Eksperiment: a është e mundur të zvogëlohen efektet negative të sulmeve DoS duke përdorur një përfaqësues

Foto: Unsplash

Sulmet DoS janë një nga kërcënimet më të mëdha për sigurinë e informacionit në internetin modern. Ka dhjetëra botnet që sulmuesit i japin me qira për të kryer sulme të tilla.

Shkencëtarët nga Universiteti i San Diegos kryer studim Si ndihmon përdorimi i proxies në zvogëlimin e efektit negativ të sulmeve DoS - ne paraqesim në vëmendjen tuaj tezat kryesore të kësaj pune.

Hyrje: proxy si një mjet për të luftuar DoS

Eksperimente të ngjashme kryhen periodikisht nga studiues nga vende të ndryshme, por problemi i tyre i përbashkët është mungesa e burimeve për të simuluar sulme afër realitetit. Testet në stolat e vegjël të provës nuk lejojnë përgjigjen e pyetjeve se sa me sukses përfaqësuesit do t'i rezistojnë një sulmi në rrjete komplekse, cilat parametra luajnë një rol kyç në aftësinë për të minimizuar dëmet, etj.

Për eksperimentin, shkencëtarët krijuan një model të një aplikacioni tipik në internet - për shembull, një shërbim të tregtisë elektronike. Ai funksionon duke përdorur një grup serverësh; përdoruesit shpërndahen nëpër vende të ndryshme gjeografike dhe përdorin internetin për të hyrë në shërbim. Në këtë model, interneti shërben si një mjet komunikimi midis shërbimit dhe përdoruesve - kështu funksionojnë shërbimet e internetit nga motorët e kërkimit deri te mjetet e bankingut online.

Sulmet DoS e bëjnë të pamundur ndërveprimin normal midis shërbimit dhe përdoruesve. Ekzistojnë dy lloje të DoS: sulme në nivel aplikimi dhe në nivel infrastrukture. Në rastin e fundit, sulmuesit sulmojnë drejtpërdrejt rrjetin dhe hostet në të cilat funksionon shërbimi (për shembull, ata bllokojnë të gjithë gjerësinë e brezit të rrjetit me trafikun e përmbytjeve). Në rastin e një sulmi në nivel aplikacioni, objektivi i sulmuesit është ndërfaqja e përdoruesit - për ta bërë këtë, ata dërgojnë një numër të madh kërkesash në mënyrë që të bëjnë që aplikacioni të rrëzohet. Eksperimenti i përshkruar kishte të bënte me sulmet në nivelin e infrastrukturës.

Rrjetet proxy janë një nga mjetet për minimizimin e dëmeve nga sulmet DoS. Kur përdorni një përfaqësues, të gjitha kërkesat nga përdoruesi për shërbimin dhe përgjigjet ndaj tyre transmetohen jo drejtpërdrejt, por përmes serverëve të ndërmjetëm. Si përdoruesi ashtu edhe aplikacioni nuk e "shohin" njëri-tjetrin drejtpërdrejt; vetëm adresat proxy janë të disponueshme për ta. Si rezultat, është e pamundur të sulmosh drejtpërdrejt aplikacionin. Në skajin e rrjetit ka të ashtuquajturat proxies të skajit - përfaqësues të jashtëm me adresa IP të disponueshme, lidhja shkon tek ata së pari.

Për t'i rezistuar me sukses një sulmi DoS, një rrjet proxy duhet të ketë dy aftësi kryesore. Së pari, një rrjet i tillë i ndërmjetëm duhet të luajë rolin e një ndërmjetësi, domethënë aplikacioni mund të "arritet" vetëm përmes tij. Kjo do të eliminojë mundësinë e një sulmi të drejtpërdrejtë në shërbim. Së dyti, rrjeti proxy duhet të jetë në gjendje të lejojë përdoruesit të ndërveprojnë ende me aplikacionin edhe gjatë një sulmi.

Infrastruktura e eksperimentit

Studimi përdori katër komponentë kryesorë:

• implementimi i një rrjeti proxy;
• Ueb serveri Apache;
• mjet testimi në internet Rrethim;
• mjet sulmi Trinoo.

Simulimi u krye në mjedisin MicroGrid - mund të përdoret për të simuluar rrjete me 20 mijë rutera, gjë që është e krahasueshme me rrjetet e operatorëve Tier-1.

Një rrjet tipik Trinoo përbëhet nga një grup hostesh të komprometuar që drejtojnë një program programi. Ekziston gjithashtu një softuer monitorues për monitorimin e rrjetit dhe drejtimin e sulmeve DoS. Pas marrjes së një liste adresash IP, daemon Trinoo dërgon paketa UDP tek objektivat në kohë të caktuara.

