Нагрузочное тестирование web-сервера и DDoS

Размещено на http://allbest.ru

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования «Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича» (СПбГУТ)

Факультет «Информационных систем и технологий»

Кафедра «Интеллектуальных систем автоматизации и управления»

Направление подготовки: 09.03.02 - Информационные системы и технологии

Направленность (профиль):Системное и прикладное программирование информационных систем

ЛАБОРАТОРНАЯ РАБОТА

на тему:

«Нагрузочное тестирование web-сервера и DDoS»

по дисциплине:

Информационная безопасность киберфизических систем

Выполнил студент Попугаев Д.Г.

Руководитель Ассистент Грибовский А.А.

Цель работы

С помощью систем нагрузочного тестирования определить производительность web-серверов Apache и Nginx, добиться отказа в обслуживании. Получить теоретические и практические навыки о принципах осуществления DDoS атак и защиты от них.

Задачи:

- получить представление о локальных вычислительных сетях;

- ознакомится с технологиями шифрования;

- выполнить эксперименты, представленные в работе;

- проанализировать полученные результаты.

Ход работы

Прежде всего для выполнения лабораторной работы были установлены статические ip-адреса (рис.1).

Рисунок 1 - Применение команды ifconfig на двух машинах.

На рисунке выше слева показан терминал сервера, а справа терминал хакера. Данные машины используются ещё с лабораторной работы №4.

Далее при помощи команды ping было проанализировано соединение двух этих машин (рис.2-3).

Рисунок 2 - Применение команды ping с сервера.

Рисунок 3 - Применение команды ping с хакера.

Apache benchmark -- одна из самых простых утилит, которая применяется для нагрузочного тестирования сайта. Идет в комплекте с веб сервером Apache, в первоначальной настройке не нуждается. Задача, которая ставится перед Apache benchmark -- показать, какое количество запросов сможет выдержать веб сервер и как быстро он их обработает.

Далее была использована команда <ab -n 5000 http://192.168.1.116/index.html> для нагрузки на сервер в 5000 последовательных запросов (рис.4).

Рисунок 4 - Использование команды ab -n 5000 http://192.168.1.116/index.html.

При проведении дальнейших исследований был получен результат (рис.5). В данном случае использовалась команда ab -n 1000 https://192.168.1.116/index.html.

Рисунок 5 - Использование команды ab -n 1000 https://192.168.1.116/index.html.

С самого начала можно увидеть информацию о версии ПО сервера, его имени, какой документ загружался и каков его размер, далее представлены сами результаты. Исходя из этого:

Рисунок 6 - Использование команды ab -n 5000 -c 500 http://192.168.1.116/index.html.

Следующая часть лабораторной работы связана с работой скриптов. Здесь уже серверу нужно не просто отдать файл, а запустить интерпретатор, дождаться от него вывода и вернуть вывод клиенту. Работа интерпретатора займёт определённое число ресурсов системы, что также отразится на производительности сервера в целом. Для этого была использована команда ab -n 1000 -c 300 https://aserver.ashep:80/test.php (рис.7).

Рисунок 7 - Использование команды ab -n 1000 -c 300 https://aserver.ashep:80/test.php.

Рисунок 8 - Использование команды sudo apt-get install nginx.

В данном случае сервер успешно справился с запросами, однако время их обработки существенно возросло, составив в среднем 44 миллисекунды на запрос, в то время как отдача небольшого HTML-файла примерно такого же размера составляла всего лишь 13 миллисекунд. Далее при помощи команды <sudo apt-get install nginx> был установлен Nginx (рис.8). Далее были проведены всё те же действия. Итоги исследований представлены ниже в таблице. атака защита вычислительный сеть ping

Таблица 1 - Итоги исследования.

Дополнительное задание

Атака произвольными пакетами. ICMP-Flood. Аномалия: Очень сильная загрузка процессора и сильное увеличение входящего и исходящего ICMP трафика, равного по значениям.

Признак: Множество пакетов передаётся по протоколу ICMP.

