ИССЛЕДОВАНИЕ НАГРУЗОЧНОЙ УСТОЙЧИВОСТИ ВЕБ-СЕРВЕРОВ ПОСРЕДСТВОМ DDOS-АТАКИ
Тихонов Александр Витальевич, В.В. Козлов, А.П. Юльский
Cамарский государственный архитектурно-строительный университет
г. Cамара, uni.nova.tih@gmail.com
Введение. Свободный доступ к информации является важнейшим фактором в современном информационном мире. Большинство из нас получают информацию из интернета, либо с помощью сайта ресурса, либо с помощью клиент-серверного приложения.
В своей работе я проведу исследование нагрузочной устойчивости веб-серверов университетов г. Самары. Выясню, какие ресурсы обладают базовой защитой, а также определю тех, которым нужно пересмотреть свою политику безопасности.
Distributed Denial of Service — DDoS-атака - поток ложных запросов, который пытается блокировать выбранный ресурс либо путем атаки на канал связи, который "забивается" огромной массой бесполезных данных, либо атакой непосредственно на сервер, обслуживающий данный ресурс.
Стрессовое тестирование — это процедура оценки характеристик работоспособности системы, проводимая за рамками предельного значения нагрузки. Стресс-тесты в большинстве случаев ведут к аномальному поведению системы или ее отказу в обслуживании аналогично DDoS-атакам.
Цели у стрессового тестирования и DDoS-атаки совершенно разные. В первом случае задача — определить показатели предельной нагрузки системы и проверить устойчивость к некоторым сценариям DDoS-атак, а во втором — сделать недоступным атакуемый объект любыми эффективными методами, нарушив тем самым работоспособность целевой инфраструктуры.
Как проверялась работоспособность тестируемого сайта? Ответ – «на глаз». Во-первых, по-настоящему определить, что происходит на сервере, может только администратор ресурса. Он имеет доступ к информации о нагрузке центрального процессора, о выделенной оперативной памяти, состоянии канала связи, количества обработанных и количества, ждущих свою очередь, клиентов сервера и т.д. Во-вторых, это просто. Согласитесь проще попытаться зайти на сайт через браузер и по времени ответа сайта понять, что с ним происходит, чем, скажем, использовать дополнительные программы, как например, программу ping. Использовать её результаты для сравнения возможно, но как показали эксперименты, программа ping может возвращать данные, как если сайт работал в штатном режиме, а на деле он является полностью недоступным из браузера.
Способы атаки. Существует множество классификаций DDoS-атак, которые отличаются друг от друга способами генерирования входящего трафика на сервер, протоколами взаимодействия, структурой и размерами, отправляемых пакетов, и т.д. Мной были выбраны и реализованы 2 подхода
Massive Get – Отправка серверу большого количества запросов GET от разных потоков программы, данный механизм моделирует ситуацию, когда на сервер заходит множество клиентов за короткий промежуток времени и каждый из них запрашивает у сервера некий ресурс, в нашем случае страницу.
Slow HTTP POST - Атака базируется на уязвимости в протоколе HTTP. Slow HTTP POST атака работает следующим образом: отправляется POST заголовок с легитимным полем, которое позволяет веб-серверу понять, какой объём данных к нему поступает. Как только заголовок отправлен, тело POST сообщения начинает передаваться с очень медленной скоростью, что позволяет использовать ресурсы сервера намного дольше, чем это необходимо, и, как следствие, помешать обработке других запросов.
Основная часть. Мною были протестированы одиннадцать сайтов ВУЗов Самары. Все тесты проводились с одного компьютера, при ширине канала 20 Мбит/с («-» означает полный отказ в обслуживании. «+/-» - труднодоступность ресурса и ощутимую задержку с ответом. «+» - небольшую задержку с ответом, порядка нескольких секунд, пуста ячейка, говорит о том, что сайт успешно справляется с данным видом атаки.
