Larawan:
Ang mga pag-atake ng DoS ay isa sa pinakamalaking banta sa seguridad ng impormasyon sa modernong Internet. Mayroong dose-dosenang mga botnet na inuupahan ng mga umaatake upang isagawa ang mga naturang pag-atake.
Isinagawa ng mga siyentipiko mula sa Unibersidad ng San Diego Paano nakakatulong ang paggamit ng mga proxy na bawasan ang negatibong epekto ng mga pag-atake ng DoS - ipinakita namin sa iyong atensyon ang mga pangunahing thesis ng gawaing ito.
Panimula: proxy bilang tool para labanan ang DoS
Ang mga katulad na eksperimento ay pana-panahong isinasagawa ng mga mananaliksik mula sa iba't ibang bansa, ngunit ang kanilang karaniwang problema ay ang kakulangan ng mga mapagkukunan upang gayahin ang mga pag-atake na malapit sa katotohanan. Hindi pinapayagan ng mga pagsubok sa maliliit na test bench ang pagsagot sa mga tanong tungkol sa kung gaano matagumpay na malalabanan ng mga proxy ang pag-atake sa mga kumplikadong network, kung anong mga parameter ang gumaganap ng mahalagang papel sa kakayahang mabawasan ang pinsala, atbp.
Para sa eksperimento, lumikha ang mga siyentipiko ng isang modelo ng karaniwang web application - halimbawa, isang serbisyong e-commerce. Gumagana ito gamit ang isang kumpol ng mga server; ang mga user ay ipinamamahagi sa iba't ibang heograpikal na lokasyon at ginagamit ang Internet upang ma-access ang serbisyo. Sa modelong ito, ang Internet ay nagsisilbing paraan ng komunikasyon sa pagitan ng serbisyo at mga user - ito ay kung paano gumagana ang mga serbisyo sa web mula sa mga search engine hanggang sa mga tool sa online banking.
Ginagawang imposible ng mga pag-atake ng DoS ang normal na pakikipag-ugnayan sa pagitan ng serbisyo at mga user. Mayroong dalawang uri ng DoS: mga pag-atake sa antas ng aplikasyon at antas ng imprastraktura. Sa huling kaso, direktang inaatake ng mga umaatake ang network at ang mga host kung saan tumatakbo ang serbisyo (halimbawa, binabara nila ang buong bandwidth ng network ng trapiko sa baha). Sa kaso ng pag-atake sa antas ng aplikasyon, ang target ng umaatake ay ang user interface - para magawa ito, nagpapadala sila ng malaking bilang ng mga kahilingan upang maging sanhi ng pag-crash ng application. Inilarawan ng eksperimento ang mga nababahala na pag-atake sa antas ng imprastraktura.
Ang mga proxy network ay isa sa mga tool para mabawasan ang pinsala mula sa mga pag-atake ng DoS. Kapag gumagamit ng isang proxy, ang lahat ng mga kahilingan mula sa gumagamit sa serbisyo at mga tugon sa kanila ay ipinapadala hindi direkta, ngunit sa pamamagitan ng mga intermediate na server. Parehong hindi direktang "nakikita" ng user at ng application ang isa't isa; mga proxy address lang ang available sa kanila. Bilang resulta, imposibleng direktang atakehin ang application. Sa gilid ng network ay may mga tinatawag na edge proxies - mga panlabas na proxy na may magagamit na mga IP address, ang koneksyon ay napupunta sa kanila muna.
Upang matagumpay na labanan ang pag-atake ng DoS, ang isang proxy network ay dapat may dalawang pangunahing kakayahan. Una, ang naturang intermediate network ay dapat gumanap ng papel ng isang tagapamagitan, iyon ay, ang aplikasyon ay maaari lamang "maabot" sa pamamagitan nito. Aalisin nito ang posibilidad ng direktang pag-atake sa serbisyo. Pangalawa, dapat na payagan ng proxy network ang mga user na makipag-ugnayan pa rin sa application kahit na sa panahon ng pag-atake.
Imprastraktura ng eksperimento
Gumamit ang pag-aaral ng apat na pangunahing sangkap:
- pagpapatupad ng isang proxy network;
- Apache web server;
- tool sa pagsubok sa web ;
- kasangkapan sa pag-atake .
Ang simulation ay isinagawa sa kapaligiran ng MicroGrid - maaari itong magamit upang gayahin ang mga network na may 20 libong mga router, na maihahambing sa mga network ng mga operator ng Tier-1.
Ang isang tipikal na network ng Trinoo ay binubuo ng isang set ng mga nakompromisong host na nagpapatakbo ng isang program daemon. Mayroon ding monitoring software para sa pagsubaybay sa network at pagdidirekta ng mga pag-atake ng DoS. Pagkatapos makatanggap ng listahan ng mga IP address, ang Trinoo daemon ay nagpapadala ng mga UDP packet sa mga target sa mga tinukoy na oras.
