Picha:
Mashambulizi ya DoS ni mojawapo ya matishio makubwa kwa usalama wa habari kwenye mtandao wa kisasa. Kuna maboti kadhaa ambayo washambuliaji hukodisha kutekeleza mashambulizi kama hayo.
Wanasayansi kutoka Chuo Kikuu cha San Diego walifanya Jinsi matumizi ya proksi husaidia kupunguza athari mbaya ya mashambulizi ya DoS - tunawasilisha kwa mawazo yako nadharia kuu za kazi hii.
Utangulizi: wakala kama zana ya kupambana na DoS
Majaribio kama haya hufanywa mara kwa mara na watafiti kutoka nchi tofauti, lakini shida yao ya kawaida ni ukosefu wa rasilimali za kuiga mashambulizi karibu na ukweli. Majaribio kwenye madawati madogo ya mtihani hairuhusu kujibu maswali kuhusu jinsi washirika wa mafanikio watapinga mashambulizi katika mitandao tata, ni vigezo gani vina jukumu muhimu katika uwezo wa kupunguza uharibifu, nk.
Kwa jaribio, wanasayansi waliunda mfano wa programu ya kawaida ya wavuti - kwa mfano, huduma ya e-commerce. Inafanya kazi kwa kutumia kundi la seva; watumiaji husambazwa katika maeneo mbalimbali ya kijiografia na hutumia Intaneti kufikia huduma. Katika mtindo huu, mtandao hutumika kama njia ya mawasiliano kati ya huduma na watumiaji - hivi ndivyo huduma za mtandao kutoka kwa injini za utafutaji hadi zana za benki mtandaoni zinavyofanya kazi.
Mashambulizi ya DoS hufanya mwingiliano wa kawaida kati ya huduma na watumiaji kutowezekana. Kuna aina mbili za DoS: kiwango cha programu na mashambulizi ya kiwango cha miundombinu. Katika kesi ya mwisho, washambuliaji hushambulia moja kwa moja mtandao na majeshi ambayo huduma huendesha (kwa mfano, hufunga bandwidth yote ya mtandao na trafiki ya mafuriko). Katika kesi ya shambulio la kiwango cha programu, shabaha ya mshambulizi ni kiolesura cha mtumiaji - kufanya hivyo, hutuma idadi kubwa ya maombi ili kusababisha programu kuacha kufanya kazi. Jaribio lilielezea mashambulizi yanayohusika katika kiwango cha miundombinu.
Mitandao ya seva mbadala ni mojawapo ya zana za kupunguza uharibifu kutokana na mashambulizi ya DoS. Wakati wa kutumia wakala, maombi yote kutoka kwa mtumiaji kwa huduma na majibu kwao yanapitishwa sio moja kwa moja, lakini kupitia seva za kati. Mtumiaji na programu "hawaonani" moja kwa moja; ni anwani za proksi pekee zinazopatikana kwao. Matokeo yake, haiwezekani kushambulia maombi moja kwa moja. Kwenye kando ya mtandao kuna kinachojulikana kama washirika wa makali - wakala wa nje na anwani za IP zinazopatikana, uunganisho huenda kwao kwanza.
Ili kupinga shambulio la DoS kwa mafanikio, mtandao wa wakala lazima uwe na uwezo mbili muhimu. Kwanza, mtandao wa kati kama huo lazima uchukue jukumu la mpatanishi, ambayo ni, programu inaweza "kufikiwa" tu kupitia hiyo. Hii itaondoa uwezekano wa mashambulizi ya moja kwa moja kwenye huduma. Pili, mtandao wa seva mbadala lazima uweze kuruhusu watumiaji bado kuingiliana na programu hata wakati wa mashambulizi.
Miundombinu ya majaribio
Utafiti ulitumia vipengele vinne muhimu:
- utekelezaji wa mtandao wa wakala;
- seva ya wavuti ya Apache;
- chombo cha kupima mtandao ;
- chombo cha kushambulia .
Simulation ilifanyika katika mazingira ya MicroGrid - inaweza kutumika kuiga mitandao na ruta elfu 20, ambayo inalinganishwa na mitandao ya waendeshaji wa Tier-1.
Mtandao wa kawaida wa Trinoo unajumuisha seti ya wapangishi walioathiriwa wanaoendesha daemon ya programu. Pia kuna programu ya ufuatiliaji kwa ajili ya kufuatilia mtandao na kuelekeza mashambulizi ya DoS. Baada ya kupokea orodha ya anwani za IP, daemon ya Trinoo hutuma pakiti za UDP kwa malengo kwa nyakati maalum.
