Gambar:
Serangan DoS mangrupikeun salah sahiji ancaman panggedéna pikeun kaamanan inpormasi dina Internét modern. Aya puluhan botnet anu disewa ku panyerang pikeun ngalakukeun serangan sapertos kitu.
Élmuwan ti Universitas San Diego Sajauh mana pamakean proxy ngabantosan ngirangan pangaruh négatip tina serangan DoS - kami nampilkeun ka perhatian anjeun tesis utama karya ieu.
Bubuka: Proxy salaku Alat Pajoang DoS
Percobaan sarupa anu périodik dilumangsungkeun ku peneliti ti nagara béda, tapi masalah umum maranéhanana nyaéta kurangna sumberdaya pikeun simulate serangan nu deukeut jeung kanyataan. Tés dina bangku leutik teu ngidinan ngawalon patarosan ngeunaan kumaha sukses proxies bakal nolak serangan dina jaringan kompléks, parameter naon maénkeun peran konci dina kamampuhan pikeun ngaleutikan karuksakan, jsb.
Pikeun ékspérimén, para ilmuwan nyiptakeun modél aplikasi wéb anu biasa - contona, jasa e-commerce. Gawéna kalayan bantosan kluster server, pangguna disebarkeun di lokasi geografis anu béda sareng nganggo Internét pikeun ngaksés jasa éta. Dina modél ieu, Internét janten alat komunikasi antara jasa sareng pangguna - ieu kumaha jasa wéb dianggo tina mesin pencari dugi ka alat perbankan online.
Serangan DoS ngajantenkeun interaksi normal antara jasa sareng pangguna teu mungkin. Aya dua jinis DoS: serangan lapisan aplikasi sareng serangan lapisan infrastruktur. Dina kasus anu terakhir, panyerang langsung nyerang jaringan sareng host anu jasana dijalankeun (contona, aranjeunna ngabahekeun sakumna bandwidth jaringan kalayan lalu lintas banjir). Dina kasus serangan tingkat aplikasi, udagan panyerang nyaéta antarbeungeut interaksi pangguna - pikeun ieu aranjeunna ngirimkeun sajumlah ageung pamundut supados nyababkeun aplikasi nabrak. Eksperimen anu dijelaskeun ngeunaan serangan dina tingkat infrastruktur.
Jaringan proxy mangrupikeun salah sahiji alat pikeun ngaminimalkeun karusakan tina serangan DoS. Dina hal ngagunakeun proxy, sadaya pamundut ti pangguna ka jasa sareng réspon ka aranjeunna henteu langsung dikirimkeun, tapi ngalangkungan server perantara. Boh pangguna sareng aplikasi "teu ningali" silih langsung, ngan ukur alamat proxy anu sayogi pikeun aranjeunna. Hasilna, mustahil pikeun nyerang aplikasi sacara langsung. Di ujung jaringan aya anu disebut proksi tepi - proksi éksternal kalayan alamat IP anu sayogi, sambunganna mimiti ka aranjeunna.
Pikeun suksés nolak serangan DoS, jaringan proxy kedah gaduh dua kamampuan konci. Anu mimiti, jaringan perantara sapertos kitu kedah maénkeun peran perantara, nyaéta, anjeun tiasa "ngaliwat" kana aplikasi ngan ukur ngaliwatan éta. Ieu bakal ngaleungitkeun kamungkinan serangan langsung kana jasa éta. Kadua, jaringan proxy kudu bisa ngidinan pamaké pikeun tetep berinteraksi sareng aplikasi, sanajan salila serangan.
Infrastruktur ékspérimén
Panaliti ngagunakeun opat komponén konci:
- palaksanaan jaringan proxy;
- Pangladén wéb Apache
- alat nguji web ;
- alat serangan .
Simulasi dilaksanakeun di lingkungan MicroGrid - éta tiasa dianggo pikeun simulasi jaringan sareng 20 rébu router, anu dibandingkeun sareng jaringan operator Tier-1.
