Resim:
DoS saldırıları, modern İnternet'teki bilgi güvenliğine yönelik en büyük tehditlerden biridir. Saldırganların bu tür saldırıları gerçekleştirmek için kiraladığı düzinelerce botnet vardır.
San Diego Üniversitesi'nden bilim adamları proxy kullanımının DoS saldırılarının olumsuz etkisini azaltmaya ne ölçüde yardımcı olduğu - bu çalışmanın ana tezlerini dikkatinize sunuyoruz.
Giriş: Bir DoS Dövüş Aracı Olarak Proxy
Benzer deneyler, farklı ülkelerden araştırmacılar tarafından periyodik olarak gerçekleştiriliyor, ancak ortak sorunları, gerçeğe yakın saldırıları simüle edecek kaynakların olmaması. Küçük tezgahlarda yapılan testler, proxy'lerin karmaşık ağlarda bir saldırıya ne kadar başarılı bir şekilde direneceği, hasarı en aza indirme becerisinde hangi parametrelerin önemli bir rol oynadığı vb. ile ilgili soruların yanıtlanmasına izin vermez.
Deney için, bilim insanları tipik bir web uygulamasının örneğin bir e-ticaret hizmetinin modelini oluşturdular. Bir sunucu kümesi yardımıyla çalışır, kullanıcılar farklı coğrafi konumlara dağılmıştır ve hizmete erişmek için İnternet'i kullanır. Bu modelde İnternet, hizmet ile kullanıcılar arasında bir iletişim aracı olarak hizmet eder - arama motorlarından çevrimiçi bankacılık araçlarına kadar web hizmetleri bu şekilde çalışır.
DoS saldırıları, hizmet ile kullanıcılar arasındaki normal etkileşimi imkansız hale getirir. İki tür DoS vardır: uygulama katmanı saldırıları ve altyapı katmanı saldırıları. İkinci durumda, saldırganlar doğrudan ağa ve hizmetin üzerinde çalıştığı ana bilgisayarlara saldırır (örneğin, tüm ağ bant genişliğini sel trafiğiyle doldururlar). Uygulama düzeyinde bir saldırı durumunda, saldırganın hedefi kullanıcı etkileşimi arabirimidir - bunun için uygulamanın çökmesine neden olmak için çok sayıda istek gönderirler. Açıklanan deney, altyapı düzeyindeki saldırılarla ilgiliydi.
Proxy ağları, DoS saldırılarından kaynaklanan hasarı en aza indiren araçlardan biridir. Proxy kullanılması durumunda, kullanıcıdan hizmete gelen tüm istekler ve bunlara verilen yanıtlar doğrudan değil, ara sunucular aracılığıyla iletilir. Hem kullanıcı hem de uygulama birbirini doğrudan "görmez", yalnızca proxy adresleri onlar için kullanılabilir. Sonuç olarak, uygulamaya doğrudan saldırmak imkansızdır. Ağın ucunda sözde kenar proxy'leri vardır - mevcut IP adreslerine sahip harici proxy'ler, bağlantı önce bunlara gider.
Bir DoS saldırısına başarılı bir şekilde direnmek için bir proxy ağının iki temel yeteneğe sahip olması gerekir. İlk olarak, böyle bir ara ağ bir aracı rolü oynamalıdır, yani uygulamaya yalnızca onun aracılığıyla "geçebilirsiniz". Bu, hizmete doğrudan saldırı olasılığını ortadan kaldıracaktır. İkincisi, proxy ağı, kullanıcıların saldırı sırasında bile uygulamayla etkileşime girmesine izin verebilmelidir.
Deney altyapısı
Çalışma dört temel bileşen kullandı:
- bir proxy ağının uygulanması;
- apache web sunucusu
- web test aracı ;
- saldırı aracı .
Simülasyon MicroGrid ortamında gerçekleştirildi - Tier-20 operatörlerinin ağlarıyla karşılaştırılabilir olan 1 bin yönlendiricili ağları simüle etmek için kullanılabilir.
Tipik bir Trinoo ağı, programın arka plan programını çalıştıran bir dizi güvenliği ihlal edilmiş ana bilgisayardan oluşur. Ağı kontrol etmek ve DoS saldırılarını yönlendirmek için izleme yazılımı da vardır. Bir IP adresleri listesi verildiğinde, Trinoo arka plan programı belirlenen zamanda hedeflere UDP paketleri gönderir.