Тестируемый объект
(Вуз)
|
IP адрес
вуза
|
Тип атаки
|
Massive Get
|
Slow
HTTP POST
|
СГАСУ
|
85.113.47.5
|
-
|
-
|
СамГУ
|
195.209.65.19
|
|
|
СГАУ
|
91.222.128.17
|
+/-
|
-
|
СамМУ
|
89.186.227.196
|
|
-
|
СамГТУ
|
89.186.241.141
|
+
|
|
ПГУТИ
|
94.25.37.31
|
|
|
МИР
|
37.61.176.193
|
|
-
|
СГАСУ ФИСТ
|
85.113.47.54
|
+
|
|
СГОАН
|
217.16.27.44
|
|
-
|
СамГУПС
|
188.43.53.33
|
|
|
СГЭУ
|
91.222.128.17
|
+/-
|
-
|
Результаты тестирования. Мы получили три сайта, которые имеют серьёзные проблемы с надёжностью своих ресурсов. Выделяется из этого списка СГАУ, который является ведущим ВУЗом Самары и который, в то же время, ведёт подготовку специалистов по программе информационной безопасности. Так же не радует своими результатами строительный университет, который даже при небольшой нагрузке становится полностью недоступным. В противовес этому мы имеем три сайта, которые успешно справились с тестированием это СамГУ, ПГУТИ и СамГУПС. Так же хочется отметить стабильную работу от сайтов СамГТУ и СГАСУ ФИСТ, которые так же выглядят весьма неплохо.
Имеем, что из нашего набора только 45% могут осуществлять стабильную работу под воздействием различных видов атак извне. По результатам тестирования, руководство оставшихся 55% ВУЗов должно более внимательно отнестись к вопросу о надёжности своих ресурсов. Повторюсь, что тестирование проводилось с одного компьютера, что делает его весьма доступным.
Если представить ситуацию, что потенциальный злоумышленник решил устроить атаку во время приёмной комиссии, когда сотни абитуриентов заходят каждый час на сайт, чтобы проверить себя в рейтинге, то возникнет коллапс, со всеми вытекающими отсюда последствиями.
Число DDoS-атак на объекты в РФ в 2013 г. выросло на 178%. Количество DDoS-атак на государственные и коммерческие инфраструктурные институты России в 2013 г. выросло на 178%, тогда как в прежние годы их темпы роста не превышали в среднем 15%, согласно данным Национальной ассоциации инноваций и развития информационных технологий. Общий объем потерь отечественной экономики от попыток незаконного электронного вмешательства за 2013 г. превысил 1,3 трлн. руб.
Защита от DDoS-атак. Полностью защититься от DDoS-атак на сегодняшний день невозможно, так как совершенно надежных систем не существует. Здесь также большую роль играет человеческий фактор, потому что любая ошибка системного администратора, неправильно настроившего маршрутизатор, может привести к весьма плачевным последствиям. Однако, несмотря на все это, на настоящий момент существует масса как аппаратно-программных средств защиты, так и организационных методов противостояния. Меры противодействия DDoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные. Ниже приведён краткий перечень основных методов.
Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DDoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.). Нужно вовремя устранить причины DDoS-атак, после этого сделать выводы, чтобы избежать таких атак в будущем.
Ответные меры. Применяя технические и правовые меры, нужно как можно активнее воздействовать на источника и организатора DDoS — атаки. В настоящее время даже существуют специальные фирмы, которые помогают найти не только человека, который провел атаку, но даже и самого организатора.
Программное обеспечение. На рынке современного программного и аппаратного обеспечения существует и такое, которое способно защитить малый и средний бизнес от слабых DDoS-атак. Эти средства обычно представляют собой небольшой сервер.
Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине. В этом случае фильтрация может быть двух видов: использование межсетевых экранов и списков ACL.
Обратный DDOS — перенаправление трафика, используемого для атаки, на атакующего. При достаточной мощности атакуемого сервера, позволяет не только успешно отразить атаку, но и вывести из строя сервер атакующего.
Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов. Данная мера нацелена на устранение ошибок в системах и службах.
Наращивание ресурсов. Абсолютной защиты, естественно, не дает, но является хорошим фоном для применения других видов защиты от DDoS-атак.
Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
Приобретение сервиса по защите от DDoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.
|