Hiji jaringan Trinoo has diwangun ku sakumpulan host compromised ngajalankeun daemon program urang. Aya ogé parangkat lunak ngawaskeun pikeun ngontrol jaringan sareng serangan DoS langsung. Dibéré daptar alamat IP, daemon Trinoo ngirimkeun pakét UDP ka target dina waktos anu ditangtukeun.
Salila percobaan, dua klaster dipaké. Simulator MicroGrid dijalankeun dina klaster Xeon Linux tina 16 titik (server 2.4GHz sareng mémori 1GB per mesin) disambungkeun via hub Ethernet 1Gbps. komponén software séjén anu lokasina dina klaster 24 titik (450MHz PII Linux-cthdths kalawan 1 GB memori per mesin) disambungkeun ku hub Ethernet 100Mbps. Dua klaster disambungkeun ku saluran 1Gbps.
Jaringan proxy di-host dina kolam renang 1000 host. Proxies tepi disebarkeun merata sapanjang kolam renang sumberdaya. Proxies pikeun gawé bareng aplikasi nu lokasina di host anu leuwih deukeut ka infrastruktur na. Sésana proksi disebarkeun merata antara proksi tepi sareng proksi aplikasi.
Jaringan pikeun simulasi
Pikeun diajar efektivitas proxy salaku alat pikeun ngalawan serangan DoS, panalungtik ngukur produktivitas aplikasi dina skenario béda tina pangaruh éksternal. Dina total, aya 192 proxy dina jaringan proxy (64 diantarana aya wates). Pikeun ngalaksanakeun serangan éta, jaringan Trinoo didamel, kalebet 100 sétan. Masing-masing daemon ngagaduhan saluran 100Mbps. Ieu pakait jeung botnet 10 routers imah.
Dampak serangan DoS dina aplikasi sareng jaringan proxy diukur. Dina konfigurasi ékspérimén, aplikasi éta ngagaduhan saluran Internét 250Mbps, sareng unggal proxy wates ngagaduhan 100 Mbps.
Hasil ékspérimén
Numutkeun kana hasil analisa, tétéla yén serangan dina 250Mbps sacara signifikan ningkatkeun waktos réspon aplikasi (sakitar sapuluh kali), hasilna janten teu mungkin pikeun ngagunakeunana. Nanging, nalika nganggo jaringan proxy, serangan éta henteu gaduh dampak anu signifikan dina pagelaran sareng henteu ngarusak pangalaman pangguna. Ieu kusabab proksi ujung éncér pangaruh serangan, sareng total sumber daya jaringan proxy langkung luhur tibatan aplikasi éta sorangan.
Numutkeun statistik, upami kakuatan serangan henteu ngaleuwihan 6.0Gbps (sanaos kanyataan yén total bandwidth saluran proxy wates ngan ukur 6.4Gbps), maka 95% pangguna henteu ngalaman degradasi kinerja anu nyata. Dina waktos anu sami, dina kasus serangan anu kuat pisan langkung ti 6.4Gbps, bahkan panggunaan jaringan proxy moal tiasa ngahindarkeun degradasi tingkat jasa pikeun pangguna akhir.
Dina kasus serangan kentel, nalika kakuatan maranéhanana ngumpul dina susunan acak tina proxies ujung. Dina hal ieu, serangan clogs bagian tina jaringan proxy, jadi bagian signifikan tina pamaké bakal perhatikeun turunna kinerja.
papanggihan
Hasil percobaan nunjukkeun yén jaringan proxy tiasa ningkatkeun kinerja aplikasi TCP sareng nyayogikeun tingkat jasa anu akrab pikeun pangguna, bahkan upami aya serangan DoS. Numutkeun data anu dicandak, proxy jaringan mangrupikeun cara anu épéktip pikeun ngaminimalkeun akibat tina serangan, langkung ti 90% pangguna salami percobaan henteu ngaraos panurunan dina kualitas jasa. Salaku tambahan, panaliti mendakan yén nalika ukuran jaringan proxy ningkat, skala serangan DoS anu tiasa ditanggung naék ampir sacara linier. Ku alatan éta, leuwih badag jaringan, nu leuwih éféktif bakal nungkulan DoS.
Tumbu mangpaat jeung bahan ti :
Sumber: www.habr.com