Experiência: usamos proxies como uma ferramenta para combater ataques DoS

Imagem: Pexels

Os ataques de DoS são uma das ameaças em larga escala à segurança da informação na Internet moderna. Existem dezenas de botnets que os cibercriminosos alugam para realizar esses ataques.

Cientistas da Universidade de San Diego realizaram um estudo sobre como o uso de proxies ajuda a reduzir o efeito negativo dos ataques de negação de serviço - apresentamos a sua atenção os principais pontos deste trabalho.

Introdução: proxy como uma ferramenta para combater DoS

Tais experimentos são realizados periodicamente por pesquisadores de diferentes países, mas o problema comum é a falta de recursos para modelar ataques próximos da realidade. Testes em pequenos estandes não permitem responder perguntas sobre com que êxito os proxies neutralizarão ataques em redes complexas, quais parâmetros desempenham um papel fundamental na capacidade de minimizar danos etc.

Para o experimento, os cientistas criaram um modelo de aplicativo típico da Web - por exemplo, um serviço de comércio eletrônico. Funciona usando um cluster de servidores, os usuários são distribuídos por diferentes localizações geográficas e usados ​​para acessar o serviço de Internet. Nesse modelo, a Internet serve como um meio de comunicação entre o serviço e os usuários - é assim que os serviços da Web funcionam desde os mecanismos de pesquisa até as ferramentas bancárias online.



Os ataques de DoS tornam impossível a interação normal entre o serviço e os usuários. Existem dois tipos de DoS: ataques no nível do aplicativo e no nível da infraestrutura. No último caso, os atacantes atacam diretamente a rede e os hosts nos quais o serviço está sendo executado (por exemplo, eles inundam toda a largura de banda da rede com tráfego de inundação). No caso de um ataque no nível do aplicativo, o objetivo do invasor é a interface de interação do usuário - para isso, eles enviam um grande número de solicitações para obter a falha do aplicativo. O experimento descrito envolveu ataques no nível da infraestrutura.

Os proxies são uma das ferramentas para minimizar os danos dos ataques de DoS. No caso de usar um proxy, todas as solicitações do usuário ao serviço e as respostas a eles são transmitidas não diretamente, mas através de servidores intermediários. O usuário e o aplicativo não se "veem" diretamente, apenas endereços de proxy estão disponíveis para eles. Como resultado, é impossível atacar o aplicativo diretamente. Na extremidade da rede estão os chamados proxies de borda - proxies externos com endereços IP disponíveis, a conexão é a primeira a eles.



Para resistir a um ataque de negação de serviço, uma rede proxy deve ter dois recursos principais. Em primeiro lugar, essa rede intermediária deve desempenhar o papel de intermediário, ou seja, você só pode "passar" para o aplicativo por meio dela. Isso eliminará a possibilidade de um ataque direto ao serviço. Em segundo lugar, a rede proxy deve poder oferecer aos usuários a oportunidade de continuar interagindo com o aplicativo, mesmo durante o ataque.

Infraestrutura de experimentos

O estudo utilizou quatro componentes principais:

• implementação de uma rede proxy;
• Servidor web Apache
• Ferramenta de Teste da Web para Siege
• Ferramenta de ataque Trinoo

A simulação foi realizada em um ambiente MicroGrid - pode ser usada para simular redes com 20 mil roteadores, o que é comparável às redes dos operadores de Nível 1.

Uma rede Trinoo típica consiste em um conjunto de hosts comprometidos executando o daemon do programa. Também existe um software de monitoramento para controlar a rede e a direção dos ataques de negação de serviço. Após receber uma lista de endereços IP, o daemon Trinoo envia pacotes UDP para os destinos em um determinado momento.

Durante o experimento, foram utilizados dois grupos. O simulador MicroGrid trabalhou em um cluster Xeon Linux de 16 nós (servidores de 2,4 GHz com 1 gigabyte de memória em cada máquina) conectado por meio de um hub Ethernet de 1 Gbps. Outros componentes de software estavam localizados em um cluster de 24 nós (Linux-cthdths de 450MHz PII com 1 GB de memória em cada máquina), unidos por um hub Ethernet de 100Mbps. Dois clusters foram conectados por um canal de 1 Gbps.

A rede proxy está localizada em um pool de 1000 hosts. Os proxies de borda são distribuídos igualmente por todo o pool de recursos. Os proxies para trabalhar com o aplicativo estão localizados em hosts mais próximos de sua infraestrutura. Os proxies restantes são distribuídos igualmente entre os proxies de limite e proxies do aplicativo.



Rede de Simulação

Para estudar a eficácia dos proxies como uma ferramenta para combater ataques de negação de serviço, os pesquisadores mediram a produtividade do aplicativo em diferentes cenários de influências externas. Havia 192 proxies na rede proxy (64 deles eram proxies de borda). Para conduzir o ataque, uma rede Trinoo foi criada, incluindo 100 demônios. Cada um dos daemons tinha um canal de 100 Mbps. Isso corresponde a um botnet de 10 mil roteadores domésticos.

O efeito do ataque de DoS na rede de aplicativos e proxy foi medido. Na configuração experimental, o aplicativo possuía um canal de Internet de 250 Mbps e cada proxy de borda possuía 100 Mbps.

Resultados da Experiência

De acordo com a análise, verificou-se que o ataque a 250 Mbps aumenta significativamente o tempo de resposta do aplicativo (cerca de dez vezes), como resultado, tornando-se impossível usá-lo. No entanto, ao usar uma rede proxy, o ataque não afeta significativamente o desempenho e não prejudica a experiência do usuário. Isso ocorre porque os proxies de borda obscurecem o efeito do ataque e a quantidade total de recursos da rede proxy é maior que a do próprio aplicativo.

Segundo as estatísticas, se o poder de ataque não exceder 6,0 Gbps (apesar do fato de a largura de banda total dos canais proxy de borda ser de apenas 6,4 Gbps), 95% dos usuários não experimentam uma redução perceptível no desempenho. Além disso, no caso de um ataque muito poderoso superior a 6,4 Gbps, mesmo o uso de uma rede proxy não permitiria a degradação do nível de serviço dos usuários finais.



No caso de ataques concentrados, quando seu poder está concentrado em um conjunto aleatório de proxies de borda. Nesse caso, o ataque obstrui parte da rede proxy, portanto uma parte significativa dos usuários notará uma queda no desempenho.

Conclusões

Os resultados experimentais sugerem que as redes proxy podem melhorar o desempenho dos aplicativos TCP e fornecer o nível de serviço usual para os usuários, mesmo no caso de ataques de DoS. De acordo com os dados obtidos, as redes proxy são uma maneira eficaz de minimizar as conseqüências dos ataques, mais de 90% dos usuários durante o experimento não sentiram uma diminuição na qualidade do serviço. Além disso, os pesquisadores descobriram que, com um aumento no tamanho da rede proxy, a escala dos ataques de negação de serviço que ela é capaz de realizar aumenta quase linearmente. Portanto, quanto maior a rede, mais eficiente ela será contra o DoS.

Links e materiais úteis da Infatica :

• Pesquisa: criando um serviço de proxy de bloqueio usando a teoria dos jogos
• A história da luta contra a censura: como funciona o método de proxy flash criado por cientistas do MIT e Stanford
• Como entender quando os proxies estão: verificação dos locais físicos dos proxies da rede usando o algoritmo de geolocalização ativo
• Como se disfarçar na Internet: compare servidor e proxies residentes