Narzędzia do symulacji ataków DDoS [zamknięte]

13

Chciałem przetestować moją stronę internetową, czy jest w stanie wytrzymać silne DDoS, ale nie wiem, jakich narzędzi mógłbym użyć do symulacji ich w mojej witrynie. Jakie narzędzia są używane do symulacji DDoS?

Znalazłem bonesi, ale był ostatnio aktualizowany 2 lata temu.

Jürgen Paul
źródło

Odpowiedzi:

13

Istnieją trzy typy ataków DDOS:

----->Application-layer DDOS attack
----->Protocol DOS attack
----->Volume-based DDOS attack

> Application layer

 DDOS attack: Application-layer DDOS attacks are attacks that target Windows,
               Apache, OpenBSD, or other software vulnerabilities 
               to perform the attack and crash the server.

> Protocol DDOS attack

DDOS attack : A protocol DDOS attacks is a DOS attack on the protocol level. 
               This category includes Synflood, Ping of Death, and more.

> Volume-based

 DDOS attack: This type of attack includes ICMP floods,
               UDP floods, and other kind of floods performed via spoofed packets.

Istnieje wiele bezpłatnych narzędzi, których można użyć do zalania serwera i przetestowania jego wydajności. Kilka narzędzi obsługuje również sieć zombie do wykonywania DDOS.

  1. LOIC (Low Orbit Ion Canon)

  2. XOIC

  3. HULK (HTTP Unbearable Load King)

  4. DDOSIM — Symulator DDOS warstwy 7

  5. RU-Dead-Yet

  6. Młot Tora

  7. PyLoris

  8. OWASP DOS HTTP POST

  9. DAVOSET

  10. Narzędzie odmowy usługi GoldenEye HTTP

mightyteja
źródło
1
Najwyraźniej LOIC ma w sobie wirusa
Alex W
1
Kredyty trafiają do resources.infosecinstitute.com/...
Diego Vieira,
Jest też port GO RUDY, który działa całkiem dobrze
Matt Fletcher
Wiele z tych linków jest martwych lub jest objętych ostrzeżeniami o wirusach ...
Liam,
7

Najpierw musisz określić, jaki rodzaj ataku próbujesz symulować.
Niektóre typowe opcje obejmują:

  • Wyczerpanie puli połączeń TCP
  • Wyczerpanie przepustowości
  • Wyczerpanie procesora / pamięci

Następny wybór (lub zapis) narzędzi, których można użyć do symulacji tego rodzaju ataku (często używane są programy do testowania obciążenia HTTP, ale są też dedykowane narzędzia. Nie wymienię ich - możesz również Google jak mogę.)

Na koniec przeprowadzaj ataki na swoje środowisko.
Może to wymagać dodatkowych maszyn (do testu wewnętrznego) lub wielu środowisk zewnętrznych (aby skutecznie symulować zagrożenie zewnętrzne).


WIELKIE WAŻNE OSTRZEŻENIE

Powinieneś zaplanować i ogłosić swoje okno testowe, aby użytkownicy byli świadomi możliwości awarii. Często symulacje prowadzą do faktycznych awarii.

W ŻADNYCH okolicznościach nie należy przeprowadzać ataku symulacyjnego / testowego DoS na środowisko bez uprzedniego powiadomienia dostawcy usług hostingowych. Jest to szczególnie prawdziwe w przypadku testów zewnętrznych / pełnych stosów, które będą przechodzić przez sieć dostawcy.

voretaq7
źródło
Przepraszam za bycie sarkastycznym, ale tak, pierwszą rzeczą, którą zrobiłby atakujący, było powiadomienie swojego dostawcy.
berezovskyi
4
@ABerezovskiy Zakładam, że twój sarkazm jest spowodowany brakiem przyczyny powiadomienia: większość umów z dostawcami (dosłownie każda podpisana przeze mnie) zabrania tego rodzaju testów bez uprzedniego powiadomienia. Jeśli naruszysz tę umowę, a test zakłóci obsługę innych osób, zostaniesz wyłączony z sieci i być może staniesz przed sądem. W tej sytuacji atakujący nie ma nic do stracenia, administrator systemu lub firma ma wszystko do stracenia.
voretaq7
1
masz całkowitą rację co do kwestii prawnych i konsekwencji. Jednak głównym powodem, dla którego przeprowadzane są takie testy, jest przygotowanie się na nieoczekiwane ataki, a często tani dostawcy, którzy oferują ochronę przed atakami DDoS, po 10 minutach ataku kierują Cię na zero. W wielu przypadkach faktycznie testujesz odpowiedź dostawcy. Szybkie sprawdzenie strony docelowej Kimsufi: Anti-DDos chroniony i podłączony do wysokowydajnej globalnej sieci . TOS: OVH zastrzega sobie prawo do przerwania obsługi klienta, jeżeli zagraża to [...] stabilności infrastruktury OVH.
berezovskyi
Myślę, że możesz zastosować oba podejścia w zależności od tego, co naprawdę chcesz przetestować: przezroczysty test warunków skrajnych w środowisku piaskownicy lub odpowiednio / etycznie instrumentowany atak / test gotowości organizacji do radzenia sobie z kryzysem. Są to 2 różne testy z odrębnymi celami.
Amy Pellegrini,
1

