การทดลอง: เป็นไปได้ไหมที่จะลดผลกระทบด้านลบของการโจมตี DoS โดยใช้พร็อกซี

ภาพ: Unsplash

การโจมตี DoS เป็นหนึ่งในภัยคุกคามที่ใหญ่ที่สุดต่อความปลอดภัยของข้อมูลบนอินเทอร์เน็ตสมัยใหม่ มีบ็อตเน็ตจำนวนมากที่ผู้โจมตีเช่าเพื่อดำเนินการโจมตีดังกล่าว

นักวิทยาศาสตร์จากมหาวิทยาลัยซานดิเอโก ศึกษา ขอบเขตที่การใช้พร็อกซีช่วยลดผลกระทบด้านลบของการโจมตี DoS - เรานำเสนอวิทยานิพนธ์หลักของงานนี้ให้คุณทราบ

บทนำ: Proxy เป็นเครื่องมือต่อสู้ DoS

นักวิจัยจากประเทศต่างๆ ทำการทดลองที่คล้ายกันนี้เป็นระยะๆ แต่ปัญหาที่พบบ่อยคือการขาดทรัพยากรในการจำลองการโจมตีที่ใกล้เคียงกับความเป็นจริง การทดสอบบนม้านั่งขนาดเล็กไม่อนุญาตให้ตอบคำถามว่าพร็อกซีจะต้านทานการโจมตีในเครือข่ายที่ซับซ้อนได้อย่างไร พารามิเตอร์ใดที่มีบทบาทสำคัญในความสามารถในการลดความเสียหาย ฯลฯ

สำหรับการทดลองนี้ นักวิทยาศาสตร์ได้สร้างแบบจำลองของเว็บแอปพลิเคชันทั่วไป ตัวอย่างเช่น บริการอีคอมเมิร์ซ มันทำงานด้วยความช่วยเหลือของคลัสเตอร์ของเซิร์ฟเวอร์ ผู้ใช้จะกระจายไปตามตำแหน่งที่ตั้งทางภูมิศาสตร์ต่างๆ และใช้อินเทอร์เน็ตเพื่อเข้าถึงบริการ ในรูปแบบนี้ อินเทอร์เน็ตทำหน้าที่เป็นช่องทางในการสื่อสารระหว่างบริการและผู้ใช้ ซึ่งเป็นวิธีการทำงานของบริการบนเว็บตั้งแต่เสิร์ชเอ็นจิ้นไปจนถึงเครื่องมือธนาคารออนไลน์

การโจมตีแบบ DoS ทำให้การโต้ตอบตามปกติระหว่างบริการและผู้ใช้เป็นไปไม่ได้ DoS มีอยู่สองประเภท: การโจมตีเลเยอร์แอปพลิเคชันและการโจมตีเลเยอร์โครงสร้างพื้นฐาน ในกรณีหลังนี้ ผู้โจมตีจะโจมตีเครือข่ายและโฮสต์ที่บริการกำลังทำงานอยู่โดยตรง (เช่น พวกเขาทำให้แบนด์วิธของเครือข่ายทั้งหมดท่วมท้นไปด้วยทราฟฟิกจำนวนมาก) ในกรณีของการโจมตีระดับแอปพลิเคชัน เป้าหมายของผู้โจมตีคืออินเทอร์เฟซการโต้ตอบของผู้ใช้ ด้วยเหตุนี้ พวกเขาจึงส่งคำขอจำนวนมากเพื่อทำให้แอปพลิเคชันหยุดทำงาน การทดลองที่อธิบายเกี่ยวข้องกับการโจมตีในระดับโครงสร้างพื้นฐาน

เครือข่ายพร็อกซีเป็นหนึ่งในเครื่องมือที่ช่วยลดความเสียหายจากการโจมตี DoS ในกรณีของการใช้พรอกซี คำขอทั้งหมดจากผู้ใช้ไปยังบริการและการตอบกลับจะไม่ถูกส่งโดยตรง แต่ผ่านเซิร์ฟเวอร์ระดับกลาง ทั้งผู้ใช้และแอปพลิเคชัน "ไม่เห็น" ซึ่งกันและกันโดยตรง มีเพียงที่อยู่พร็อกซีเท่านั้นที่สามารถใช้ได้ ดังนั้นจึงเป็นไปไม่ได้ที่จะโจมตีแอปพลิเคชันโดยตรง ที่ขอบของเครือข่ายมีสิ่งที่เรียกว่าพร็อกซีขอบ - พร็อกซีภายนอกที่มีที่อยู่ IP ที่มีอยู่ การเชื่อมต่อจะดำเนินการก่อน

