DDOS на аппаратном уровне

АННОТАЦИЯ

Доброго времени суток, уважаемый читатель. Твоему вниманию сегодня будет представлена статья на тему «DDOS атаки», только рассмотренную немного в другом ракурсе.

Сегодня мы отойдём от стандартного всем вида атаки и защиты на программном уроне, а посмотрим, как все тоже самое происходит на аппаратном уровне.

Цель данной статьи показать, что происходит при мега - масштабных DDOS атаках, ну и немного философии по методам защиты от неё.

ВВЕДЕНИЕ

На сегодняшний день DDOS атака стала настоящим терроризмом в сети Интернет, способствующая разрушению стабильной работы серверов, шантажу, уничтожению конкуренции и т. д.

Ученные всего мира пытаются решить данную проблему и приводят большое количество вариантов её решения, но в настоящий момент так и не найдено абсолютной защиты от данного вида атаки. Существует несколько наиболее эффективных вариантов решения, такие как:

• фильтрация,

• распределённые сервера,

• увеличение ресурсной мощности аппаратного обеспечения.

Но даже при совокупном применении таких методов защиты, не всегда удаётся добиться максимальной защиты атакуемого объекта.

Для увеличения процента эффективности защиты WEB-сервера, часто используют различные радикальные варианты. Недавно исследователи из Вашингтонского университета разработали новый метод защиты от DDOS атаки, под названием Phalanx. Данный комплекс имеет на своём вооружении более семи тысяч машин в интернете и при масштабной распределённой атаке, запросы bot-neta уходят на эти машины, а данные машины в свою очередь заставляют решать не сложные вычислительные задачи про-зомбированные компьютеры из bot-neta, что существенно замедляет работу самого bot-neta. Если посмотреть на данное решение с другой стороны, то можно заметить некую схожесть с архитектурой распределённых серверов, что способствует существенному финансовому вложению и может максимально отразится на материальной базе даже очень крупной организации.

Как вы видите, все же существуют эффективные решения данной проблемы, но воспользоваться способами таких решений, удаётся весьма не всем. А также, атаки DDOS не являются стандартизированными и постоянно совершенствуются и модернизируются, как с аппаратной точки зрения, так и в программной части, поэтому методы защиты могут потерять свою актуальность через некоторый промежуток времени.

РАСПРЕДЕЛЁННАЯ АТАКА НА ОТКАЗ В ОБСЛУЖИВАНИИ ВЫЧИСЛИТЕЛЬНОЙ МАШИНЫ

Самый большой bot-net который был замечен, составлял около 1,9 миллиона компьютеров — этого вполне хватит для вывода из стабильной работы сайта microsoft. Все прекрасно понимают как это реализовать на программном уровне. На рисунке 1 представлен пример распределённой атаки на сервер, с фильтрацией на программном уровне.   

Рис. 1. Пример распределённой атаки на сервер с защитой на программном уровне

Как представлено на рисунке 1, «хакер», имея совокупно связанные между собой компьютеры в сети Интернет (про-зомбированные) одновременно, отсылает большое количество пакетов на указанный сервер. На сервере в свою очередь есть программная защита в виде firewall(а) который фильтрует данные, помещает в чёрный список те машины, которые посылают большое количество запросов.

Такой вариант защиты эффективен при небольшой, любительской атаке... В случае увеличения количества атакуемых машин, база данных forewall(а) будет неумолимо возрастать и заставит тратить с каждым запросом много вычислительных ресурсов, что существенно отразится на скорости работы сервера.

Если в базе firewall(а) задать правило на удаление через определённое время компьютеров из чёрного списка, дабы опустошить и не тратить процессорное время на глупый поиск IP-адреса в списке, то здесь необходимо опираться на продолжительность атаки. Если, допустим, в firewall(е) установлено правило «очищать IP-адреса, хранящиеся более трёх дней», а атака будет продолжаться больше недели, тогда получится замкнутый круг. Те машины, которые только высвободились из заточения, вновь будут атаковать сервер. Но если рассматривать довольно масштабную атаку, то сервер не продержится три дня... :)

Для масштабных распределённых атак, больше подойдёт метод защиты на аппаратном уровне, с помощью аппаратного firewall(a). На рисунке 2 показан пример защиты на аппаратном уровне.

Рис. 2. Защита сервера на аппаратном уровне

Как говорит мой знакомый, настоящий технарь не должен быть художником :)

В пояснении данного изображения можно выявить: firewall на аппаратном уровне будет работать существенно эффективнее, чем на программном, ввиду однонаправленной задачи на вычисление и не расходования процессорного времени на разные задачи. То есть процессор аппаратного-firewall(a) будет заниматься только узкоспециализированной задачей, конкретнее работать с базой данных забаненных компьютеров и рядом других фильтраций.

Но если рассматривать недостатки или скорее недочёты аппаратной защиты, то на рисунке 2 вы можете заметить следующее:

• красным цветом отмечена ширина канала сервера(пропускная способность),

• чёрные линии в совокупности образуют ширину канала превышающую серверную, что заставляет запросы пользователей становится в очередь.

По этой причине вычислительные ресурсы сервера могут быть задействованы не в полной мере а канал забит, и рядовой пользователь не сможет обратиться к сайту , чтобы получить информацию.

С такой проблемой можно бороться только способом описанным во введении «архитектура распределённых серверов», где некоторое количество серверов разбросаны на разных каналах, что способствует разгрузке пропускной способности и стабильной работе серверов. Но соответственно такой вид защиты довольно таки затратный...

Что делать в таком случае? Я предлагаю решение данной проблемы, довольно не стандартным способом.

Если при решении такой задачи, наиболее эффективным вариантом решения будет «архитектура распределённых серверов», то почему бы не сделать все это локально.

Как это выглядит? На самом деле, вся суть распределённых серверов заключается в разгрузке канала, но если одному серверу сделать многоканальный выход, то таким образом можно разгрузить канал и раскидать запросы по нескольким.

Что же тащить несколько проводов от различных провайдеров в серверную как представлено на рисунке 3? Это же не рентабельно!

Рис. 3. Распределённый интернет канал для сервера

Действительно, такой вид решения проблемы довольно не рентабельный. Но если взглянуть на это с другого ракурса, а точнее с точки зрения «управления техническими системами» и прочитать книжку И.М. Першина «Распределённые системы обработки информации», то можно заметить интересный факт, что с использованием не сложных аппаратных систем и грамотно построенных программных модулей, можно в радиоканал через несколько антенн, отправлять кучу разных сигналов, а на другом конце ловить эту связки и имея дешифратор получать многоканальный поток данных. То есть происходит архивация сигналов и передача их по одному каналу, а по приходу они разделяются.

Если таким образом можно передавать сигналы по воздуху, то и по кабелю это вполне возможно реализовать, просто нужно разработать чёткую архитектуру на каких конкретно уровнях будет происходить архивация а на каких дешифровка каналов. Ну, соответственно разработка более сложных аппаратных систем и программных модулей для реализации поставленной задачи. В этом и заключается тема моей диссертационной работы parrot :).

При использовании такой технологии можно максимально разгрузить и увеличить пропускную способность выхода в интернет, тем самым существенно сократить задержку.

ЗАКЛЮЧЕНИЕ

Предложенная технология не является абсолютным решением проблемы, как говорилось выше, данный вид атаки не является стандартизированными и постоянно модернизируется. Но на данном промежутке времени, это решение можно расценивать как наименее затратное при реализации защиты на аппаратном уровне. Это даже не вид защиты а скорее увлечение ресурсоемкости системы, затрачивая на это минимальные материальные ресурсы.