Herramientas para simular ataques DDoS [cerrado]

13

Quería probar mi sitio web si puede soportar DDoS fuertes, pero no sé qué herramientas podría usar para simularlos en mi sitio web. ¿Qué herramientas se utilizan para simular DDoS?

Encontré bonesi pero fue actualizado por última vez hace 2 años.

Jürgen Paul
fuente

Respuestas:

13

Básicamente hay tres tipos de ataques DDOS:

----->Application-layer DDOS attack
----->Protocol DOS attack
----->Volume-based DDOS attack

> Application layer

 DDOS attack: Application-layer DDOS attacks are attacks that target Windows,
               Apache, OpenBSD, or other software vulnerabilities 
               to perform the attack and crash the server.

> Protocol DDOS attack

DDOS attack : A protocol DDOS attacks is a DOS attack on the protocol level. 
               This category includes Synflood, Ping of Death, and more.

> Volume-based

 DDOS attack: This type of attack includes ICMP floods,
               UDP floods, and other kind of floods performed via spoofed packets.

Hay muchas herramientas disponibles de forma gratuita que se pueden utilizar para inundar un servidor y probar el rendimiento del servidor. Algunas herramientas también admiten una red zombie para realizar DDOS.

  1. LOIC (Canon de iones de órbita baja)

  2. XOIC

  3. HULK (Rey de carga insoportable de HTTP)

  4. DDOSIM: simulador DDOS de capa 7

  5. RU-Dead-Yet

  6. Martillo de tor

  7. PyLoris

  8. POST HTTP OWASP DOS

  9. DAVOSET

  10. GoldenEye HTTP Herramienta de denegación de servicio

mightyteja
fuente
1
Aparentemente, LOIC tiene un virus
Alex W
1
Y los créditos van a resources.infosecinstitute.com/…
Diego Vieira
Hay un puerto GO de RUDY que también funciona bastante bien
Matt Fletcher
Muchos de estos enlaces están muertos o están cubiertos por advertencias de virus ...
Liam
7

Primero debes definir qué tipo de ataque estás tratando de simular.
Algunas opciones comunes incluyen:

  • Agotamiento del grupo de conexiones TCP
  • Agotamiento del ancho de banda
  • CPU / agotamiento de memoria

Siguiente herramienta de selección (o escritura) que se puede utilizar para simular ese tipo de ataque (los programas HTTP Load Testing a menudo se usan, pero también hay herramientas dedicadas. No voy a enumerarlas, también puedes buscar en Google como puedo.)

Finalmente, ejecuta los ataques contra tu entorno.
Esto puede requerir máquinas adicionales (para una prueba interna) o múltiples entornos externos (para simular efectivamente una amenaza externa).


ADVERTENCIA IMPORTANTE GRANDE

Debe programar y anunciar su ventana de prueba para que los usuarios sean conscientes de la posibilidad de una interrupción. A menudo las simulaciones resultan en fallas reales.

Bajo NINGUNA circunstancia, debe ejecutar un ataque de simulación / prueba DoS contra su entorno sin notificar primero a su proveedor de alojamiento. Esto es especialmente cierto para las pruebas externas / full stack que se realizarán a través de la red de su proveedor.

