Ferramentas para simular ataques DDoS [fechado]

13

Eu queria testar meu site se ele suporta DDoS fortes, mas não sei quais ferramentas eu poderia usar para simulá-los no meu site. Quais ferramentas são usadas para simular DDoS?

Encontrei bonesi, mas foi atualizado pela última vez há 2 anos.

Jürgen Paul
fonte

Respostas:

13

Existem basicamente três tipos de ataques DDOS:

----->Application-layer DDOS attack
----->Protocol DOS attack
----->Volume-based DDOS attack

> Application layer

 DDOS attack: Application-layer DDOS attacks are attacks that target Windows,
               Apache, OpenBSD, or other software vulnerabilities 
               to perform the attack and crash the server.

> Protocol DDOS attack

DDOS attack : A protocol DDOS attacks is a DOS attack on the protocol level. 
               This category includes Synflood, Ping of Death, and more.

> Volume-based

 DDOS attack: This type of attack includes ICMP floods,
               UDP floods, and other kind of floods performed via spoofed packets.

Existem muitas ferramentas disponíveis gratuitamente que podem ser usadas para inundar um servidor e testar o desempenho do servidor. Algumas ferramentas também suportam uma rede zumbi para executar DDOS.

  1. LOIC (Canon de Íon de Órbita Baixa)

  2. XOIC

  3. HULK (rei de carga insuportável HTTP)

  4. DDOSIM - Simulador DDOS da camada 7

  5. RU-Dead-Yet

  6. Martelo do Tor

  7. PyLoris

  8. POST HTTP OWASP DOS

  9. DAVOSET

  10. Ferramenta de negação de serviço HTTP GoldenEye

mightyteja
fonte
1
Aparentemente, o LOIC possui um vírus
Alex W
1
E os créditos vão para resources.infosecinstitute.com/…
Diego Vieira
Existe uma porta GO do RUDY que também funciona muito bem #
Matt Fletcher
Muitas dessas ligações estão mortos ou são cobertas de avisos de vírus ...
Liam
7

Primeiro, você precisa definir que tipo de ataque você está tentando simular.
Algumas opções comuns incluem:

  • Esgotamento do conjunto de conexões TCP
  • Esgotamento da largura de banda
  • Esgotamento da CPU / Memória

Próxima seleção (ou gravação) de ferramentas que podem ser usadas para simular esse tipo de ataque (os programas de teste de carga HTTP costumam ser usados, mas também existem ferramentas dedicadas por aí. Não vou listá-las - você também pode usar o Google Como eu posso.)

Por fim, execute os ataques contra o seu ambiente.
Isso pode exigir máquinas adicionais (para um teste interno) ou vários ambientes externos (para simular efetivamente uma ameaça externa).


AVISO IMPORTANTE GRANDE

Você deve agendar e anunciar sua janela de teste para que os usuários estejam cientes da possibilidade de uma interrupção. Frequentemente, as simulações resultam em falhas reais.

Em NENHUMA circunstância, você deve executar um ataque de simulação / teste de DoS contra o seu ambiente sem primeiro notificar o seu provedor de hospedagem. Isso é especialmente verdadeiro para testes de pilha externa / cheia que passarão pela rede do seu provedor.

