Исследование нагрузочной устойчивости веб-серверов посредством DDOS

Введение

Свободный доступ к информации является важнейшим фактором в современном информационном мире. Большинство из нас получают информацию из интернета, либо с помощью сайта ресурса, либо с помощью клиент-серверного приложения.
В своей работе я проведу исследование нагрузочной устойчивости веб-серверов университетов г. Самары. Выясню, какие ресурсы обладают базовой защитой, а также определю тех, которым нужно пересмотреть свою политику безопасности.
Distributed Denial of Service — DDoS-атака - поток ложных запросов, который пытается блокировать выбранный ресурс либо путем атаки на канал связи, который "забивается" огромной массой бесполезных данных, либо атакой непосредственно на сервер, обслуживающий данный ресурс.
Стрессовое тестирование — это процедура оценки характеристик работоспособности системы, проводимая за рамками предельного значения нагрузки. Стресс-тесты в большинстве случаев ведут к аномальному поведению системы или ее отказу в обслуживании аналогично DDoS-атакам.
Цели у стрессового тестирования и DDoS-атаки совершенно разные. В первом случае задача — определить показатели предельной нагрузки системы и проверить устойчивость к некоторым сценариям DDoS-атак, а во втором — сделать недоступным атакуемый объект любыми эффективными методами, нарушив тем самым работоспособность целевой инфраструктуры.
Как проверялась работоспособность тестируемого сайта?
Ответ – «на глаз». Во-первых, по-настоящему определить, что происходит на сервере, может только администратор ресурса. Он имеет доступ к информации о нагрузке центрального процессора, о выделенной оперативной памяти, состоянии канала связи, количества обработанных и количества, ждущих свою очередь, клиентов сервера и т.д. Во-вторых, это просто. Согласитесь проще попытаться зайти на сайт через браузер и по времени ответа сайта понять, что с ним происходит, чем, скажем, использовать дополнительные программы, как например, программу ping. Использовать её результаты для сравнения возможно, но как показали эксперименты, программа ping может возвращать данные, как если сайт работал в штатном режиме, а на деле он является полностью недоступным из браузера.
Способы атаки. Существует множество классификаций DDoS-атак, которые отличаются друг от друга способами генерирования входящего трафика на сервер, протоколами взаимодействия, структурой и размерами, отправляемых пакетов, и т.д. Мной были выбраны и реализованы 2 подхода
Massive Get – Отправка серверу большого количества запросов GET от разных потоков программы, данный механизм моделирует ситуацию, когда на сервер заходит множество клиентов за короткий промежуток времени и каждый из них запрашивает у сервера некий ресурс, в нашем случае страницу.
Slow HTTP POST - Атака базируется на уязвимости в протоколе HTTP. Slow HTTP POST атака работает следующим образом: отправляется POST заголовок с легитимным полем, которое позволяет веб-серверу понять, какой объём данных к нему поступает. Как только заголовок отправлен, тело POST сообщения начинает передаваться с очень медленной скоростью, что позволяет использовать ресурсы сервера намного дольше, чем это необходимо, и, как следствие, помешать обработке других запросов.
Основная часть. Мною были протестированы одиннадцать сайтов ВУЗов Самары. Все тесты проводились с одного компьютера, при ширине канала 20 Мбит/с («-» означает полный отказ в обслуживании. «+/-» - труднодоступность ресурса и ощутимую задержку с ответом. «+» - небольшую задержку с ответом, порядка нескольких секунд, пуста ячейка, говорит о том, что сайт успешно справляется с данным видом атаки.

Тестируемый объект
(Вуз) IP адрес
вуза Тип атаки


Massive Get
Slow
HTTP POST
СГАСУ 85.113.47.5 - -
СамГУ
195.209.65.19

СГАУ 91.222.128.17 +/- -
СамМУ
89.186.227.196
-
СамГТУ
89.186.241.141 +
ПГУТИ 94.25.37.31

МИР 37.61.176.193
-
СГАСУ ФИСТ 85.113.47.54 +
СГОАН 217.16.27.44
-
СамГУПС
188.43.53.33

СГЭУ 91.222.128.17 +/- -

Результаты тестирования
Мы получили три сайта, которые имеют серьёзные проблемы с надёжностью своих ресурсов. Выделяется из этого списка СГАУ, который является ведущим ВУЗом Самары и который, в то же время, ведёт подготовку специалистов по программе информационной безопасности. Так же не радует своими результатами строительный университет, который даже при небольшой нагрузке становится полностью недоступным. В противовес этому мы имеем три сайта, которые успешно справились с тестированием это СамГУ, ПГУТИ и СамГУПС. Так же хочется отметить стабильную работу от сайтов СамГТУ и СГАСУ ФИСТ, которые так же выглядят весьма неплохо.
Имеем, что из нашего набора только 45% могут осуществлять стабильную работу под воздействием различных видов атак извне. По результатам тестирования, руководство оставшихся 55% ВУЗов должно более внимательно отнестись к вопросу о надёжности своих ресурсов. Повторюсь, что тестирование проводилось с одного компьютера, что делает его весьма доступным.
Если представить ситуацию, что потенциальный злоумышленник решил устроить атаку во время приёмной комиссии, когда сотни абитуриентов заходят каждый час на сайт, чтобы проверить себя в рейтинге, то возникнет коллапс, со всеми вытекающими отсюда последствиями.
Число DDoS-атак на объекты в РФ в 2013 г. выросло на 178%. Количество DDoS-атак на государственные и коммерческие инфраструктурные институты России в 2013 г. выросло на 178%, тогда как в прежние годы их темпы роста не превышали в среднем 15%, согласно данным Национальной ассоциации инноваций и развития информационных технологий. Общий объем потерь отечественной экономики от попыток незаконного электронного вмешательства за 2013 г. превысил 1,3 трлн. руб.
Защита от DDoS-атак
Полностью защититься от DDoS-атак на сегодняшний день невозможно, так как совершенно надежных систем не существует. Здесь также большую роль играет человеческий фактор, потому что любая ошибка системного администратора, неправильно настроившего маршрутизатор, может привести к весьма плачевным последствиям

