Eu queria testar meu site se ele suporta DDoS fortes, mas não sei quais ferramentas eu poderia usar para simulá-los no meu site. Quais ferramentas são usadas para simular DDoS?
Encontrei bonesi, mas foi atualizado pela última vez há 2 anos.
Existem basicamente três tipos de ataques DDOS:
----->Application-layer DDOS attack
----->Protocol DOS attack
----->Volume-based DDOS attack
> Application layer
DDOS attack: Application-layer DDOS attacks are attacks that target Windows,
Apache, OpenBSD, or other software vulnerabilities
to perform the attack and crash the server.
> Protocol DDOS attack
DDOS attack : A protocol DDOS attacks is a DOS attack on the protocol level.
This category includes Synflood, Ping of Death, and more.
> Volume-based
DDOS attack: This type of attack includes ICMP floods,
UDP floods, and other kind of floods performed via spoofed packets.
Existem muitas ferramentas disponíveis gratuitamente que podem ser usadas para inundar um servidor e testar o desempenho do servidor. Algumas ferramentas também suportam uma rede zumbi para executar DDOS.
XOIC
DDOSIM - Simulador DDOS da camada 7
POST HTTP OWASP DOS
Primeiro, você precisa definir que tipo de ataque você está tentando simular.
Algumas opções comuns incluem:
Próxima seleção (ou gravação) de ferramentas que podem ser usadas para simular esse tipo de ataque (os programas de teste de carga HTTP costumam ser usados, mas também existem ferramentas dedicadas por aí. Não vou listá-las - você também pode usar o Google Como eu posso.)
Por fim, execute os ataques contra o seu ambiente.
Isso pode exigir máquinas adicionais (para um teste interno) ou vários ambientes externos (para simular efetivamente uma ameaça externa).
AVISO IMPORTANTE GRANDE
Você deve agendar e anunciar sua janela de teste para que os usuários estejam cientes da possibilidade de uma interrupção. Frequentemente, as simulações resultam em falhas reais.
Em NENHUMA circunstância, você deve executar um ataque de simulação / teste de DoS contra o seu ambiente sem primeiro notificar o seu provedor de hospedagem. Isso é especialmente verdadeiro para testes de pilha externa / cheia que passarão pela rede do seu provedor.
fonte
Não tenho muita experiência com isso, mas dê uma olhada no LOIC ( http://sourceforge.net/projects/loic/ ). Você precisará configurar um número de clientes, mas poderá essencialmente fazer o DDoS por conta própria.
fonte
Um ataque DDoS 'forte' é altamente relativo ao seu ambiente e seria quase impossível replicar você mesmo se estivermos falando de um site público e não de um ambiente controlado. Um ataque DoS é uma coisa: para simular um ataque real de negação de serviço distribuído, você precisa de um banco de testes real de botnet (s) que tenho certeza de que não possui (<<). Não é difícil encontrar redes de bots gratuitas para todos os tipos de aplicativos que você pode usar com certos aplicativos 'fora de hackers', mas você deveria / deveria confiar neles para não causar mais danos do que o esperado? A última coisa que você deseja é estar no radar de um hacker e / ou associado a um site vulnerável.
IMHO, um bom DDoS sempre vencerá ... especialmente se você não tiver um bom plano de recuperação de desastres / continuação de negócios.
Isso é proveniente de alguém que passou por um DDoS (ataque de amplificação de DNS), não é um piquenique e, apesar de muito emocionante, não é nada que você queira que aconteça à sua rede / site / host.
fonte
https://www.blitz.io/
Eles podem simular um ataque DDOS para você. Eles usam o Amazon Web Services para obter um monte de IPs para simular um DDOS. Considerando que a maioria dos ataques DDOS usa grandes quantidades de servidores comprometidos em várias áreas geográficas, seria muito difícil "simular" um ataque DDOS sem estar na posse de toda uma rede de bots global.
Existem vários serviços que podem simular um ataque do DOS de alta carga. Alguns recursos são:
https://httpd.apache.org/docs/2.0/programs/ab.html
"ab é uma ferramenta para comparar o servidor HTTP (Apache Hypertext Transfer Protocol). Ele foi projetado para fornecer uma impressão do desempenho da instalação atual do Apache. Isso mostra especialmente quantas solicitações por segundo sua instalação do Apache pode atender. "
fonte
Outra solução seria usar abelhas com metralhadoras. É um utilitário para armar (criar) muitas abelhas (instâncias micro EC2) para atacar (carregar teste) alvos (aplicativos da web).
Novamente, nenhuma dessas instâncias replicará verdadeiramente um ataque DDOS "real" porque certas táticas que você pode usar (por exemplo, intervalos de bloqueio de IPs) não funcionarão contra um botnet DDOS real de IPs comprometidos em todo o mundo.
fonte