Tajriba: proksi-server yordamida DoS hujumlarining salbiy oqibatlarini kamaytirish mumkinmi?

Rasm: Unsplash

DoS hujumlari zamonaviy Internetda axborot xavfsizligiga eng katta tahdidlardan biridir. Hujumchilar bunday hujumlarni amalga oshirish uchun ijaraga oladigan o'nlab botnetlar mavjud.

San-Diego universiteti olimlari o'tkazdilar o'rganish Proksi-serverlardan foydalanish DoS hujumlarining salbiy ta'sirini kamaytirishga qanday yordam beradi - biz sizning e'tiboringizga ushbu ishning asosiy tezislarini taqdim etamiz.

Kirish: proksi DoS bilan kurashish vositasi sifatida

Shunga o'xshash tajribalar vaqti-vaqti bilan turli mamlakatlar tadqiqotchilari tomonidan o'tkaziladi, ammo ularning umumiy muammosi - haqiqatga yaqin hujumlarni simulyatsiya qilish uchun resurslarning etishmasligi. Kichkina test stendlaridagi testlar proksi-serverlar murakkab tarmoqlardagi hujumga qanchalik muvaffaqiyatli qarshilik ko'rsatishi, zararni minimallashtirishda qaysi parametrlar muhim rol o'ynashi va boshqalar kabi savollarga javob berishga imkon bermaydi.

Tajriba uchun olimlar odatiy veb-ilovaning modelini yaratdilar - masalan, elektron tijorat xizmati. U serverlar klasteri yordamida ishlaydi; foydalanuvchilar turli geografik joylarga taqsimlanadi va xizmatga kirish uchun Internetdan foydalanadi. Ushbu modelda Internet xizmat va foydalanuvchilar o'rtasidagi aloqa vositasi bo'lib xizmat qiladi - qidiruv tizimlaridan onlayn-banking vositalarigacha bo'lgan veb-xizmatlar shunday ishlaydi.

DoS hujumlari xizmat va foydalanuvchilar o'rtasidagi normal aloqani imkonsiz qiladi. DoSning ikki turi mavjud: dastur darajasidagi va infratuzilma darajasidagi hujumlar. Ikkinchi holda, tajovuzkorlar tarmoqqa va xizmat ishlaydigan xostlarga to'g'ridan-to'g'ri hujum qiladilar (masalan, ular butun tarmoq o'tkazish qobiliyatini suv oqimi bilan to'sib qo'yadilar). Ilova darajasidagi hujumda, tajovuzkorning maqsadi foydalanuvchi interfeysi - buning uchun ular dasturning ishdan chiqishiga olib kelishi uchun juda ko'p sonli so'rovlarni yuboradilar. Tajriba infratuzilma darajasidagi hujumlarni tasvirlab berdi.

Proksi-tarmoqlar DoS hujumlaridan zararni minimallashtirish vositalaridan biridir. Proksi-serverdan foydalanganda, foydalanuvchidan xizmatga bo'lgan barcha so'rovlar va ularga javoblar to'g'ridan-to'g'ri emas, balki oraliq serverlar orqali uzatiladi. Foydalanuvchi ham, ilova ham bir-birini to'g'ridan-to'g'ri "ko'rmaydi", ular uchun faqat proksi-manzillar mavjud. Natijada, dasturga to'g'ridan-to'g'ri hujum qilish mumkin emas. Tarmoqning chekkasida chekka proksi-serverlar mavjud - mavjud IP-manzillarga ega tashqi proksi-serverlar, ulanish birinchi navbatda ularga o'tadi.

DoS hujumiga muvaffaqiyatli qarshilik ko'rsatish uchun proksi-tarmoq ikkita asosiy qobiliyatga ega bo'lishi kerak. Birinchidan, bunday oraliq tarmoq vositachi rolini o'ynashi kerak, ya'ni dasturga faqat u orqali "eritish" mumkin. Bu xizmatga to'g'ridan-to'g'ri hujum qilish imkoniyatini yo'q qiladi. Ikkinchidan, proksi-tarmoq foydalanuvchilarga hatto hujum paytida ham dastur bilan o'zaro aloqada bo'lishga imkon berishi kerak.

Tajriba infratuzilmasi

Tadqiqot to'rtta asosiy komponentdan foydalanilgan:

• proksi-tarmoqni amalga oshirish;
• Apache veb-server;
• veb-test vositasi qamal;
• hujum vositasi Trinoo.

Simulyatsiya MicroGrid muhitida amalga oshirildi - undan 20 ming marshrutizatorli tarmoqlarni simulyatsiya qilish uchun foydalanish mumkin, bu Tier-1 operatorlari tarmoqlari bilan solishtirish mumkin.

Oddiy Trinoo tarmog'i dastur demonini boshqaradigan buzilgan xostlar to'plamidan iborat. Shuningdek, tarmoqni kuzatish va DoS hujumlarini boshqarish uchun monitoring dasturi mavjud. IP-manzillar ro'yxatini olgandan so'ng, Trinoo daemon belgilangan vaqtlarda maqsadlarga UDP paketlarini yuboradi.

