Hình ảnh:
Các cuộc tấn công DoS là một trong những mối đe dọa lớn nhất đối với an ninh thông tin trên Internet hiện đại. Có hàng chục mạng botnet mà những kẻ tấn công thuê để thực hiện các cuộc tấn công như vậy.
Các nhà khoa học từ Đại học San Diego mức độ mà việc sử dụng proxy giúp giảm tác động tiêu cực của các cuộc tấn công DoS - chúng tôi trình bày với bạn những luận điểm chính của công việc này.
Giới thiệu: Proxy như một công cụ chiến đấu DoS
Các thí nghiệm tương tự được thực hiện định kỳ bởi các nhà nghiên cứu từ các quốc gia khác nhau, nhưng vấn đề chung của họ là thiếu tài nguyên để mô phỏng các cuộc tấn công gần với thực tế. Các thử nghiệm trên băng ghế nhỏ không cho phép trả lời các câu hỏi về mức độ thành công của proxy sẽ chống lại cuộc tấn công trong các mạng phức tạp, tham số nào đóng vai trò chính trong khả năng giảm thiểu thiệt hại, v.v.
Đối với thử nghiệm, các nhà khoa học đã tạo ra một mô hình ứng dụng web điển hình - ví dụ: dịch vụ thương mại điện tử. Nó hoạt động với sự trợ giúp của một cụm máy chủ, người dùng được phân bổ ở các vị trí địa lý khác nhau và sử dụng Internet để truy cập dịch vụ. Trong mô hình này, Internet đóng vai trò là phương tiện giao tiếp giữa dịch vụ và người dùng - đây là cách dịch vụ web hoạt động từ công cụ tìm kiếm đến công cụ ngân hàng trực tuyến.
Các cuộc tấn công DoS làm cho sự tương tác bình thường giữa dịch vụ và người dùng là không thể. Có hai loại DoS: tấn công tầng ứng dụng và tấn công tầng cơ sở hạ tầng. Trong trường hợp thứ hai, những kẻ tấn công trực tiếp tấn công mạng và các máy chủ mà dịch vụ đang chạy trên đó (ví dụ: chúng làm ngập toàn bộ băng thông mạng với lưu lượng lũ). Trong trường hợp tấn công cấp ứng dụng, mục tiêu của kẻ tấn công là giao diện tương tác của người dùng - vì điều này, chúng gửi một số lượng lớn yêu cầu để khiến ứng dụng bị sập. Thí nghiệm được mô tả liên quan đến các cuộc tấn công ở cấp độ cơ sở hạ tầng.
Mạng proxy là một trong những công cụ để giảm thiểu thiệt hại từ các cuộc tấn công DoS. Trong trường hợp sử dụng proxy, tất cả các yêu cầu từ người dùng đến dịch vụ và phản hồi đối với chúng không được truyền trực tiếp mà thông qua các máy chủ trung gian. Cả người dùng và ứng dụng "không nhìn thấy" nhau trực tiếp, chỉ có địa chỉ proxy có sẵn cho họ. Do đó, không thể tấn công ứng dụng trực tiếp. Ở rìa của mạng có cái gọi là proxy cạnh - proxy bên ngoài có địa chỉ IP khả dụng, kết nối sẽ đến với chúng trước.
Để chống lại thành công một cuộc tấn công DoS, một mạng proxy phải có hai khả năng chính. Đầu tiên, một mạng trung gian như vậy sẽ đóng vai trò trung gian, tức là bạn chỉ có thể “đi qua” ứng dụng thông qua mạng đó. Điều này sẽ loại bỏ khả năng tấn công trực tiếp vào dịch vụ. Thứ hai, mạng proxy phải có khả năng cho phép người dùng vẫn tương tác với ứng dụng, ngay cả trong cuộc tấn công.
Cơ sở hạ tầng thử nghiệm
Nghiên cứu đã sử dụng bốn thành phần chính:
- triển khai mạng proxy;
- máy chủ apache
- công cụ kiểm tra web ;
- công cụ tấn công .
Mô phỏng được thực hiện trong môi trường MicroGrid - nó có thể được sử dụng để mô phỏng các mạng có 20 nghìn bộ định tuyến, tương đương với mạng của các nhà khai thác Cấp 1.
Một mạng Trinoo điển hình bao gồm một tập hợp các máy chủ bị xâm nhập đang chạy daemon của chương trình. Ngoài ra còn có phần mềm giám sát để kiểm soát mạng và chỉ đạo các cuộc tấn công DoS. Đưa ra một danh sách các địa chỉ IP, trình nền Trinoo sẽ gửi các gói UDP đến các mục tiêu tại thời điểm được chỉ định.
