26 июня 2019, 12:05
Изображение: Pexels DoS-атаки – одна из масштабных угроз информационной безопасности в современном интернете. Существуют десятки ботнетов, которые злоумышленники сдают в аренду для проведения подобных атак. Ученые из университета Сан-Диего провели исследование того, насколько использование прокси помогает снизить негативный эффект от DoS-атак – мы представляем вашему вниманию основные тезисы этой работы. Введение: прокси как инструмент борьбы с DoS
Подобные эксперименты периодически проводят исследователи из разных стран, но их общая проблема заключается в недостатке ресурсов для моделирования атак, приближенным к реальности. Тесты на небольших стендах не позволяют ответить на вопросы о том, насколько успешно прокси будут противодействовать атаке в сложных сетях, какие параметры играют ключевую роль в способности минимизировать ущерб и т.д. Для эксперимента ученые создали модель типичного веб-приложения – например, сервиса электронной коммерции. Оно работает с помощью кластера серверов, пользователи распределены по разным географическим локациям и используют для доступа к сервису интернет. В этой модели интернет служит средством коммуникации сервиса и пользователей – так работают веб-сервисы от поисковых систем до инструментов онлайн-банкинга. DoS-атаки делают невозможным нормальное взаимодействие сервиса и пользователей. Существует два типа DoS: атаки на уровне приложения и на уровне инфраструктуры. В последнем случае злоумышленники атакуют непосредственно сеть и хосты, на которых работает сервис (например, забивают flood-трафиком всю пропускную способность сети). В случае атаки на уровне приложения, целью злоумышленника выступает интерфейс взаимодействия с пользователями – для этого они отправляют огромное количество запросов с целью добиться падения приложения. Описываемый эксперимент касался атак на уровне инфраструктуры. Прокси-сети – один из инструментов минимизации ущерба от DoS-атак. В случае использования прокси все запросы от пользователя к сервису и ответы на них передаются не напрямую, а через промежуточные серверы. И пользователь, и приложение "не видят" друг друга напрямую, им доступны только адреса прокси. В итоге атаковать приложение напрямую невозможно. На границе сети расположены так называемые edge proxy – внешние прокси с доступными IP-адресами, подключение идет сначала к ним. Для того, чтобы успешно противостоять DoS-атаке, прокси-сеть должна иметь две ключевые возможности. Во-первых, такая промежуточная сеть должна играть роль посредника, то есть "достучаться" до приложения можно только через нее. Это исключит возможность прямой атаки на сервис. Во-вторых, прокси-сеть должна иметь возможность предоставить пользователям возможность по-прежнему взаимодействовать с приложением, даже в ходе атаки.Инфраструктура эксперимента
В ходе исследования использовались четыре ключевых компонента:- имплементация прокси-сети;
- веб-сервер Apache;
- инструмент для веб-тестирования Siege;
- инструмент для проведения атак Trinoo.
Результаты эксперимента
По результатам анализа оказалось, что атака на 250Mbps значительно увеличивает время отклика приложения (примерно в десять раз), в результате чего пользоваться им становиться невозможно. Однако при использовании прокси-сети, атака не оказывает значительного влияния на быстродействие и не ухудшает пользовательский опыт. Так происходит потому что пограничные прокси размывают эффект от атаки, а общий объем ресурсов прокси-сети выше, чем у самого приложения. По статистике, если мощность атаки не превышает 6.0Gbps (при том, что общая пропускная способность каналов пограничных прокси всего 6.4Gbps), то 95% пользователей не испытывают ощутимого снижения производительности. При этом в случае очень мощной атаки, превышающей 6.4Gbps, даже использование прокси-сети не позволило бы избежать деградации уровня сервиса для конечных пользователей. В случае концентрированных атак, когда их мощность концентрируется на случайном наборе пограничных прокси. В этом случае атака забивает часть прокси-сети, поэтому значительная часть пользователей заметят падение производительности.Выводы
Результаты эксперимента говорят о том, что прокси-сети могут улучшать быстродействие TCP-приложений и обеспечивать привычный уровень сервиса для пользователей, даже в случае DoS-атак. Согласно полученным данным, прокси сети оказываются эффективным способом минимизации последствий атак, более 90% пользователей в ходе в эксперимента не ощутили снижения качества работы сервиса. Кроме того, исследователи выяснили, что при увеличении размера прокси сети, масштаб DoS-атак, которые она способна вынести, увеличивается практически линейно. Поэтому чем крупнее сеть, тем эффективнее она будет бороться с DoS.Полезные ссылки и материалы от Infatica:
- Исследование: создание устойчивого к блокировкам прокси-сервиса с помощью теории игр
- История борьбы с цензурой: как работает созданный учеными из MIT и Стенфорда метод flash proxy
- Как понять, когда прокси лгут: верификация физических локаций сетевых прокси с помощью алгоритма активной геолокации
- Как замаскироваться в интернете: сравниваем серверные и резидентные прокси