voretaq7
fonte
Desculpe por ser sarcástico, mas sim, a primeira coisa que um invasor faria é notificar o seu provedor.
24516 berezovskyi
4
@ABerezovskiy Vou assumir que seu sarcasmo é porque você está perdendo o motivo da notificação: a maioria dos contratos de fornecedores (literalmente todos os que assinei) proíbem esse tipo de teste sem aviso prévio. Se você violar esse contrato e seu teste interromper o serviço de outras pessoas, você será retirado da rede e possivelmente enfrentando uma ação legal. Um invasor não tem nada a perder nessa situação, um administrador de sistemas ou empresa tem tudo a perder.
voretaq7
1
você está totalmente correto em relação aos assuntos legais e às consequências. No entanto, a principal razão pela qual esses testes são realizados é estar preparado para ataques inesperados e, geralmente, os fornecedores baratos que oferecem proteção contra DDoS o encaminhariam nulos após 10 minutos do ataque. Em muitos casos, você realmente testa a resposta do provedor. Uma verificação rápida da página de destino do Kimsufi: Anti-DDos protegido e conectado a uma rede global de alto desempenho . TOS: A OVH reserva-se o direito de interromper o Serviço do Cliente se representar uma ameaça [...] à estabilidade da infraestrutura da OVH.
berezovskyi
Acho que você poderia usar as duas abordagens, dependendo do que realmente deseja testar: um teste de estresse transparente em um ambiente de área restrita ou um ataque / teste adequadamente / eticamente instrumentado para a prontidão da organização para lidar com a crise. Esses são 2 testes diferentes com alvos distintos.
Amy Pellegrini
1

Não tenho muita experiência com isso, mas dê uma olhada no LOIC ( http://sourceforge.net/projects/loic/ ). Você precisará configurar um número de clientes, mas poderá essencialmente fazer o DDoS por conta própria.

Jim G.
fonte
Esta é uma ferramenta de DoS que explora o protocolo HTTP para derrubar servidores da Web (basicamente abrindo toneladas de conexões, mas nunca concluindo). Não funcionará para um caso de teste.
Nathan C
1

Um ataque DDoS 'forte' é altamente relativo ao seu ambiente e seria quase impossível replicar você mesmo se estivermos falando de um site público e não de um ambiente controlado. Um ataque DoS é uma coisa: para simular um ataque real de negação de serviço distribuído, você precisa de um banco de testes real de botnet (s) que tenho certeza de que não possui (<<). Não é difícil encontrar redes de bots gratuitas para todos os tipos de aplicativos que você pode usar com certos aplicativos 'fora de hackers', mas você deveria / deveria confiar neles para não causar mais danos do que o esperado? A última coisa que você deseja é estar no radar de um hacker e / ou associado a um site vulnerável.

IMHO, um bom DDoS sempre vencerá ... especialmente se você não tiver um bom plano de recuperação de desastres / continuação de negócios.

Isso é proveniente de alguém que passou por um DDoS (ataque de amplificação de DNS), não é um piquenique e, apesar de muito emocionante, não é nada que você queira que aconteça à sua rede / site / host.

l0c0b0x
fonte
1

https://www.blitz.io/

Eles podem simular um ataque DDOS para você. Eles usam o Amazon Web Services para obter um monte de IPs para simular um DDOS. Considerando que a maioria dos ataques DDOS usa grandes quantidades de servidores comprometidos em várias áreas geográficas, seria muito difícil "simular" um ataque DDOS sem estar na posse de toda uma rede de bots global.

Existem vários serviços que podem simular um ataque do DOS de alta carga. Alguns recursos são:

https://httpd.apache.org/docs/2.0/programs/ab.html

"ab é uma ferramenta para comparar o servidor HTTP (Apache Hypertext Transfer Protocol). Ele foi projetado para fornecer uma impressão do desempenho da instalação atual do Apache. Isso mostra especialmente quantas solicitações por segundo sua instalação do Apache pode atender. "

El Chapo Gluzman
fonte
Parece que o Blitz não é mais uma opção, a página inicial diz atualmente "O Blitz será encerrado em 1º de outubro de 2018" :-(
Nexus
1

Outra solução seria usar abelhas com metralhadoras. É um utilitário para armar (criar) muitas abelhas (instâncias micro EC2) para atacar (carregar teste) alvos (aplicativos da web).

Novamente, nenhuma dessas instâncias replicará verdadeiramente um ataque DDOS "real" porque certas táticas que você pode usar (por exemplo, intervalos de bloqueio de IPs) não funcionarão contra um botnet DDOS real de IPs comprometidos em todo o mundo.

El Chapo Gluzman
fonte