Wakati wa majaribio, vikundi viwili vilitumiwa. Kiigaji cha MicroGrid kiliendeshwa kwenye nguzo ya Xeon Linux yenye nodi 16 (seva 2.4GHz zenye kumbukumbu ya gigabaiti 1 kwenye kila mashine) iliyounganishwa kupitia kitovu cha Ethaneti cha Gbps 1. Vipengele vingine vya programu vilipatikana katika kundi la nodi 24 (450MHz PII Linux-cthdths na GB 1 ya kumbukumbu kwenye kila mashine), iliyounganishwa na kitovu cha Ethaneti cha 100Mbps. Vikundi viwili viliunganishwa na chaneli ya 1Gbps.
Mtandao wa wakala unapangishwa katika kundi la wapangishi 1000. Wakala wa ukingo husambazwa sawasawa katika bwawa la rasilimali. Wakala wa kufanya kazi na programu ziko kwenye majeshi ambayo yako karibu na miundombinu yake. Wawakilishi waliosalia husambazwa sawasawa kati ya vibao vya kingo na vya programu.
Mtandao wa kuiga
Ili kusoma ufanisi wa seva mbadala kama zana ya kukabiliana na shambulio la DoS, watafiti walipima tija ya programu chini ya hali tofauti za athari za nje. Kulikuwa na jumla ya proksi 192 katika mtandao wa wakala (64 kati yao makali). Ili kutekeleza shambulio hilo, mtandao wa Trinoo uliundwa, pamoja na mapepo 100. Kila mapepo yalikuwa na chaneli ya 100Mbps. Hii inalingana na botnet ya ruta elfu 10 za nyumbani.
Athari ya shambulio la DoS kwenye programu na mtandao wa seva mbadala ilipimwa. Katika usanidi wa majaribio, programu ilikuwa na chaneli ya Mtandao ya 250 Mbps, na kila proksi ya makali ilikuwa na chaneli ya 100 Mbps.
Matokeo ya majaribio
Kulingana na matokeo ya uchambuzi, iliibuka kuwa shambulio la 250Mbps huongeza sana wakati wa majibu ya programu (karibu mara kumi), kama matokeo ambayo inakuwa haiwezekani kuitumia. Hata hivyo, unapotumia mtandao wa seva mbadala, shambulio hilo halina athari kubwa kwenye utendaji na halidunishi hali ya mtumiaji. Hii hutokea kwa sababu proksi za makali hupunguza athari ya mashambulizi, na jumla ya rasilimali za mtandao wa seva mbadala ni kubwa kuliko zile za programu yenyewe.
Kulingana na takwimu, ikiwa nguvu ya ushambuliaji haizidi 6.0Gbps (licha ya jumla ya upitishaji wa njia za proksi za makali kuwa 6.4Gbps pekee), basi 95% ya watumiaji hawatapata upungufu unaoonekana katika utendakazi. Aidha, katika kesi ya shambulio la nguvu sana linalozidi 6.4Gbps, hata matumizi ya mtandao wa wakala hautaepuka uharibifu wa kiwango cha huduma kwa watumiaji wa mwisho.
Katika kesi ya mashambulizi ya kujilimbikizia, wakati nguvu zao ni kujilimbikizia seti random ya wakala makali. Katika hali hii, shambulio huziba sehemu ya mtandao wa proksi, kwa hivyo sehemu kubwa ya watumiaji wataona kushuka kwa utendakazi.
Matokeo
Matokeo ya jaribio yanapendekeza kuwa mitandao ya seva mbadala inaweza kuboresha utendakazi wa programu za TCP na kutoa kiwango cha kawaida cha huduma kwa watumiaji, hata katika tukio la mashambulizi ya DoS. Kulingana na data iliyopatikana, mitandao ya seva mbadala imekuwa njia mwafaka ya kupunguza madhara ya mashambulizi; zaidi ya 90% ya watumiaji hawakuathiriwa na kupungua kwa ubora wa huduma wakati wa jaribio. Kwa kuongezea, watafiti waligundua kuwa kadiri saizi ya mtandao wa wakala inavyoongezeka, ukubwa wa mashambulizi ya DoS ambayo inaweza kuhimili huongezeka karibu kwa mstari. Kwa hiyo, mtandao mkubwa, kwa ufanisi zaidi utapambana na DoS.
Viungo muhimu na nyenzo kutoka :
Chanzo: www.habr.com