in napadi na ravni infrastrukture. V slednjem primeru napadalci neposredno napadejo omrežje in gostitelje, na katerih deluje storitev (na primer, s poplavnim prometom zamašijo celotno pasovno širino omrežja). V primeru napada na ravni aplikacije je tarča napadalca uporabniški vmesnik – za to pošljejo ogromno število zahtev, da povzročijo sesutje aplikacije. Opisan eksperiment je zadeval napade na ravni infrastrukture.
Proxy omrežja so eno od orodij za zmanjšanje škode zaradi napadov DoS. Pri uporabi proxyja se vse zahteve uporabnika do storitve in odgovori nanje ne prenašajo neposredno, temveč prek vmesnih strežnikov. Tako uporabnik kot aplikacija se ne »vidita« neposredno, temveč sta jima na voljo le proxy naslova. Posledično je nemogoče neposredno napasti aplikacijo. Na robu omrežja so tako imenovani edge proxyji - zunanji proxyji z razpoložljivimi naslovi IP, povezava gre najprej do njih.
Da se uspešno upre napadu DoS, mora imeti posredniško omrežje dve ključni zmogljivosti. Prvič, takšno vmesno omrežje mora igrati vlogo posrednika, to pomeni, da je do aplikacije mogoče »priti« le preko njega. To bo odpravilo možnost neposrednega napada na storitev. Drugič, posredniško omrežje mora imeti možnost uporabnikom omogočiti interakcijo z aplikacijo tudi med napadom.
Eksperimentalna infrastruktura
Študija je uporabila štiri ključne komponente:
- izvedba proxy omrežja;
- spletni strežnik Apache;
- orodje za spletno testiranje ;
- orodje za napad .
Simulacija je bila izvedena v okolju MicroGrid - z njim je mogoče simulirati omrežja z 20 tisoč usmerjevalniki, kar je primerljivo z omrežji Tier-1 operaterjev.
Tipično omrežje Trinoo je sestavljeno iz niza ogroženih gostiteljev, ki izvajajo programski demon. Obstaja tudi nadzorna programska oprema za nadzor omrežja in usmerjanje napadov DoS. Po prejemu seznama naslovov IP, demon Trinoo pošlje pakete UDP ciljem ob določenih urah.
Med poskusom sta bila uporabljena dva grozda. Simulator MicroGrid je deloval na gruči Xeon Linux s 16 vozlišči (strežniki 2.4 GHz z 1 gigabajtom pomnilnika na vsakem stroju), ki je bila povezana prek zvezdišča Ethernet 1 Gbps. Druge komponente programske opreme so bile nameščene v gruči 24 vozlišč (450MHz PII Linux-cthdths z 1 GB pomnilnika na vsakem stroju), povezanih z ethernetnim zvezdiščem 100Mbps. Dve gruči sta bili povezani s kanalom 1Gbps.
Proxy omrežje gostuje v skupini 1000 gostiteljev. Robni posredniki so enakomerno porazdeljeni po celotnem bazenu virov. Proxyji za delo z aplikacijo se nahajajo na gostiteljih, ki so bližje njeni infrastrukturi. Preostali proxyji so enakomerno porazdeljeni med robne in aplikacijske proxyje.
Simulacijsko omrežje
Da bi preučili učinkovitost proxyja kot orodja za boj proti napadom DoS, so raziskovalci merili produktivnost aplikacije v različnih scenarijih zunanjih vplivov. V proxy omrežju je bilo skupaj 192 proxyjev (od tega 64 edge). Za izvedbo napada je bilo ustvarjeno omrežje Trinoo, ki vključuje 100 demonov. Vsak od demonov je imel 100Mbps kanal. To ustreza botnetu 10 tisoč domačih usmerjevalnikov.
Merjen je bil vpliv napada DoS na aplikacijo in proxy omrežje. V poskusni konfiguraciji je imela aplikacija internetni kanal 250 Mb/s, vsak robni proxy pa 100 Mb/s.
Rezultati poskusov
Na podlagi rezultatov analize se je izkazalo, da napad s hitrostjo 250Mbps bistveno poveča odzivni čas aplikacije (približno desetkrat), zaradi česar je uporaba le-te nemogoča. Pri uporabi proxy omrežja pa napad nima bistvenega vpliva na zmogljivost in ne poslabša uporabniške izkušnje. To se zgodi, ker robni posredniki oslabijo učinek napada in so skupni viri omrežja proxy višji od sredstev same aplikacije.
Po statističnih podatkih, če moč napada ne preseže 6.0 Gbps (kljub temu, da je skupna prepustnost robnih proxy kanalov le 6.4 Gbps), 95 % uporabnikov ne občuti opaznega zmanjšanja zmogljivosti. Poleg tega se v primeru zelo močnega napada, ki presega 6.4 Gbps, tudi uporaba proxy omrežja ne bi izognila poslabšanju ravni storitve za končne uporabnike.
V primeru koncentriranih napadov, ko je njihova moč osredotočena na naključni niz robnih posrednikov. V tem primeru napad zamaši del proxy omrežja, zato bo precejšen del uporabnikov opazil padec zmogljivosti.
Ugotovitve
Rezultati eksperimenta kažejo, da lahko proxy omrežja izboljšajo delovanje aplikacij TCP in uporabnikom zagotovijo običajno raven storitev, tudi v primeru napadov DoS. Po pridobljenih podatkih so se proxy omrežja izkazala za učinkovit način za zmanjšanje posledic napadov; več kot 90% uporabnikov med poskusom ni občutilo poslabšanja kakovosti storitve. Poleg tega so raziskovalci ugotovili, da se z večanjem velikosti proxy omrežja obseg napadov DoS, ki jih lahko prenese, povečuje skoraj linearno. Zato se bo večje omrežje učinkoviteje borilo proti DoS.
Uporabne povezave in gradiva iz :
Vir: www.habr.com