Tajriba davomida ikkita klaster ishlatilgan. MicroGrid simulyatori 16 Gbit/s chekilgan uyasi orqali ulangan 2.4 tugunli Xeon Linux klasterida (har bir mashinada 1 gigabayt xotiraga ega 1 gigagertsli serverlar) ishladi. Boshqa dasturiy ta'minot komponentlari 24 Mbit / s chekilgan uyasi orqali ulangan 450 ta tugun klasterida joylashgan (har bir mashinada 1 Gb xotiraga ega 100 MHz PII Linux-cthdthlar). Ikkita klaster 1Gbps kanal orqali ulangan.

Proksi-tarmoq 1000 ta hostdan iborat hovuzda joylashgan. Edge proksi-serverlari resurs hovuzi bo'ylab teng taqsimlangan. Ilova bilan ishlash uchun proksi-serverlar uning infratuzilmasiga yaqinroq bo'lgan xostlarda joylashgan. Qolgan proksi-serverlar chekka va dastur proksi-serverlari o'rtasida teng taqsimlanadi.

Simulyatsiya tarmog'i

Proksi-serverning DoS hujumiga qarshi kurash vositasi sifatida samaradorligini o'rganish uchun tadqiqotchilar tashqi ta'sirlarning turli stsenariylari ostida dastur samaradorligini o'lchashdi. Proksi-server tarmog'ida jami 192 proksi mavjud edi (ulardan 64 tasi chekka). Hujumni amalga oshirish uchun Trinoo tarmog'i, shu jumladan 100 jinlar yaratilgan. Jinlarning har biri 100 Mbit / s kanalga ega edi. Bu 10 ming uy routerlari botnetiga to'g'ri keladi.

DoS hujumining dastur va proksi-tarmoqqa ta'siri o'lchandi. Eksperimental konfiguratsiyada dastur 250 Mbit / s tezlikda Internet-kanalga ega edi va har bir chekka proksi-serverda 100 Mbit / s kanal mavjud edi.

Tajriba natijalari

Tahlil natijalariga ko'ra, ma'lum bo'lishicha, 250 Mbit / s tezlikdagi hujum dasturning javob berish vaqtini sezilarli darajada oshiradi (taxminan o'n baravar), buning natijasida undan foydalanish imkonsiz bo'lib qoladi. Biroq, proksi-tarmoqni ishlatganda, hujum ishlashga sezilarli ta'sir ko'rsatmaydi va foydalanuvchi tajribasini yomonlashtirmaydi. Buning sababi shundaki, chekka proksi-serverlar hujum ta'sirini susaytiradi va proksi-tarmoqning umumiy resurslari dasturning o'ziga qaraganda yuqori.

Statistik ma'lumotlarga ko'ra, agar hujum quvvati 6.0 Gbit / s dan oshmasa (chekka proksi-kanallarning umumiy o'tkazuvchanligi atigi 6.4 Gbit / s bo'lishiga qaramay), foydalanuvchilarning 95 foizi unumdorlikning sezilarli pasayishiga duch kelmaydi. Bundan tashqari, juda kuchli hujum 6.4 Gbit / s dan oshsa, hatto proksi tarmog'idan foydalanish ham oxirgi foydalanuvchilar uchun xizmat ko'rsatish darajasini pasaytirishdan qocha olmaydi.

Konsentrlangan hujumlar bo'lsa, ularning kuchi chekka proksi-serverlarning tasodifiy to'plamiga to'planganda. Bunday holda, hujum proksi-tarmoqning bir qismini yopib qo'yadi, shuning uchun foydalanuvchilarning muhim qismi ishlashning pasayishini sezadi.

topilmalar

Tajriba natijalari shuni ko'rsatadiki, proksi-tarmoqlar TCP ilovalari ish faoliyatini yaxshilashi va hatto DoS hujumlari sodir bo'lgan taqdirda ham foydalanuvchilarga odatiy xizmat darajasini taqdim etishi mumkin. Olingan ma'lumotlarga ko'ra, proksi-tarmoqlar hujumlar oqibatlarini minimallashtirishning samarali usuli bo'lib chiqdi, tajriba davomida foydalanuvchilarning 90% dan ortig'i xizmat sifatining pasayishiga duch kelmadi. Bundan tashqari, tadqiqotchilar proksi-tarmoq hajmi oshgani sayin, u bardosh bera oladigan DoS hujumlarining ko'lami deyarli chiziqli ravishda oshib borishini aniqladilar. Shuning uchun tarmoq qanchalik katta bo'lsa, u DoS bilan samaraliroq kurashadi.

Foydali havolalar va materiallar Infatica:

• Tadqiqot: O'yin nazariyasi yordamida blokirovkaga chidamli proksi-servis yaratish
• Tsenzuraga qarshi kurash tarixi: MIT va Stenford olimlari tomonidan yaratilgan flesh-proksi usuli qanday ishlaydi
• Proksi-serverlar yolg'on gapirayotganini qanday tushunish mumkin: faol geolokatsiya algoritmi yordamida tarmoq proksi-serverlarining jismoniy joylashuvini tekshirish
• Internetda o'zingizni qanday yashirish kerak: server va rezident proksi-serverlarni taqqoslash

Manba: www.habr.com