Gjatë eksperimentit, u përdorën dy grupe. Simulatori MicroGrid funksiononte në një grup Xeon Linux me 16 nyje (serverët 2.4 GHz me 1 gigabajt memorie në secilën makinë) të lidhur përmes një shpërndarësi Ethernet 1 Gbps. Komponentët e tjerë të softuerit ishin vendosur në një grup prej 24 nyjesh (450 MHz PII Linux-cthdths me 1 GB memorie në secilën makinë), të lidhur nga një shpërndarës Ethernet 100 Mbps. Dy grupe u lidhën me një kanal 1 Gbps.

Rrjeti proxy është pritur në një grup prej 1000 hostesh. Përfaqësuesit e skajeve shpërndahen në mënyrë të barabartë në të gjithë grupin e burimeve. Proxies për të punuar me aplikacionin janë të vendosura në host që janë më afër infrastrukturës së tij. Përfaqësuesit e mbetur shpërndahen në mënyrë të barabartë midis përfaqësuesve të skajit dhe aplikacionit.

Rrjeti simulues

Për të studiuar efektivitetin e proxies si një mjet për të kundërshtuar sulmet DoS, studiuesit matën produktivitetin e aplikacionit nën skenarë të ndryshëm të ndikimit të jashtëm. Kishte gjithsej 192 proxy në rrjetin proxy (64 prej tyre në skaj). Për të kryer sulmin, u krijua rrjeti Trinoo, duke përfshirë 100 demonë. Secili prej demonëve kishte një kanal 100 Mbps. Kjo korrespondon me një botnet prej 10 mijë ruterash në shtëpi.

U mat ndikimi i një sulmi DoS në aplikacion dhe në rrjetin proxy. Në konfigurimin eksperimental, aplikacioni kishte një kanal interneti prej 250 Mbps dhe çdo përfaqësues i skajit kishte një kanal prej 100 Mbps.

Rezultatet e eksperimentit

Bazuar në rezultatet e analizës, rezultoi se një sulm me 250 Mbps rrit ndjeshëm kohën e përgjigjes së aplikacionit (rreth dhjetë herë), si rezultat i së cilës bëhet i pamundur përdorimi i tij. Sidoqoftë, kur përdorni një rrjet proxy, sulmi nuk ka një ndikim të rëndësishëm në performancën dhe nuk degradon përvojën e përdoruesit. Kjo ndodh sepse proxies edge hollojnë efektin e sulmit dhe burimet totale të rrjetit proxy janë më të larta se ato të vetë aplikacionit.

Sipas statistikave, nëse fuqia e sulmit nuk kalon 6.0 Gbps (pavarësisht se xhiroja totale e kanaleve proxy të skajit është vetëm 6.4 Gbps), atëherë 95% e përdoruesve nuk përjetojnë një rënie të dukshme të performancës. Për më tepër, në rastin e një sulmi shumë të fuqishëm që tejkalon 6.4 Gbps, edhe përdorimi i një rrjeti proxy nuk do të shmangte degradimin e nivelit të shërbimit për përdoruesit fundorë.

Në rastin e sulmeve të përqendruara, kur fuqia e tyre është e përqendruar në një grup të rastësishëm të përfaqësuesve të skajeve. Në këtë rast, sulmi bllokon një pjesë të rrjetit proxy, kështu që një pjesë e konsiderueshme e përdoruesve do të vërejnë një rënie të performancës.

Gjetjet

Rezultatet e eksperimentit sugjerojnë se rrjetet proxy mund të përmirësojnë performancën e aplikacioneve TCP dhe të ofrojnë nivelin e zakonshëm të shërbimit për përdoruesit, edhe në rast të sulmeve DoS. Sipas të dhënave të marra, rrjetet proxy rezultojnë të jenë një mënyrë efektive për të minimizuar pasojat e sulmeve; më shumë se 90% e përdoruesve nuk pësuan ulje të cilësisë së shërbimit gjatë eksperimentit. Përveç kësaj, studiuesit zbuluan se me rritjen e madhësisë së një rrjeti proxy, shkalla e sulmeve DoS që mund të përballojë rritet pothuajse në mënyrë lineare. Prandaj, sa më i madh të jetë rrjeti, aq më efektivisht do të luftojë DoS.

Lidhje dhe materiale të dobishme nga Infatica:

• Hulumtim: Krijimi i një shërbimi proxy rezistent ndaj bllokimit duke përdorur teorinë e lojës
• Historia e luftës kundër censurës: si funksionon metoda flash proxy e krijuar nga shkencëtarët nga MIT dhe Stanford
• Si të kuptoni kur proxies gënjejnë: verifikimi i vendndodhjeve fizike të përfaqësuesve të rrjetit duke përdorur algoritmin aktiv të gjeolokimit
• Si të maskoheni në internet: krahasimi i përfaqësuesve të serverit dhe rezidentit

Burimi: www.habr.com