ในการต้านทานการโจมตี DoS ได้สำเร็จ เครือข่ายพร็อกซีต้องมีความสามารถหลักสองประการ ประการแรกเครือข่ายระดับกลางดังกล่าวควรมีบทบาทเป็นตัวกลางนั่นคือคุณสามารถ "ผ่าน" ไปยังแอปพลิเคชันได้เท่านั้น สิ่งนี้จะกำจัดความเป็นไปได้ของการโจมตีบริการโดยตรง ประการที่สอง เครือข่ายพร็อกซีต้องสามารถอนุญาตให้ผู้ใช้ยังคงโต้ตอบกับแอปพลิเคชันได้ แม้ในระหว่างการโจมตี

โครงสร้างพื้นฐานการทดลอง

การศึกษาใช้องค์ประกอบหลักสี่ประการ:

• การใช้เครือข่ายพร็อกซี
• อาปาเช่เว็บเซิร์ฟเวอร์
• เครื่องมือทดสอบเว็บ การล้อม;
• เครื่องมือโจมตี ทรีโน่.

การจำลองดำเนินการในสภาพแวดล้อม MicroGrid - สามารถใช้เพื่อจำลองเครือข่ายที่มีเราเตอร์ 20 ตัว ซึ่งเทียบได้กับเครือข่ายของผู้ให้บริการ Tier-1

เครือข่าย Trinoo ทั่วไปประกอบด้วยชุดของโฮสต์ที่ถูกบุกรุกซึ่งรันดีมอนของโปรแกรม นอกจากนี้ยังมีซอฟต์แวร์ตรวจสอบเพื่อควบคุมเครือข่ายและโจมตี DoS โดยตรง จากรายการที่อยู่ IP Trinoo daemon จะส่งแพ็กเก็ต UDP ไปยังเป้าหมายตามเวลาที่กำหนด

ในระหว่างการทดลอง มีการใช้คลัสเตอร์สองกลุ่ม เครื่องจำลอง MicroGrid ทำงานบนคลัสเตอร์ Xeon Linux จำนวน 16 โหนด (เซิร์ฟเวอร์ 2.4GHz พร้อมหน่วยความจำ 1GB ต่อเครื่อง) ที่เชื่อมต่อผ่านฮับอีเธอร์เน็ต 1Gbps ส่วนประกอบซอฟต์แวร์อื่นๆ อยู่ในคลัสเตอร์ 24 โหนด (450MHz PII Linux-cthdths พร้อมหน่วยความจำ 1 GB ต่อเครื่อง) ที่เชื่อมต่อด้วยฮับอีเทอร์เน็ต 100Mbps สองคลัสเตอร์เชื่อมต่อกันด้วยช่องสัญญาณ 1Gbps

เครือข่ายพร็อกซีโฮสต์อยู่ในกลุ่ม 1000 โฮสต์ พร็อกซี Edge กระจายอย่างเท่าเทียมกันทั่วทั้งแหล่งทรัพยากร พร็อกซีสำหรับการทำงานกับแอปพลิเคชันนั้นอยู่บนโฮสต์ที่ใกล้กับโครงสร้างพื้นฐานมากขึ้น พร็อกซีที่เหลือจะกระจายเท่าๆ กันระหว่างพร็อกซีขอบและพร็อกซีแอปพลิเคชัน

เครือข่ายสำหรับการจำลอง

เพื่อศึกษาประสิทธิภาพของพร็อกซีในฐานะเครื่องมือในการตอบโต้การโจมตี DoS นักวิจัยได้วัดประสิทธิภาพของแอปพลิเคชันภายใต้สถานการณ์ต่างๆ ของอิทธิพลภายนอก โดยรวมแล้วมีผู้รับมอบฉันทะ 192 รายในเครือข่ายพร็อกซี (64 รายเป็นผู้รับมอบฉันทะ) เพื่อดำเนินการโจมตี เครือข่าย Trinoo ถูกสร้างขึ้นรวมถึงปีศาจ 100 ตัว ภูตแต่ละตัวมีช่องสัญญาณ 100Mbps สิ่งนี้สอดคล้องกับบ็อตเน็ตของเราเตอร์ตามบ้าน 10 ตัว