voretaq7
fuente
Perdón por ser sarcástico, pero sí, lo primero que haría un atacante es notificar a su proveedor.
berezovskyi
44
@ ABerezovskiy Asumiré que su sarcasmo se debe a que le falta el motivo de la notificación: la mayoría de los acuerdos de proveedores (literalmente, todos los que he firmado) prohíben este tipo de pruebas sin previo aviso. Si viola ese acuerdo y su prueba interrumpe el servicio de otras personas, se encontrará fuera de la red y posiblemente enfrentará acciones legales. Un atacante no tiene nada que perder en esta situación, un administrador de sistemas o una empresa tiene todo que perder.
voretaq7
1
Tiene toda la razón con respecto a los asuntos legales y las consecuencias. Sin embargo, la razón principal por la que se llevan a cabo estas pruebas es para estar preparado para ataques inesperados y, a menudo, los proveedores baratos que cuentan con protección DDoS lo desviarían después de 10 minutos del ataque. En muchos casos, realmente prueba la respuesta del proveedor. Una comprobación rápida de la página de inicio de Kimsufi: Anti-DDos protegido y conectado a una red global de alto rendimiento . TOS: OVH se reserva el derecho de interrumpir el Servicio al Cliente si representa una amenaza [...] para la estabilidad de la infraestructura de OVH.
berezovskyi
Creo que podría usar ambos enfoques dependiendo de lo que realmente quiera probar: una prueba de esfuerzo transparente en un entorno de espacio aislado o un ataque / prueba instrumentado de manera adecuada y ética para la preparación de la organización para enfrentar la crisis. Esas son 2 pruebas diferentes con objetivos distintos.
Amy Pellegrini
1

No tengo mucha experiencia con él, pero eche un vistazo a LOIC ( http://sourceforge.net/projects/loic/ ). Tendrá que configurar una serie de clientes, pero debería poder hacer DDoS esencialmente usted mismo.

Jim G.
fuente
Esta es una herramienta DoS que explota el protocolo HTTP para derribar servidores web (básicamente abre toneladas de conexiones pero nunca las completa). No funcionará para un caso de prueba.
Nathan C
1

Un ataque DDoS 'fuerte' es altamente relativo a su entorno, y sería casi imposible de replicar por sí mismo si estamos hablando de un sitio web público y no dentro de un entorno controlado. Un ataque DoS es una cosa, para simular un ataque de denegación de servicio distribuido real, necesita un banco de pruebas real de botnet (es) que estoy seguro de que no posee (<<). No es difícil encontrar una red de bots gratuita / de pago para todos que pueda usar con ciertas aplicaciones 'fuera de los sitios de piratas informáticos', pero ¿confiaría / debería realmente confiar en que no harán más daño del que espera? Lo último que desea es estar en el radar de un hacker y / o estar asociado con un sitio vulnerable.

En mi humilde opinión, un buen DDoS siempre ganará ... especialmente si no tiene el buen plan de recuperación ante desastres / continuación del negocio.

Esto proviene de alguien que ha vivido un DDoS (ataque de amplificación de DNS), no es un día de campo y, aunque es muy emocionante, no es nada que quieras que le pase a tu red / sitio web / host.

l0c0b0x
fuente
1

https://www.blitz.io/

Pueden simular un ataque DDOS por ti. Utilizan los servicios web de Amazon para obtener una gran cantidad de IP para simular un DDOS. Teniendo en cuenta que la mayoría de los ataques DDOS utilizan grandes cantidades de servidores comprometidos en varias áreas geográficas, sería muy difícil "simular" un ataque DDOS sin estar en posesión de una red bot global completa.

Sin embargo, hay varios servicios que pueden simular un ataque DOS de alta carga. Algunos recursos son:

https://httpd.apache.org/docs/2.0/programs/ab.html

"ab es una herramienta para comparar su servidor de Protocolo de transferencia de hipertexto (HTTP) Apache. Está diseñado para darle una impresión de cómo funciona su instalación actual de Apache. Esto le muestra especialmente cuántas solicitudes por segundo es capaz de atender su instalación de Apache. "

El Chapo Gluzman
fuente
Parece que Blitz ya no es una opción, su página principal actualmente dice "Blitz se cerrará el 1 de octubre de 2018" :-(
Nexus
1

Otra solución sería usar abejas con ametralladoras. Es una utilidad para armar (crear) muchas abejas (instancias micro EC2) para atacar (pruebas de carga) objetivos (aplicaciones web).

Una vez más, ninguna de estas instancias realmente replicará un ataque DDOS "real" porque ciertas tácticas que puede usar (es decir, bloquear rangos de IP) no funcionarán contra una verdadera red DDOS de IP comprometidas en todo el mundo.

El Chapo Gluzman
fuente