Для противодействия атаке возможны следующие меры: отключить ответы на ICMP-запросы <iptables -A OUTPUT -p udp -j DROP>; понизить приоритет обработки ICMP-сообщении?; отбросить или фильтровать ICMP-трафик межсетевым экраном < iptables -A INPUT -p icmp -j DROP --icmp-type8>; увеличить очередь обрабатываемых подключении?. Данная атака была проведена в качестве атакующей машины и нашу Windows 11 в качестве целевой машины (рис.9). Чтобы запустить ICMP flood, нам нужно написать следующую команду: hping3 --icmp --flood <Target IP Address>.

Рисунок 9 - Использование сети системой до DDoS-атаки ICMP flood.

Далее с машины хакера была произведена атака на данную машину. В ходе этой атаки сеть жертвы заполняется пакетами запросов ICMP, так что она становится недоступной для законных пользователей, хотя отвечает равным количеством ответных пакетов (рис.10-11).

Рисунок 10 - Использование сети системой во время DDoS-атаки ICMP flood.

Рисунок 11 - Сетевая активность.

Такие инструменты, как “hping” и “scapy”, могут использоваться для передачи сетевой цели пакетов ICMP-запросов. Эти инструменты создают большую нагрузку как на входящие, так и на исходящие каналы сети, потребляя значительную пропускную способность, что приводит к отказу в обслуживании.

Атака произвольными пакетами. SYN-Flood. Аномалия: Кратковременный скачок используемых ресурсов процессора и многократное увеличение входящего и исходящего трафика, и их количество равно.

Признак: В TCP-стеке появляется большое количество полуоткрытых соединении? со статусом SYN_RECV.

Защита: Современные реализации TCP протокола и некоторые межсетевые экраны имеют механизм защиты от SYN flood атак. Для реализации данной атаки необходимо установить hping3 при помощи команды <sudo apt-get install hping3> (рис.12).

Рисунок 12 - Установка hping3.

Чтобы начать атаку на цель необходимо использовать следующую команду: <hping3 -c 15000 -d 120 -S -w 64 -p 80 --flood --rand-source 192.168.56.101>. Итого было отправлено 15000 пакетов («-c 15000») размером 120 байт («-d 120») каждый. Флаг SYN («-S») должен быть включен, а размер TCP-окна имеет значение 64 («-w 64»). Чтобы направить атаку на HTTP-веб-сервер жертвы, было указано порт 80 («-p 80») и использован флаг («--flood») для максимально быстрой отправки пакетов. Флаг («--rand-source») используется для генерирования поддельных IP-адресов, чтобы замаскировать реальный источник и избежать обнаружения, а также в то же самое время не дать системе злоумышленника получать ответные пакеты с установленными флагами SYN и ACK от сервера жертвы. Для анализа трафика на машине жертвы был установлен Wireshark (рис.13). Wireshark представляет собой программу-анализатор трафика для компьютерных сетей Ethernet и некоторых других. Имеет графический пользовательский интерфейс (рис.14).

Рисунок 13 - Установка Wireshark.

Рисунок 14 - Запуск программы из главного терминала.

График полученных/отправленных пакетов можно получить с помощью выбора меню «Statistics --> I/O Graph». Для указанного выше примера этот график демонстрирует огромный всплеск количества пакетов от 0 до примерно 2400 пакетов в секунду (рис.14).

Принцип действия атаки заключается в следующем:

Серверу отправляется запрос на установление соединения, механизм регистрирует его в таблице. После ответа сервера о подтверждении запроса на соединение механизм отправляет пакет серверу с подтверждением соединения и отправляет ответный пакет клиенту. В этот момент в механизме запускается таймер, отсчитывающий время на ответ от клиента. При получении пакета с подтверждением соединения механизм считает запрос валидным, остановит таймер и отправит его на сервер.

Если пакет не пришёл в установленное время, механизм отправляет серверу запрос на удаление информации о соединении. Принцип действие механизма основан на контроле времени задержки ответа клиента. При слишком коротком тайм-ауте будут обрываться легитимные пользователи, при длинном будут накапливаться соединения, что может привести к серьёзным последствиям.

Рисунок 15 - Иллюстрация атаки TCP SYN Flood с помощью графика Wireshark.

Вывод

В ходе лабораторной работы с помощью систем нагрузочного тестирования была определена производительность web-серверов Apache и Nginx, также сервер был доведён до отказа в обслуживании. Получены теоретические и практические навыки о принципах осуществления DDoS атак и защиты от них.

Размещено на Allbest.ru