ŠRÁMEK, M. Testování zranitelností cloudových řešení útokem Slowloris [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2023.
Bakalářská práce Michala Šrámka se zabývala implemenetací distribuovaného útoku SlowLoris v softwaru Apache JMeter. Student pracoval samostatně a svědomitě přicházel s nápady na realizaci řešení. Textová část práce je lehce nad standardem VUT FEKT pro bakalářské práce. V praktické části student úspěšně implementovat distribuovanost SlowLoris útoku a také implementoval tuto možnost pro další dva typy Slow DoS útoků. Student provedl testování těchto útoků na předpřipravené lokální a Microsoft Azure infrastruktuře, kde diskutuje možnosti mitigace útoků v cloudovém řešení. Cíle práce byly zcela splněny. Z výše uvedených hodnotím práci známkou B (85 bodů).
V rámci této práce student provedl podrobnou studii cloudových řešení a jejich vlastností z hlediska bezpečnosti. Následně vytvořil modul pro nástroj JMeter, který umožňuje generování pomalých DoS útoků v distribuované formě. Rád bych zmínil, že nástroj s těmito vlastnostmi doposud chyběl a tím pádem má vysokou užitnou hodnotu na poli výzkumu zranitelnosti systémů vůči těmto útokům. Vytvořený modul student následně využívá k otestování lokálního cloudu i cloudu třetích stran. Výsledky jsou prezentovány. Z mého pohledu jsou tak všechny cíle splněny. Práce je čtivá a dobře zpracovaná, avšak má několik nedostatků. Především kapitola s testováním postrádá zásadní informace o způsobu sbírání dat a vyhodnocení výsledku testu. Není popsáno, na kterých stanicích jsou data měřena (např. vytížení CPU a RAM), jak jsou uvedené hodnoty počítány (max. hodnota, průměrná hodnota, atd.) a taky jakými nástroji či metodou jsou data sbírány. Bez těchto informací není zřejmé, co se vlastně během testování dělo. Další slabinu vidím v příliš stručném instalačním návodu. Pro zprovoznění je potřeba několik dalších kroků, které jsou v lepším případě pouze okomentovány v textu a uživatel si už musí nastudovat nebo vědět, jak je provést. Ohledně samotného nástroje, tak ten funguje dle očekávání. GUI modulu by mohlo však mít pár drobných uživatelských vychytávek pro snazší použití a prevenci vůči chybám. Dalším méně závažným nedostatkem, který jsem nalezl, jsou nepřesnosti v teoretické kapitole o DoS útocích. Po formální stránce je práce zpracována dobře, obsahuje pouze několik překlepů a drobných nedostatků.
eVSKP id 151228