Sa panahon ng eksperimento, dalawang kumpol ang ginamit. Ang MicroGrid simulator ay tumatakbo sa isang 16-node Xeon Linux cluster (2.4GHz server na may 1 gigabyte ng memory sa bawat machine) na konektado sa pamamagitan ng 1 Gbps Ethernet hub. Ang iba pang bahagi ng software ay matatagpuan sa isang kumpol ng 24 na node (450MHz PII Linux-cthdths na may 1 GB ng memorya sa bawat makina), na konektado ng isang 100Mbps Ethernet hub. Dalawang kumpol ay konektado sa pamamagitan ng isang 1Gbps channel.
Ang proxy network ay naka-host sa isang pool ng 1000 host. Ang mga proxies sa gilid ay pantay na ipinamamahagi sa buong resource pool. Ang mga proxy para sa pagtatrabaho sa application ay matatagpuan sa mga host na mas malapit sa imprastraktura nito. Ang natitirang mga proxy ay pantay na ipinamamahagi sa pagitan ng mga proxies ng gilid at application.
Simulation network
Upang pag-aralan ang pagiging epektibo ng isang proxy bilang isang tool para sa pagkontra sa isang pag-atake ng DoS, sinukat ng mga mananaliksik ang pagiging produktibo ng application sa ilalim ng iba't ibang mga sitwasyon ng mga panlabas na impluwensya. Mayroong kabuuang 192 proxy sa proxy network (64 sa mga ito ang gilid). Upang maisagawa ang pag-atake, nilikha ang network ng Trinoo, kabilang ang 100 mga demonyo. Ang bawat isa sa mga demonyo ay may 100Mbps na channel. Ito ay tumutugma sa isang botnet ng 10 libong mga router sa bahay.
Nasukat ang epekto ng pag-atake ng DoS sa application at sa proxy network. Sa pang-eksperimentong pagsasaayos, ang application ay may channel sa Internet na 250 Mbps, at ang bawat edge proxy ay may channel na 100 Mbps.
Mga resulta ng eksperimento
Batay sa mga resulta ng pagsusuri, lumabas na ang isang pag-atake sa 250Mbps ay makabuluhang pinatataas ang oras ng pagtugon ng application (mga sampung beses), bilang isang resulta kung saan nagiging imposible na gamitin ito. Gayunpaman, kapag gumagamit ng proxy network, ang pag-atake ay walang makabuluhang epekto sa pagganap at hindi nagpapababa sa karanasan ng user. Nangyayari ito dahil pinapalabnaw ng mga proxies sa gilid ang epekto ng pag-atake, at ang kabuuang mapagkukunan ng proxy network ay mas mataas kaysa sa mismong application.
Ayon sa istatistika, kung ang lakas ng pag-atake ay hindi lalampas sa 6.0Gbps (sa kabila ng kabuuang throughput ng mga edge proxy channel na 6.4Gbps lang), 95% ng mga user ay hindi nakakaranas ng kapansin-pansing pagbaba sa performance. Bukod dito, sa kaso ng isang napakalakas na pag-atake na lumampas sa 6.4Gbps, kahit na ang paggamit ng isang proxy network ay hindi maiiwasan ang pagkasira ng antas ng serbisyo para sa mga end user.
Sa kaso ng puro pag-atake, kapag ang kanilang kapangyarihan ay puro sa isang random na hanay ng mga proxies sa gilid. Sa kasong ito, binabara ng pag-atake ang bahagi ng proxy network, kaya mapapansin ng malaking bahagi ng mga user ang pagbaba sa pagganap.
Natuklasan
Iminumungkahi ng mga resulta ng eksperimento na ang mga proxy network ay maaaring mapabuti ang pagganap ng mga TCP application at magbigay ng karaniwang antas ng serbisyo sa mga user, kahit na sa kaganapan ng mga pag-atake ng DoS. Ayon sa data na nakuha, ang mga proxy network ay naging isang epektibong paraan upang mabawasan ang mga kahihinatnan ng mga pag-atake; higit sa 90% ng mga user ay hindi nakaranas ng pagbaba sa kalidad ng serbisyo sa panahon ng eksperimento. Bilang karagdagan, natuklasan ng mga mananaliksik na habang lumalaki ang laki ng isang proxy network, ang laki ng mga pag-atake ng DoS na maaari nitong mapaglabanan ay tumataas nang halos linearly. Samakatuwid, kung mas malaki ang network, mas epektibo itong labanan ang DoS.
Mga kapaki-pakinabang na link at materyales mula sa :
Pinagmulan: www.habr.com