DDoS攻撃をシミュレートするツール[終了]

13

強力なDDoSを維持できるかどうかウェブサイトをテストしたかったのですが、ウェブサイトでシミュレートするためにどのツールを使用できるかわかりません。DDoSのシミュレーションにはどのツールが使用されますか?

bonesiを見つけましたが、2年前に最後に更新されました。

ddos 
ユルゲン・ポール
ソース

回答:

13

基本的に3種類のDDOS攻撃があります。

----->Application-layer DDOS attack
----->Protocol DOS attack
----->Volume-based DDOS attack

> Application layer

 DDOS attack: Application-layer DDOS attacks are attacks that target Windows,
               Apache, OpenBSD, or other software vulnerabilities 
               to perform the attack and crash the server.

> Protocol DDOS attack

DDOS attack : A protocol DDOS attacks is a DOS attack on the protocol level. 
               This category includes Synflood, Ping of Death, and more.

> Volume-based

 DDOS attack: This type of attack includes ICMP floods,
               UDP floods, and other kind of floods performed via spoofed packets.

サーバーをavailable濫させ、サーバーのパフォーマンスをテストするために使用できる無料のツールが多数あります。いくつかのツールは、DDOSを実行するためにゾンビネットワークもサポートしています。

  1. LOIC(低軌道イオンキャノン)

  2. XOIC

  3. HULK(HTTP Unbearable Load King)

  4. DDOSIM—レイヤー7 DDOSシミュレーター

  5. RU-Dead-Yet

  6. トーアのハンマー

  7. パイロリス

  8. OWASP DOS HTTPポスト

  9. ダボセット

  10. GoldenEye HTTPサービス拒否ツール

マイティテジャ
ソース
1
どうやらLOICにはウイルスが含まれているようです
アレックスW
1
ディエゴビエイラ
非常にうまく機能するRUDYのGOポートもあります
マットフレッチャー
これらのリンクの多くは死んでいるか、ウイルスの警告で覆われています
リアム
7

最初に、シミュレートしようとしている攻撃の種類を定義する必要があります。
一般的なオプションには次のものがあります。

  • TCP接続プールの枯渇
  • 帯域幅の枯渇
  • CPU /メモリの枯渇

次に、そのタイプの攻撃をシミュレートするために使用できるツールを選択(または作成)します(HTTP負荷テストプログラムがよく使用されますが、専用のツールもあります。リストに掲載しません-Googleも同様です)できる限り)

最後に、環境に対して攻撃を実行します。
これには、追加のマシン(内部テスト用)または複数の外部環境(外部の脅威を効果的にシミュレートするため)が必要になる場合があります。

大きな重要な警告

ユーザーが停止の可能性に気付くように、テストウィンドウをスケジュールして発表する必要があります。多くの場合、シミュレーションでは実際の障害が発生します。

NO状況では、ホスティングプロバイダーに最初に通知することなく、環境に対してDoSシミュレーション/テスト攻撃を実行する必要があります。 これは、プロバイダーのネットワークを通過する外部/フルスタックテストに特に当てはまります。

voretaq7
ソース
皮肉なことで申し訳ありませんが、ええ、攻撃者が最初にすることはプロバイダーに通知することです。
-berezovskyi
4
@ABerezovskiyあなたの皮肉は、あなたが通知の理由を逃しているからだと思います:ほとんどのプロバイダー契約(文字通り私が署名したものすべて)は事前の通知なしにこの種のテストを禁止しています。その契約に違反し、テストによって他の人のサービスが中断された場合、ネットワークから脱落し、法的措置に直面する可能性があります。この状況では、攻撃者は失うものは何もありません。システム管理者または会社は失うものがすべてあります。
voretaq7
1
あなたは法的問題と結果に関して完全に正しいです。ただし、このようなテストが行​​われる主な理由は、予期しない攻撃に備え、多くの場合、DDoS保護を誇る安価なプロバイダーが攻撃の10分後にnullルーティングすることです。多くの場合、実際にプロバイダーの応答をテストします。Kimsufiのランディングページの簡単なチェック:高性能なグローバルネットワークに保護され、接続されているAnti-DDos。TOS:OVHは、OVHインフラストラクチャの安定性を脅かす[...]場合、顧客のサービスを中断する権利を留保します。
-berezovskyi
本当にテストしたいものに応じて、両方のアプローチを使用できると思います。サンドボックス環境での透過的なストレステスト、または危機に対処する組織の準備のための適切/倫理的に計装された攻撃/テスト。これらは、個別のターゲットを持つ2つの異なるテストです。
エイミーペレグリーニ
1

あまり経験はありませんが、LOIC(http://sourceforge.net/projects/loic/)を見てください。多くのクライアントをセットアップする必要がありますが、基本的に自分でDDoSを実行できるはずです。

ジム・G
ソース
これは、HTTPプロトコルを利用してWebサーバーを停止させるDoSツールです(基本的には、大量の接続を開きますが、完了させることはありません)。テストケースでは機能しません。
ネイサンC
1

「強力な」DDoS攻撃は環境に大きく関連しているため、管理された環境内ではなく公開Webサイトについて話している場合、自分で複製することはほぼ不可能です。DoS攻撃は1つのことです。実際の分散型サービス拒否攻撃をシミュレートするには、所有していないと確信しているボットネットの実際のテストベッドが必要です(<<)。特定の「ハッカー以外のサイト」アプリケーションで使用できる無料/すべて無料のボットネットを見つけることは難しくありませんが、予想以上の損害を与えないことを本当に信頼するでしょうか?最後に望むのは、ハッカーのレーダーにいること、および/または脆弱なサイトに関連付けられていることです。

私見、良いDDoSは常に勝ちます...特にあなたが良い災害復旧/ビジネス継続計画を持っていないなら。

これは、DDoS(DNS増幅攻撃)を経験した人から来たもので、ピクニックではなく、非常に刺激的でありながら、ネットワーク/ウェブサイト/ホストに何も起こりません。

l0c0b0x
ソース
1

https://www.blitz.io/

DDOS攻撃をシミュレートすることができます。Amazon Web Servicesを使用して、DDOSをシミュレートするためにIPの束を取得します。ほとんどのDDOS攻撃は、さまざまな地理的領域にわたって大量の侵害されたサーバーを使用することを考えると、グローバルなボットネット全体を所有せずにDDOS攻撃を「シミュレート」することは非常に困難です。

ただし、高負荷のDOS攻撃をシミュレートできるさまざまなサービスがあります。いくつかのリソースは次のとおりです。

https://httpd.apache.org/docs/2.0/programs/ab.html

「abは、Apache Hypertext Transfer Protocol(HTTP)サーバーのベンチマークを行うためのツールです。現在のApacheインストールがどのように実行されるかを印象付けるために設計されています。 」

エルチャポグルズマン
ソース
Blitzはもはや選択肢ではないようです。現在、彼らのフロントページには「Blitzは2018年10月1日に閉鎖されます」と書かれています:
Nexus
1

別の解決策は、ミツバチと機関銃を使用することです。これは、多くのミツバチ(マイクロEC2インスタンス)を武装(作成)して、ターゲット(Webアプリケーション)を攻撃(ロードテスト)するためのユーティリティです。

繰り返しますが、これらのインスタンスはいずれも、実際のDDOS攻撃を真に複製するものではありません。使用する特定の戦術(IPの範囲をブロックする)が、世界中の侵害されたIPの実際のDDOSボットネットに対して機能しないためです。

エルチャポグルズマン
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.