Bild:
DoS-attacker är ett av de största hoten mot informationssäkerheten på det moderna Internet. Det finns dussintals botnät som angripare hyr ut för att utföra sådana attacker.
Forskare från University of San Diego i vilken utsträckning användningen av proxyservrar hjälper till att minska den negativa effekten av DoS-attacker - vi presenterar huvuduppsatserna i detta arbete för din uppmärksamhet.
Introduktion: Proxy som ett DoS Fighting Tool
Liknande experiment utförs med jämna mellanrum av forskare från olika länder, men deras gemensamma problem är bristen på resurser för att simulera attacker som ligger nära verkligheten. Tester på små bänkar tillåter inte att svara på frågor om hur framgångsrikt proxyservrar kommer att motstå en attack i komplexa nätverk, vilka parametrar som spelar en nyckelroll i förmågan att minimera skador, etc.
För experimentet skapade forskarna en modell av en typisk webbapplikation - till exempel en e-handelstjänst. Det fungerar med hjälp av ett kluster av servrar, användare är fördelade på olika geografiska platser och använder Internet för att komma åt tjänsten. I den här modellen fungerar Internet som ett kommunikationsmedel mellan tjänsten och användarna – det är så webbtjänster fungerar från sökmotorer till nätbanksverktyg.
DoS-attacker omöjliggör normal interaktion mellan tjänsten och användarna. Det finns två typer av DoS: applikationslagsattacker och infrastrukturlagerattacker. I det senare fallet attackerar angripare nätverket och de värdar som tjänsten körs på (till exempel översvämmer de hela nätverkets bandbredd med översvämningstrafik). I fallet med en attack på applikationsnivå är angriparens mål användarens interaktionsgränssnitt - för detta skickar de ett stort antal förfrågningar för att få applikationen att krascha. Det beskrivna experimentet gällde attacker på infrastrukturnivå.
Proxynätverk är ett av verktygen för att minimera skador från DoS-attacker. Vid användning av en proxy överförs alla förfrågningar från användaren till tjänsten och svar på dem inte direkt, utan via mellanliggande servrar. Både användaren och applikationen "ser" inte varandra direkt, endast proxyadresser är tillgängliga för dem. Som ett resultat är det omöjligt att attackera applikationen direkt. I kanten av nätverket finns så kallade edge-proxies – externa proxyer med tillgängliga IP-adresser, anslutningen går först till dem.
För att framgångsrikt kunna motstå en DoS-attack måste ett proxynätverk ha två nyckelfunktioner. För det första bör ett sådant mellanliggande nätverk spela rollen som en mellanhand, det vill säga du kan "komma igenom" till applikationen endast genom den. Detta kommer att eliminera möjligheten för en direkt attack på tjänsten. För det andra måste proxynätverket kunna tillåta användare att fortfarande interagera med applikationen, även under attacken.
Experimentera infrastruktur
Studien använde fyra nyckelkomponenter:
- implementering av ett proxynätverk;
- Apache webbserver
- webbtestverktyg ;
- attackverktyg .
Simuleringen utfördes i MicroGrid-miljön - den kan användas för att simulera nätverk med 20 tusen routrar, vilket är jämförbart med nätverken för Tier-1-operatörer.
Ett typiskt Trinoo-nätverk består av en uppsättning komprometterade värdar som kör programmets demon. Det finns också övervakningsprogram för att styra nätverket och rikta DoS-attacker. Givet en lista med IP-adresser skickar Trinoo-demonen UDP-paket till målen vid den angivna tidpunkten.
Under experimentet användes två kluster. MicroGrid-simulatorn kördes på ett Xeon Linux-kluster med 16 noder (2.4 GHz-servrar med 1 GB minne per maskin) anslutna via en 1 Gbps Ethernet-hubb. Andra programvarukomponenter fanns i ett kluster av 24 noder (450MHz PII Linux-cthdths med 1 GB minne per maskin) anslutna med en 100Mbps Ethernet-hubb. Två kluster kopplades samman med en 1 Gbps kanal.
Proxynätverket finns i en pool med 1000 värdar. Kantfullmakter är jämnt fördelade över resurspoolen. Proxyer för att arbeta med applikationen finns på värdar som är närmare dess infrastruktur. Resten av fullmakterna är jämnt fördelade mellan kantproxyerna och applikationsfullmakterna.
Nätverk för simulering
För att studera effektiviteten av en proxy som ett verktyg för att motverka en DoS-attack, mätte forskarna applikationens produktivitet under olika scenarier av yttre påverkan. Totalt fanns det 192 fullmakter i proxynätverket (64 av dem var gränsövervakare). För att utföra attacken skapades ett Trinoo-nätverk, inklusive 100 demoner. Var och en av demonerna hade en kanal på 100 Mbps. Det motsvarar ett botnät på 10 XNUMX hemroutrar.
Effekten av en DoS-attack på applikationen och proxynätverket mättes. I den experimentella konfigurationen hade applikationen en internetkanal på 250 Mbps, och varje gränsproxy hade 100 Mbps.
Experimentresultat
Enligt resultaten av analysen visade det sig att en attack på 250 Mbps avsevärt ökar applikationens svarstid (cirka tio gånger), vilket gör att det blir omöjligt att använda det. Men när du använder ett proxynätverk har attacken ingen betydande inverkan på prestanda och försämrar inte användarupplevelsen. Detta beror på att edge-proxies späder på effekten av attacken, och de totala resurserna för proxynätverket är högre än själva applikationen.
Enligt statistik, om attackkraften inte överstiger 6.0 Gbps (trots att den totala bandbredden för gränsproxykanalerna endast är 6.4 Gbps), så upplever inte 95 % av användarna en märkbar prestandaförsämring. Samtidigt, i fallet med en mycket kraftfull attack som överstiger 6.4 Gbps, skulle inte ens användningen av ett proxynätverk göra det möjligt att undvika försämring av servicenivån för slutanvändare.
I fallet med koncentrerade attacker, när deras kraft är koncentrerad till en slumpmässig uppsättning kantproxyer. I det här fallet täpper attacken till en del av proxynätverket, så en betydande del av användarna kommer att märka en minskning i prestanda.
Resultat
Resultaten av experimentet tyder på att proxynätverk kan förbättra prestandan för TCP-applikationer och tillhandahålla en välbekant servicenivå för användarna, även i händelse av DoS-attacker. Enligt de erhållna uppgifterna är nätverksproxy ett effektivt sätt att minimera konsekvenserna av attacker, mer än 90% av användarna under experimentet kände inte en minskning av kvaliteten på tjänsten. Dessutom fann forskarna att när storleken på proxynätverket ökar, ökar omfattningen av DoS-attacker som det kan utstå nästan linjärt. Därför, ju större nätverket är, desto mer effektivt kommer det att hantera DoS.
Användbara länkar och material från :
Källa: www.habr.com