(Теоретический взгляд) При DDoS-атаке через докер не обнаружено корреляции между количеством отправленных пакетов и количеством виртуализированных контейнеров

Gabriel Cardoso

26.06.2023, 12:53

Я тестировал DDoS-атаку в своей локальной сети через докер. Каждое изображение загружено «злым» DDoS-файлом.

Я тестировал одновременно несколько контейнеров, атакующих одновременно. На изображении ниже можно увидеть 6 атак (пиков). 1, 2, 3, 4, 10 и 15 контейнеров, работающих одновременно (каждая атака соответствует одному пику).

Что привлекло мое внимание, так это то, что пик атак не был существенно изменен количеством одновременно атакующих контейнеров.

Почему это?

Моя гипотеза:

I. Процессы Dockers выполняются не параллельно, а последовательно.

II. Или насыщение пакетов, отправляемых на шлюз, уже достигнуто первым контейнером. Поэтому не имеет значения запуск большего количества контейнеров.

Ребята, что вы думаете?

Анализ пакетов Wireshark

0 + 0

локальный хост

ддос

докер

Рейтинг:0

Server

John Mahowald

28.06.2023, 02:16

Максимальное использование после 2 контейнеров не является хорошим показателем для масштабирования на множество процессов. Недостаточно информации, чтобы понять, почему это так. Узкими местами в производительности могут быть приложение, сетевой стек или аппаратное обеспечение. Например, клиенты могут вести себя вежливо, ожидая ответов уровня приложения, а не отправлять запросы как можно быстрее.

Узнайте, сколько пакетов в секунду они могут обрабатывать с помощью самого простого приложения. iperf — классический инструмент для такого теста максимальной пропускной способности. Значительно более высокий показатель PPS указывает на то, что узкое место находится ближе к приложению, чем к сетевому стеку.

Что касается смысла этого упражнения, то распределенный отказ в обслуживании не может быть легко смоделирован с (предположительно) одним физическим хостом. Обычно целью является массовая атака, когда многие хосты отправляют гораздо больше запросов приложений или необработанных пакетов, чем может обработать ваша инфраструктура. Или с такого количества IP-адресов блокировка источника невозможна.

Тем не менее, даже относительно небольшая атака всего с нескольких хостов теоретически все еще может увязнуть в услуге. Зависит от приложения и ресурсов сервера, на котором оно работает.

0 + 0

Admin

Этот вопрос на других языках:

EN: (Theoretical view) In a DDoS attack via docker, no correlation found between the amount of sent packets and the number of virtualized containers

TH: (มุมมองทางทฤษฎี) ในการโจมตี DDoS ผ่านนักเทียบท่า ไม่พบความสัมพันธ์ระหว่างจำนวนแพ็กเก็ตที่ส่งและจำนวนคอนเทนเนอร์เสมือน

RO: (Vedere teoretică) Într-un atac DDoS prin docker, nu s-a găsit nicio corelație între cantitatea de pachete trimise și numărul de containere virtualizate

RU: (Теоретический взгляд) При DDoS-атаке через докер не обнаружено корреляции между количеством отправленных пакетов и количеством виртуализированных контейнеров

VI: (Chế độ xem lý thuyết) Trong một cuộc tấn công DDoS thông qua docker, không tìm thấy mối tương quan nào giữa số lượng gói đã gửi và số lượng vùng chứa ảo hóa

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.