Alat untuk mensimulasikan serangan DDoS [ditutup]

13

Saya ingin menguji situs web saya jika itu dapat mempertahankan DDoS yang kuat, tetapi saya tidak tahu alat apa yang bisa saya gunakan untuk mensimulasikannya di situs web saya. Alat apa yang digunakan untuk mensimulasikan DDoS?

Saya menemukan bonesi tetapi terakhir diperbarui 2 tahun yang lalu.

Jürgen Paul
sumber

Jawaban:

13

Pada dasarnya ada tiga jenis serangan DDOS:

----->Application-layer DDOS attack
----->Protocol DOS attack
----->Volume-based DDOS attack

> Application layer

 DDOS attack: Application-layer DDOS attacks are attacks that target Windows,
               Apache, OpenBSD, or other software vulnerabilities 
               to perform the attack and crash the server.

> Protocol DDOS attack

DDOS attack : A protocol DDOS attacks is a DOS attack on the protocol level. 
               This category includes Synflood, Ping of Death, and more.

> Volume-based

 DDOS attack: This type of attack includes ICMP floods,
               UDP floods, and other kind of floods performed via spoofed packets.

Ada banyak alat yang tersedia secara gratis yang dapat digunakan untuk membanjiri server dan menguji kinerja server. Beberapa alat juga mendukung jaringan zombie untuk melakukan DDOS.

  1. LOIC (Canon Ion Orbit Rendah)

  2. XOIC

  3. HULK (HTTP King yang Tak Tertahankan)

  4. DDOSIM — Simulator DDOS Layer 7

  5. RU-Mati-Belum

  6. Palu Tor

  7. PyLoris

  8. OWASP DOS HTTP POST

  9. DAVOSET

  10. GoldenEye HTTP Denial Of Service Tool

perkasa
sumber
1
Rupanya LOIC memiliki virus di dalamnya
Alex W
1
Dan kreditnya diberikan ke resources.infosecinstitute.com/...
Diego Vieira
Ada port GO RUDY yang bekerja dengan sangat baik juga
Matt Fletcher
Banyak tautan ini sudah mati atau dilindungi oleh peringatan virus ...
Liam
7

Pertama, Anda perlu menentukan jenis serangan apa yang Anda coba simulasikan.
Beberapa opsi umum termasuk:

  • Kelelahan pool koneksi TCP
  • Kelelahan bandwidth
  • CPU / Memori habis

Selanjutnya pilih (atau tulis) alat yang dapat digunakan untuk mensimulasikan jenis serangan itu (program HTTP Load Testing sering digunakan, tetapi ada alat khusus di luar sana. Saya tidak akan mencantumkannya - Anda juga dapat Google yang saya bisa.)

Akhirnya, jalankan serangan terhadap lingkungan Anda.
Ini mungkin memerlukan mesin tambahan (untuk pengujian internal), atau beberapa lingkungan eksternal (untuk secara efektif mensimulasikan ancaman eksternal).


PERINGATAN PENTING BESAR

Anda harus menjadwalkan dan mengumumkan jendela pengujian Anda sehingga pengguna menyadari kemungkinan pemadaman. Seringkali simulasi menghasilkan kegagalan aktual.

Di bawah TIDAK Keadaan harus Anda menjalankan simulasi DoS / uji serangan terhadap lingkungan Anda tanpa terlebih dahulu memberi tahu penyedia hosting Anda. Hal ini terutama berlaku untuk pengujian tumpukan eksternal / penuh yang akan dilakukan melalui jaringan penyedia Anda.

voretaq7
sumber
Maaf karena sarkastik, tapi ya, hal pertama yang dilakukan penyerang adalah memberi tahu penyedia Anda.
berezovskyi
4
@ABerezovskiy Saya akan menganggap sarkasme Anda karena Anda kehilangan alasan untuk pemberitahuan: Sebagian besar perjanjian penyedia (secara harfiah setiap perjanjian yang saya tanda tangani) melarang pengujian semacam ini tanpa pemberitahuan sebelumnya. Jika Anda melanggar perjanjian itu dan pengujian Anda mengganggu layanan orang lain, Anda akan menemukan diri Anda kehilangan jaringan, dan mungkin menghadapi tindakan hukum. Seorang penyerang tidak akan rugi dalam situasi ini, seorang sysadmin atau perusahaan kehilangan segalanya.
voretaq7
1
Anda sepenuhnya benar dalam hal masalah hukum dan konsekuensinya. Namun, alasan utama pengujian tersebut dilakukan adalah untuk dipersiapkan untuk serangan tak terduga dan seringkali penyedia murah yang membanggakan perlindungan DDoS akan membatalkan rute Anda setelah 10 menit serangan. Dalam banyak kasus, Anda benar-benar menguji respons penyedia. Pemeriksaan cepat untuk halaman pendaratan Kimsufi: Anti-DDos dilindungi dan terhubung ke jaringan global berkinerja tinggi . KL: OVH berhak untuk menginterupsi Layanan Pelanggan jika itu mengancam [...] stabilitas infrastruktur OVH.
berezovskyi
Saya pikir Anda dapat menggunakan kedua pendekatan tergantung pada apa yang benar-benar ingin Anda uji: tes stres yang transparan di lingkungan berpasir, atau serangan / tes yang diinstrumentasi secara etis untuk kesiapan organisasi dalam menghadapi krisis. Itu adalah 2 tes berbeda dengan target berbeda.
Amy Pellegrini
1