. Однако, несмотря на все это, на настоящий момент существует масса как аппаратно-программных средств защиты, так и организационных методов противостояния. Меры противодействия DDoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные. Ниже приведён краткий перечень основных методов.
Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DDoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.). Нужно вовремя устранить причины DDoS-атак, после этого сделать выводы, чтобы избежать таких атак в будущем.
Ответные меры. Применяя технические и правовые меры, нужно как можно активнее воздействовать на источника и организатора DDoS — атаки. В настоящее время даже существуют специальные фирмы, которые помогают найти не только человека, который провел атаку, но даже и самого организатора.
Программное обеспечение. На рынке современного программного и аппаратного обеспечения существует и такое, которое способно защитить малый и средний бизнес от слабых DDoS-атак. Эти средства обычно представляют собой небольшой сервер.
Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине. В этом случае фильтрация может быть двух видов: использование межсетевых экранов и списков ACL.
Обратный DDOS — перенаправление трафика, используемого для атаки, на атакующего. При достаточной мощности атакуемого сервера, позволяет не только успешно отразить атаку, но и вывести из строя сервер атакующего.
Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов. Данная мера нацелена на устранение ошибок в системах и службах.
Наращивание ресурсов. Абсолютной защиты, естественно, не дает, но является хорошим фоном для применения других видов защиты от DDoS-атак.
Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
Приобретение сервиса по защите от DDoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.


Что такое DDoS-атака?
Распределенная атака типа "отказ в обслуживании" (DDoS) - это вредоносная попытка нарушить нормальный трафик целевого сервера, сервиса или сети путем переполнения объекта или его окружающей инфраструктуры потоком интернет-трафика. DDoS-атаки достигают эффективности за счет использования нескольких скомпрометированных компьютерных систем в качестве источников атакующего трафика. Эксплуатируемые машины могут включать компьютеры и другие сетевые ресурсы, такие как устройства Интернета вещей . С высокого уровня DDoS-атака похожа на пробку, забивающую шоссе, не позволяя регулярному трафику прибыть в нужный пункт назначения.
Как работает DDoS-атака?
DDoS-атака требует, чтобы злоумышленник получил контроль над сетью онлайновых машин для осуществления атаки. Компьютеры и другие машины (например , устройства Интернета вещей) заражаются вредоносными программами, превращая каждый из них в бота (или зомби). Затем злоумышленник получает удаленный контроль над группой ботов, которая называется ботнет .
После того, как ботнет был установлен, злоумышленник может управлять машинами, отправляя обновленные инструкции каждому боту с помощью метода дистанционного управления. Когда IP-адрес жертвы становится целью ботнета, каждый бот будет отвечать, отправляя запросы к цели, что может привести к переполнению целевого сервера или сети, что приведет к отказу в обслуживании для нормального трафика. Поскольку каждый бот является законным интернет-устройством, отделение атакующего трафика от обычного трафика может быть затруднено.
Каковы распространенные типы DDoS-атак?
Различные векторы DDoS-атаки нацелены на различные компоненты сетевого соединения. Для того, чтобы понять, как работают различные DDoS-атаки, необходимо знать, как осуществляется подключение к сети. Сетевое соединение в интернете состоит из множества различных компонентов или “слоев”. Как и строительство дома с нуля, каждый шаг в модели имеет различную цель. Модель OSI, показанная ниже, представляет собой концептуальную основу, используемую для описания сетевого подключения в 7 различных слоях.

Хотя почти все DDoS-атаки включают подавляющее целевое устройство или сеть с трафиком, атаки можно разделить на три категории. Злоумышленник может использовать один или несколько различных векторов атаки или циклических векторов атаки, потенциально основанных на мерах противодействия, принимаемых целью.
Атаки На Уровне Приложений
Цель нападения:
Иногда называют DDoS-атакой уровня 7 (в отношении 7-го уровня модели OSI), цель этих атак заключается в исчерпании ресурсов объекта. Атаки нацелены на уровень, где веб-страницы создаются на сервере и доставляются в ответ на HTTP-запросы. Один HTTP-запрос является дешевым для выполнения на стороне клиента и может быть дорогим для целевого сервера, чтобы ответить на него, поскольку сервер часто должен загружать несколько файлов и выполнять запросы базы данных для создания веб-страницы. Атаки уровня 7 трудно защитить, поскольку трафик может быть трудно пометить как вредоносный.
Пример Атаки На Уровне Приложений:

Наводнение HTTP
Эта атака похожа на нажатие кнопки Обновить в веб-браузере снова и снова на многих разных компьютерах одновременно – большое количество HTTP-запросов наводняет сервер, что приводит к отказу в обслуживании.
Этот тип атаки варьируется от простого до сложного