มีการวัดผลกระทบของการโจมตี DoS บนแอปพลิเคชันและเครือข่ายพร็อกซี ในการกำหนดค่าการทดลอง แอปพลิเคชันมีช่องสัญญาณอินเทอร์เน็ต 250Mbps และพร็อกซีชายแดนแต่ละรายการมี 100 Mbps

ผลการทดลอง

จากผลการวิเคราะห์พบว่าการโจมตีที่ 250Mbps เพิ่มเวลาตอบสนองของแอปพลิเคชันอย่างมีนัยสำคัญ (ประมาณสิบเท่า) ซึ่งส่งผลให้ไม่สามารถใช้งานได้ อย่างไรก็ตาม เมื่อใช้เครือข่ายพร็อกซี การโจมตีจะไม่ส่งผลกระทบอย่างมีนัยสำคัญต่อประสิทธิภาพการทำงาน และไม่ทำให้ประสบการณ์ของผู้ใช้ลดลง นี่เป็นเพราะพร็อกซีขอบเจือจางผลกระทบของการโจมตี และทรัพยากรทั้งหมดของเครือข่ายพร็อกซีนั้นสูงกว่าของแอปพลิเคชันเอง

ตามสถิติ หากพลังโจมตีไม่เกิน 6.0Gbps (แม้ว่าแบนด์วิธทั้งหมดของช่องพร็อกซีชายแดนจะอยู่ที่ 6.4Gbps เท่านั้น) แสดงว่าผู้ใช้ 95% ไม่พบประสิทธิภาพที่ลดลงอย่างเห็นได้ชัด ในขณะเดียวกัน ในกรณีของการโจมตีที่ทรงพลังมากเกิน 6.4Gbps แม้แต่การใช้เครือข่ายพร็อกซีก็ไม่อนุญาตให้หลีกเลี่ยงการลดระดับของบริการสำหรับผู้ใช้ปลายทาง

ในกรณีของการโจมตีแบบเข้มข้น เมื่อพลังของพวกมันกระจุกอยู่ที่ชุดเอดจ์พร็อกซี่แบบสุ่ม ในกรณีนี้ การโจมตีจะขัดขวางส่วนหนึ่งของเครือข่ายพร็อกซี ดังนั้นผู้ใช้ส่วนใหญ่จึงสังเกตเห็นประสิทธิภาพที่ลดลง

ผลการวิจัย

ผลการทดลองชี้ให้เห็นว่าเครือข่ายพร็อกซีสามารถปรับปรุงประสิทธิภาพของแอปพลิเคชัน TCP และให้บริการในระดับที่คุ้นเคยสำหรับผู้ใช้ แม้ในกรณีที่มีการโจมตี DoS จากข้อมูลที่ได้รับ พร็อกซีเครือข่ายเป็นวิธีที่มีประสิทธิภาพในการลดผลกระทบของการโจมตี ผู้ใช้มากกว่า 90% ในระหว่างการทดลองไม่รู้สึกว่าคุณภาพของบริการลดลง นอกจากนี้ นักวิจัยพบว่าเมื่อขนาดของเครือข่ายพร็อกซีเพิ่มขึ้น ขนาดของการโจมตีแบบ DoS ที่สามารถทนได้ก็เพิ่มขึ้นเกือบจะเป็นเส้นตรง ดังนั้นยิ่งเครือข่ายมีขนาดใหญ่เท่าใดก็จะยิ่งจัดการกับ DoS ได้อย่างมีประสิทธิภาพมากขึ้นเท่านั้น

ลิงค์และเนื้อหาที่เป็นประโยชน์จาก อินฟาติก้า:

• การวิจัย: การสร้างบริการพร็อกซีที่ป้องกันการบล็อกโดยใช้ทฤษฎีเกม
• ประวัติการต่อสู้กับการเซ็นเซอร์: วิธีการทำงานของแฟลชพร็อกซีที่นักวิทยาศาสตร์จาก MIT และ Stanford สร้างขึ้น
• วิธีทำความเข้าใจเมื่อผู้รับมอบฉันทะโกหก: การตรวจสอบตำแหน่งทางกายภาพของผู้รับมอบฉันทะเครือข่ายโดยใช้อัลกอริทึมตำแหน่งทางภูมิศาสตร์ที่ใช้งานอยู่
• วิธีปลอมตัวบนอินเทอร์เน็ต: เปรียบเทียบเซิร์ฟเวอร์และพร็อกซีที่อยู่อาศัย

ที่มา: www.habr.com