Trong quá trình thử nghiệm, hai cụm đã được sử dụng. Trình giả lập MicroGrid chạy trên cụm Xeon Linux gồm 16 nút (máy chủ 2.4 GHz với bộ nhớ 1GB trên mỗi máy) được kết nối qua trung tâm Ethernet 1Gbps. Các thành phần phần mềm khác được đặt trong một cụm gồm 24 nút (450 MHz PII Linux-cthdth với 1 GB bộ nhớ cho mỗi máy) được kết nối bởi một trung tâm Ethernet 100Mbps. Hai cụm được kết nối bằng kênh 1Gbps.
Mạng proxy được lưu trữ trong nhóm 1000 máy chủ. Proxy biên được phân phối đồng đều trong toàn bộ nhóm tài nguyên. Các proxy để làm việc với ứng dụng được đặt trên các máy chủ gần với cơ sở hạ tầng của nó hơn. Phần còn lại của các proxy được phân bố đều giữa các proxy biên và các proxy ứng dụng.
Mạng cho mô phỏng
Để nghiên cứu tính hiệu quả của proxy như một công cụ chống lại cuộc tấn công DoS, các nhà nghiên cứu đã đo lường năng suất của ứng dụng trong các tình huống tác động bên ngoài khác nhau. Tổng cộng, có 192 proxy trong mạng proxy (64 trong số đó là proxy ở biên giới). Để thực hiện cuộc tấn công, một mạng lưới Trinoo đã được tạo ra, bao gồm 100 con quỷ. Mỗi daemon có một kênh 100Mbps. Điều này tương ứng với một botnet gồm 10 bộ định tuyến gia đình.
Tác động của một cuộc tấn công DoS trên ứng dụng và mạng proxy đã được đo lường. Trong cấu hình thử nghiệm, ứng dụng có một kênh Internet 250Mbps và mỗi proxy biên giới có 100 Mbps.
Kết quả thử nghiệm
Theo kết quả phân tích, hóa ra một cuộc tấn công vào 250Mbps làm tăng đáng kể thời gian phản hồi của ứng dụng (khoảng mười lần), do đó không thể sử dụng được. Tuy nhiên, khi sử dụng mạng proxy, cuộc tấn công không có tác động đáng kể đến hiệu suất và không làm suy giảm trải nghiệm người dùng. Điều này là do các proxy biên làm loãng tác động của cuộc tấn công và tổng tài nguyên của mạng proxy cao hơn tài nguyên của chính ứng dụng.
Theo thống kê, nếu sức mạnh tấn công không vượt quá 6.0Gbps (mặc dù thực tế là tổng băng thông của các kênh proxy biên giới chỉ là 6.4Gbps), thì 95% người dùng không gặp phải sự suy giảm hiệu suất rõ rệt. Đồng thời, trong trường hợp một cuộc tấn công rất mạnh vượt quá 6.4Gbps, ngay cả việc sử dụng mạng proxy cũng không cho phép tránh làm giảm mức độ dịch vụ cho người dùng cuối.
Trong trường hợp tấn công tập trung, khi sức mạnh của chúng tập trung vào một tập hợp ngẫu nhiên các biên ủy nhiệm. Trong trường hợp này, cuộc tấn công làm tắc nghẽn một phần mạng proxy, vì vậy một phần đáng kể người dùng sẽ nhận thấy hiệu suất giảm.
Những phát hiện
Kết quả của thử nghiệm cho thấy rằng các mạng proxy có thể cải thiện hiệu suất của các ứng dụng TCP và cung cấp mức dịch vụ quen thuộc cho người dùng, ngay cả trong trường hợp xảy ra các cuộc tấn công DoS. Theo dữ liệu thu được, proxy mạng là một cách hiệu quả để giảm thiểu hậu quả của các cuộc tấn công, hơn 90% người dùng trong quá trình thử nghiệm không cảm thấy chất lượng dịch vụ giảm sút. Ngoài ra, các nhà nghiên cứu nhận thấy rằng khi kích thước của mạng proxy tăng lên, quy mô của các cuộc tấn công DoS mà nó có thể chịu đựng cũng tăng gần như tuyến tính. Do đó, mạng càng lớn thì xử lý DoS càng hiệu quả.
Các liên kết và tài liệu hữu ích từ :
Nguồn: www.habr.com