Saya tidak punya banyak pengalaman dengannya, tetapi lihatlah LOIC ( http://sourceforge.net/projects/loic/ ). Anda harus menyiapkan sejumlah klien, tetapi pada dasarnya Anda harus dapat melakukannya sendiri.

Jim G.
sumber
Ini adalah alat DoS yang mengeksploitasi protokol HTTP untuk menjatuhkan server web (pada dasarnya membuka banyak koneksi tetapi tidak pernah menyelesaikannya). Tidak akan berfungsi untuk kasus pengujian.
Nathan C
1

Serangan DDoS 'kuat' sangat relatif terhadap lingkungan Anda, dan hampir tidak mungkin untuk ditiru sendiri jika kita berbicara tentang situs web publik dan tidak dalam lingkungan yang terkendali. Serangan DoS adalah satu hal, untuk mensimulasikan serangan penolakan layanan terdistribusi nyata Anda memerlukan test-bed nyata botnet (s) yang saya yakin tidak Anda miliki (<<). Tidaklah sulit untuk menemukan botnet gratis / biaya-untuk-semua yang dapat Anda gunakan dengan aplikasi 'off-hacker-situs' tertentu, tetapi akankah / apakah Anda benar-benar percaya ini untuk tidak melakukan lebih banyak kerusakan daripada yang Anda harapkan? Hal terakhir yang Anda inginkan adalah berada di radar peretas, dan / atau terkait dengan situs yang rentan.

IMHO, DDoS yang baik akan selalu menang ... khususnya jika Anda tidak memiliki rencana pemulihan bencana / kelanjutan bisnis yang baik.

Ini berasal dari seseorang yang hidup melalui DDoS (serangan amplifikasi DNS), ini bukan piknik dan meskipun sangat mengasyikkan, bukan apa-apa yang Anda inginkan terjadi pada jaringan / situs web / host Anda.

l0c0b0x
sumber
1

https://www.blitz.io/

Mereka dapat mensimulasikan serangan DDOS untuk Anda. Mereka menggunakan Amazon Web Services untuk mendapatkan sejumlah besar IP untuk mensimulasikan DDOS. Mempertimbangkan bahwa sebagian besar serangan DDOS menggunakan sejumlah besar server yang dikompromikan di berbagai wilayah geografis, akan sangat sulit untuk "mensimulasikan" serangan DDOS tanpa memiliki seluruh bot-net global.

Ada berbagai layanan yang dapat mensimulasikan serangan DOS beban tinggi. Beberapa sumber adalah:

https://httpd.apache.org/docs/2.0/programs/ab.html

"ab adalah alat untuk membuat tolok ukur server Apache Hypertext Transfer Protocol (HTTP) Anda. Perangkat ini dirancang untuk memberi Anda kesan kinerja instalasi Apache Anda saat ini. Ini terutama menunjukkan kepada Anda berapa banyak permintaan per detik yang dapat dilayani oleh instalasi Apache Anda. "

El Chapo Gluzman
sumber
Sepertinya Blitz tidak lagi menjadi pilihan, halaman depan mereka saat ini mengatakan "Blitz akan ditutup pada 1 Oktober 2018" :-(
Nexus
1

Solusi lain adalah menggunakan beeswithmachineguns. Ini adalah utilitas untuk mempersenjatai (membuat) banyak lebah (mikro EC2 instance) untuk menyerang (load test) target (aplikasi web).

Sekali lagi, tidak ada satu pun dari contoh ini yang akan benar-benar meniru serangan DDOS "nyata" karena taktik tertentu yang dapat Anda gunakan (yaitu memblokir rentang IP) tidak akan bekerja melawan botnet DDOS nyata dari IP yang dikompromikan di seluruh dunia.

El Chapo Gluzman
sumber