Nie mam z tym dużego doświadczenia, ale spójrz na LOIC ( http://sourceforge.net/projects/loic/ ). Będziesz musiał skonfigurować kilka klientów, ale powinieneś być w stanie samodzielnie wykonać DDoS.

Jim G.
źródło
Jest to narzędzie DoS, które wykorzystuje protokół HTTP do wyłączania serwerów WWW (w zasadzie otwierając mnóstwo połączeń, ale nigdy ich nie kończąc). Nie będzie działać w przypadku testowania.
Nathan C
1

„Silny” atak DDoS jest ściśle związany z twoim środowiskiem i prawie niemożliwe byłoby jego samodzielne odtworzenie, jeśli mówimy o publicznej witrynie internetowej, a nie w kontrolowanym środowisku. Atak DoS to jedno, aby symulować prawdziwy rozproszony atak typu „odmowa usługi”, potrzebujesz prawdziwego stanowiska testowego botnetów, których na pewno nie posiadasz (<<). Nie jest trudno znaleźć darmowe / płatne dla wszystkich botnety, których można by używać z niektórymi aplikacjami „poza witrynami hakerów”, ale czy naprawdę należy im ufać, że nie spowodują więcej szkód niż się spodziewasz? Ostatnią rzeczą, jakiej pragniesz, jest przebywanie na radarze hakera i / lub powiązanie z wrażliwą witryną.

IMHO, dobre DDoS zawsze wygrywa ... szczególnie, jeśli nie masz dobrego planu odzyskiwania po awarii / kontynuacji działalności.

To pochodzi od kogoś, kto przeżył DDoS (atak wzmocnienia DNS), to nie jest piknik i chociaż jest to bardzo ekscytujące, to nic, czego nie chciałeś, stało się z twoją siecią / witryną / hostem.

l0c0b0x
źródło
1

https://www.blitz.io/

Mogą one dla ciebie symulować atak DDOS. Korzystają z Amazon Web Services, aby uzyskać całą masę adresów IP do symulacji DDOS. Biorąc pod uwagę, że większość ataków DDOS wykorzystuje duże ilości zainfekowanych serwerów na różnych obszarach geograficznych, bardzo trudno byłoby „zasymulować” atak DDOS bez posiadania całej globalnej sieci bot.

Istnieją jednak różne usługi, które mogą symulować atak DOS pod dużym obciążeniem. Kilka zasobów to:

https://httpd.apache.org/docs/2.0/programs/ab.html

„ab to narzędzie do testowania wydajności serwera Apache Hypertext Transfer Protocol (HTTP). Zostało zaprojektowane, aby dać ci wyobrażenie o tym, jak działa twoja bieżąca instalacja Apache. W szczególności pokazuje, ile żądań na sekundę może obsłużyć twoja instalacja Apache. „

El Chapo Gluzman
źródło
Wygląda na to, że Blitz nie jest już opcją, ich pierwsza strona mówi obecnie: „Blitz zostanie zamknięty 1 października 2018 r.” :-(
Nexus
1

Innym rozwiązaniem byłoby użycie pszczół z karabinami maszynowymi. Jest to narzędzie do uzbrajania (tworzenia) wielu pszczół (instancje mikro EC2) w celu atakowania (testowania obciążenia) celów (aplikacji internetowych).

Ponownie, żadna z tych instancji nie będzie w rzeczywistości replikować „prawdziwego” ataku DDOS, ponieważ niektóre taktyki, których możesz użyć (tj. Blokowanie zakresów adresów IP) nie będą działać przeciwko prawdziwemu botnetowi DDOS z naruszonymi adresami IP na całym świecie.

El Chapo Gluzman
źródło