Deney sırasında iki küme kullanıldı. MicroGrid simülatörü, 16 Gb/sn Ethernet hub'ı aracılığıyla bağlanan 2.4 düğümden (makine başına 1 GB belleğe sahip 1 GHz sunucular) oluşan bir Xeon Linux kümesinde çalıştı. Diğer yazılım bileşenleri, 24 Mb/sn Ethernet hub'ı ile bağlanan 450 düğümden (makine başına 1 GB belleğe sahip 100 MHz PII Linux-cthdth'ler) oluşan bir kümede bulunuyordu. İki küme, 1 Gb/sn'lik bir kanalla birbirine bağlandı.
Proxy ağı, 1000 ana bilgisayardan oluşan bir havuzda barındırılır. Edge proxy'leri, kaynak havuzu boyunca eşit olarak dağıtılır. Uygulamayla çalışmak için proxy'ler, altyapısına daha yakın olan ana bilgisayarlarda bulunur. Proxy'lerin geri kalanı, uç proxy'leri ve uygulama proxy'leri arasında eşit olarak dağıtılır.
Simülasyon için ağ
Bir DoS saldırısına karşı bir araç olarak proxy'nin etkinliğini incelemek için araştırmacılar, farklı dış etki senaryoları altında uygulamanın üretkenliğini ölçtüler. Toplamda, proxy ağında 192 proxy vardı (bunların 64'ü sınırdı). Saldırıyı gerçekleştirmek için 100 iblis içeren bir Trinoo ağı oluşturuldu. Arka plan programlarının her birinin 100 Mbps'lik bir kanalı vardı. Bu, 10 ev yönlendiricisinden oluşan bir botnet'e karşılık gelir.
Bir DoS saldırısının uygulama ve proxy ağı üzerindeki etkisi ölçülmüştür. Deneysel yapılandırmada, uygulamanın 250 Mbps'lik bir İnternet kanalı ve her sınır proxy'si 100 Mbps'ye sahipti.
deney sonuçları
Analiz sonuçlarına göre, 250 Mbps'ye yapılan bir saldırının, uygulamanın yanıt süresini önemli ölçüde artırdığı (yaklaşık on kat), bunun sonucunda uygulamanın kullanılması imkansız hale geldiği ortaya çıktı. Bununla birlikte, bir proxy ağı kullanıldığında, saldırının performans üzerinde önemli bir etkisi olmaz ve kullanıcı deneyimini bozmaz. Bunun nedeni, uç proxy'lerin saldırının etkisini azaltması ve proxy ağının toplam kaynaklarının uygulamanın kendisinden daha yüksek olmasıdır.
İstatistiklere göre, saldırı gücü 6.0Gbps'yi geçmiyorsa (sınır proxy kanallarının toplam bant genişliğinin yalnızca 6.4Gbps olmasına rağmen), kullanıcıların %95'i performansta gözle görülür bir düşüş yaşamıyor. Aynı zamanda, 6.4Gbps'yi aşan çok güçlü bir saldırı durumunda, bir proxy ağının kullanılması bile son kullanıcılar için hizmet seviyesinin düşmesini önlemeye izin vermeyecektir.
Konsantre saldırılar durumunda, güçleri rastgele bir uç proxy'si setinde yoğunlaştığında. Bu durumda, saldırı proxy ağının bir bölümünü tıkar, bu nedenle kullanıcıların önemli bir kısmı performansta bir düşüş fark eder.
Bulgular
Deneyin sonuçları, proxy ağlarının TCP uygulamalarının performansını iyileştirebileceğini ve DoS saldırıları durumunda bile kullanıcılar için tanıdık düzeyde hizmet sağlayabileceğini göstermektedir. Elde edilen verilere göre, ağ proxy'leri saldırıların sonuçlarını en aza indirmenin etkili bir yoludur, deney sırasında kullanıcıların %90'ından fazlası hizmet kalitesinde bir düşüş hissetmedi. Ayrıca araştırmacılar, proxy ağının boyutu arttıkça dayanabileceği DoS saldırılarının ölçeğinin neredeyse doğrusal olarak arttığını buldular. Bu nedenle, ağ ne kadar büyük olursa, DoS ile o kadar etkili bir şekilde ilgilenecektir.
Yararlı bağlantılar ve materyaller :
Kaynak: www.habr.com