Quería probar mi sitio web si puede soportar DDoS fuertes, pero no sé qué herramientas podría usar para simularlos en mi sitio web. ¿Qué herramientas se utilizan para simular DDoS?
Encontré bonesi pero fue actualizado por última vez hace 2 años.
Básicamente hay tres tipos de ataques DDOS:
----->Application-layer DDOS attack
----->Protocol DOS attack
----->Volume-based DDOS attack
> Application layer
DDOS attack: Application-layer DDOS attacks are attacks that target Windows,
Apache, OpenBSD, or other software vulnerabilities
to perform the attack and crash the server.
> Protocol DDOS attack
DDOS attack : A protocol DDOS attacks is a DOS attack on the protocol level.
This category includes Synflood, Ping of Death, and more.
> Volume-based
DDOS attack: This type of attack includes ICMP floods,
UDP floods, and other kind of floods performed via spoofed packets.
Hay muchas herramientas disponibles de forma gratuita que se pueden utilizar para inundar un servidor y probar el rendimiento del servidor. Algunas herramientas también admiten una red zombie para realizar DDOS.
XOIC
DDOSIM: simulador DDOS de capa 7
POST HTTP OWASP DOS
Primero debes definir qué tipo de ataque estás tratando de simular.
Algunas opciones comunes incluyen:
Siguiente herramienta de selección (o escritura) que se puede utilizar para simular ese tipo de ataque (los programas HTTP Load Testing a menudo se usan, pero también hay herramientas dedicadas. No voy a enumerarlas, también puedes buscar en Google como puedo.)
Finalmente, ejecuta los ataques contra tu entorno.
Esto puede requerir máquinas adicionales (para una prueba interna) o múltiples entornos externos (para simular efectivamente una amenaza externa).
ADVERTENCIA IMPORTANTE GRANDE
Debe programar y anunciar su ventana de prueba para que los usuarios sean conscientes de la posibilidad de una interrupción. A menudo las simulaciones resultan en fallas reales.
Bajo NINGUNA circunstancia, debe ejecutar un ataque de simulación / prueba DoS contra su entorno sin notificar primero a su proveedor de alojamiento. Esto es especialmente cierto para las pruebas externas / full stack que se realizarán a través de la red de su proveedor.
fuente
No tengo mucha experiencia con él, pero eche un vistazo a LOIC ( http://sourceforge.net/projects/loic/ ). Tendrá que configurar una serie de clientes, pero debería poder hacer DDoS esencialmente usted mismo.
fuente
Un ataque DDoS 'fuerte' es altamente relativo a su entorno, y sería casi imposible de replicar por sí mismo si estamos hablando de un sitio web público y no dentro de un entorno controlado. Un ataque DoS es una cosa, para simular un ataque de denegación de servicio distribuido real, necesita un banco de pruebas real de botnet (es) que estoy seguro de que no posee (<<). No es difícil encontrar una red de bots gratuita / de pago para todos que pueda usar con ciertas aplicaciones 'fuera de los sitios de piratas informáticos', pero ¿confiaría / debería realmente confiar en que no harán más daño del que espera? Lo último que desea es estar en el radar de un hacker y / o estar asociado con un sitio vulnerable.
En mi humilde opinión, un buen DDoS siempre ganará ... especialmente si no tiene el buen plan de recuperación ante desastres / continuación del negocio.
Esto proviene de alguien que ha vivido un DDoS (ataque de amplificación de DNS), no es un día de campo y, aunque es muy emocionante, no es nada que quieras que le pase a tu red / sitio web / host.
fuente
https://www.blitz.io/
Pueden simular un ataque DDOS por ti. Utilizan los servicios web de Amazon para obtener una gran cantidad de IP para simular un DDOS. Teniendo en cuenta que la mayoría de los ataques DDOS utilizan grandes cantidades de servidores comprometidos en varias áreas geográficas, sería muy difícil "simular" un ataque DDOS sin estar en posesión de una red bot global completa.
Sin embargo, hay varios servicios que pueden simular un ataque DOS de alta carga. Algunos recursos son:
https://httpd.apache.org/docs/2.0/programs/ab.html
"ab es una herramienta para comparar su servidor de Protocolo de transferencia de hipertexto (HTTP) Apache. Está diseñado para darle una impresión de cómo funciona su instalación actual de Apache. Esto le muestra especialmente cuántas solicitudes por segundo es capaz de atender su instalación de Apache. "
fuente
Otra solución sería usar abejas con ametralladoras. Es una utilidad para armar (crear) muchas abejas (instancias micro EC2) para atacar (pruebas de carga) objetivos (aplicaciones web).
Una vez más, ninguna de estas instancias realmente replicará un ataque DDOS "real" porque ciertas tácticas que puede usar (es decir, bloquear rangos de IP) no funcionarán contra una verdadera red DDOS de IP comprometidas en todo el mundo.
fuente