图片: 像素
DoS攻击是现代Internet上对信息安全的大规模威胁之一。 网络犯罪分子租用了许多僵尸网络来进行此类攻击。
圣地亚哥大学的科学家对使用代理如何帮助减少DoS攻击的负面影响进行了
研究 -我们向您介绍这项工作的重点。
简介:代理是对抗DoS的工具
这些实验是由来自不同国家的研究人员定期进行的,但是它们的共同问题是缺乏用于建模接近现实的攻击的资源。 在小型看台上进行测试无法回答有关代理如何成功抵御复杂网络中的攻击的问题,这些参数在最小化损坏等方面起着关键作用。
对于该实验,科学家创建了典型Web应用程序的模型-例如,电子商务服务。 它使用服务器集群工作,用户分布在不同的地理位置,并用于访问Internet服务。 在此模型中,Internet充当服务与用户之间的通信方式-这就是Web服务从搜索引擎到在线银行工具的工作方式。
DoS攻击使服务与用户之间无法正常交互。 DoS有两种类型:在应用程序级别和基础结构级别的攻击。 在后一种情况下,攻击者直接攻击网络和运行该服务的主机(例如,他们用大量流量淹没整个网络带宽)。 在应用程序级别发生攻击时,攻击者的目标是用户交互界面-为此,他们发送大量请求以实现应用程序崩溃。 所描述的实验涉及基础架构级别的攻击。
代理是使DoS攻击造成的损害最小化的工具之一。 在使用代理的情况下,从用户到服务的所有请求以及对它们的答案都不会直接传输,而是通过中间服务器传输。 用户和应用程序都不会直接“看到”对方;只有代理地址可供他们使用。 结果,直接攻击应用程序是不可能的。 在网络边缘上是所谓的边缘代理-具有可用IP地址的外部代理,连接首先到达它们。
为了成功抵抗DoS攻击,代理网络必须具有两个关键功能。 首先,这样的中间网络应该扮演中间人的角色,也就是说,您只能通过它“进入”应用程序。 这将消除直接攻击服务的可能性。 其次,即使在攻击过程中,代理网络也应能够为用户提供继续与应用程序进行交互的机会。
实验基础架构
该研究使用了四个关键组成部分:
该模拟是在MicroGrid环境中进行的-可用于模拟具有2万个路由器的网络,这与Tier-1运营商的网络相当。
典型的Trinoo网络由一组运行程序守护程序的受损主机组成。 还有监视软件来控制网络和DoS攻击的方向。 在收到IP地址列表之后,Trinoo守护程序在给定时间将UDP数据包发送到目标。
在实验过程中,使用了两个群集。 MicroGrid模拟器在通过1 Gbps以太网集线器连接的16节点Xeon Linux群集(每台计算机上具有2.4 GHz服务器和1 GB内存)中工作。 其他软件组件位于24个节点(每台计算机上具有1 GB内存的450MHz PII Linux-cthdths)的群集中,并由100Mbps以太网集线器组成。 两个群集通过1Gbps通道连接。
代理网络位于1000个主机的池中。 边缘代理均匀分布在整个资源池中。 使用该应用程序的代理位于更靠近其基础结构的主机上。 其余代理均匀地分布在边界代理和应用程序的代理之间。
仿真网络为了研究代理作为抵御DoS攻击的工具的有效性,研究人员测量了在不同外部影响情况下应用程序的生产率。 代理网络中有192个代理(其中64个是边界代理)。 为了进行攻击,创建了一个Trinoo网络,其中包括100个恶魔。 每个守护程序都有一个100Mbps的通道。 这对应于一万个家用路由器的僵尸网络。
测量了DoS攻击对应用程序和代理网络的影响。 在实验配置中,该应用程序具有250 Mbps的Internet通道,每个边界代理具有100 Mbps。
实验结果
根据分析,结果表明,以250Mbps的速度进行攻击会显着增加应用程序的响应时间(大约十倍),因此无法使用它。 但是,使用代理网络时,攻击不会显着影响性能,也不会损害用户体验。 这是因为边界代理模糊了攻击的效果,并且代理网络资源的总量高于应用程序本身的总量。
据统计,如果攻击能力不超过6.0Gbps(尽管边界代理通道的总带宽仅为6.4Gbps),则95%的用户的性能不会明显下降。 而且,在非常强大的攻击超过6.4Gbps的情况下,即使使用代理网络也不会降低最终用户的服务水平。
在集中攻击的情况下,当他们的力量集中在一组随机的边界代理上时。 在这种情况下,攻击会阻塞代理网络的一部分,因此很大一部分用户会注意到性能下降。
结论
实验结果表明,即使在DoS攻击的情况下,代理网络也可以提高TCP应用程序的性能并为用户提供通常的服务水平。 根据获得的数据,代理网络是一种最小化攻击后果的有效方法,超过90%的用户在实验期间并未感到服务质量下降。 此外,研究人员发现,随着代理网络规模的增加,能够执行的DoS攻击的规模几乎呈线性增长。 因此,网络越大,抵御DoS的效率就越高。