Outils pour simuler les attaques DDoS [fermé]


13

Je voulais tester mon site Web s'il peut supporter de solides DDoS, mais je ne sais pas quels outils puis-je utiliser pour les simuler dans mon site Web. Quels outils sont utilisés pour simuler les DDoS?

J'ai trouvé bonesi mais il a été mis à jour pour la dernière fois il y a 2 ans.

Réponses:


13

Il existe essentiellement trois types d'attaques DDOS:

----->Application-layer DDOS attack
----->Protocol DOS attack
----->Volume-based DDOS attack

> Application layer

 DDOS attack: Application-layer DDOS attacks are attacks that target Windows,
               Apache, OpenBSD, or other software vulnerabilities 
               to perform the attack and crash the server.

> Protocol DDOS attack

DDOS attack : A protocol DDOS attacks is a DOS attack on the protocol level. 
               This category includes Synflood, Ping of Death, and more.

> Volume-based

 DDOS attack: This type of attack includes ICMP floods,
               UDP floods, and other kind of floods performed via spoofed packets.

Il existe de nombreux outils disponibles gratuitement qui peuvent être utilisés pour inonder un serveur et tester les performances du serveur. Quelques outils prennent également en charge un réseau zombie pour exécuter DDOS.

  1. LOIC (Canon à orbite basse)

  2. XOIC

  3. HULK (HTTP Insupportable Load King)

  4. DDOSIM - Simulateur DDOS de couche 7

  5. RU-Dead-Yet

  6. Marteau de Tor

  7. PyLoris

  8. POST HTTP OWASP DOS

  9. DAVOSET

  10. Outil de déni de service HTTP GoldenEye


1
Apparemment, LOIC contient un virus
Alex W


Il y a un port GO de RUDY qui fonctionne très bien aussi
Matt Fletcher

Beaucoup de ces liens sont morts ou sont couverts d'avertissements de virus ...
Liam

7

Vous devez d'abord définir le type d'attaque que vous essayez de simuler.
Certaines options courantes incluent:

  • Épuisement du pool de connexions TCP
  • Épuisement de la bande passante
  • Épuisement CPU / mémoire

Outils de sélection (ou d'écriture) suivants pouvant être utilisés pour simuler ce type d'attaque (les programmes de test de charge HTTP sont souvent utilisés, mais il existe également des outils dédiés. Je ne vais pas les énumérer - vous pouvez également utiliser Google comme je peux.)

Enfin, exécutez les attaques contre votre environnement.
Cela peut nécessiter des machines supplémentaires (pour un test interne) ou plusieurs environnements externes (pour simuler efficacement une menace externe).


GRAND AVERTISSEMENT IMPORTANT

Vous devez planifier et annoncer votre fenêtre de test afin que les utilisateurs soient conscients de la possibilité d'une panne. Souvent, les simulations entraînent des échecs réels.

En AUCUNE circonstance, vous ne devez exécuter une attaque de simulation / test DoS contre votre environnement sans en informer au préalable votre hébergeur. Cela est particulièrement vrai pour les tests de pile externes / complets qui passeront par le réseau de votre fournisseur.


Désolé d'être sarcastique, mais oui, la première chose qu'un attaquant ferait serait d'avertir votre fournisseur.
berezovskyi

4
@ABerezovskiy Je vais supposer que votre sarcasme est dû au fait que vous manquez la raison de la notification: la plupart des accords avec les fournisseurs (littéralement tous ceux que j'ai signés) interdisent ce type de test sans préavis. Si vous ne respectez pas cet accord et que votre test perturbe le service des autres, vous vous retrouverez abandonné du réseau, et éventuellement passible de poursuites judiciaires. Un attaquant n'a rien à perdre dans cette situation, un administrateur système ou une entreprise a tout à perdre.
voretaq7

1
vous avez totalement raison en ce qui concerne les questions juridiques et les conséquences. Cependant, la raison principale pour laquelle de tels tests sont effectués est d'être préparé à des attaques inattendues et les fournisseurs souvent bon marché qui offrent une protection DDoS vous acheminent sur zéro après 10 minutes d'attaque. Dans de nombreux cas, vous testez réellement la réponse du fournisseur. Une vérification rapide de la page de destination de Kimsufi: Anti-DDos protégé et connecté à un réseau mondial hautement performant . TOS: OVH se réserve le droit d'interrompre le Service Client s'il constitue une menace [...] pour la stabilité de l'infrastructure OVH.
berezovskyi

Je pense que vous pourriez utiliser les deux approches en fonction de ce que vous voulez vraiment tester: un test de stress transparent dans un environnement en bac à sable, ou une attaque / test correctement / éthiquement instrumenté pour la préparation de l'organisation à faire face à la crise. Ce sont 2 tests différents avec des cibles distinctes.
Amy Pellegrini

1

Je n'ai pas beaucoup d'expérience avec cela, mais jetez un oeil à LOIC ( http://sourceforge.net/projects/loic/ ). Vous devrez configurer un certain nombre de clients, mais vous devriez être en mesure d'effectuer vous-même essentiellement des DDoS.


Il s'agit d'un outil DoS qui exploite le protocole HTTP pour faire tomber les serveurs Web (ouvrant essentiellement des tonnes de connexions mais ne les terminant jamais). Ne fonctionnera pas pour un cas de test.
Nathan C

1

Une attaque DDoS «forte» est très relative à votre environnement et serait presque impossible à reproduire par vous-même si nous parlons d'un site Web public et non dans un environnement contrôlé. Une attaque DoS est une chose, afin de simuler une véritable attaque par déni de service distribué, vous avez besoin d'un véritable banc d'essai de botnet (s) dont vous n'êtes sûrement pas propriétaire (<<). Il n'est pas difficile de trouver des réseaux de zombies gratuits / payants pour tous que vous pouvez utiliser avec certaines applications de «sites de piratage», mais feriez-vous vraiment confiance à ceux-ci pour ne pas faire plus de dégâts que vous ne le pensez? La dernière chose que vous voulez, c'est être dans le radar d'un pirate informatique et / ou être associé à un site vulnérable.

À mon humble avis, un bon DDoS gagnera toujours ... surtout si vous n'avez pas le bon plan de reprise après sinistre / poursuite des activités.

Cela vient de quelqu'un qui a vécu un DDoS (attaque d'amplification DNS), ce n'est pas un pique-nique et même si c'est très excitant, rien de ce que vous voulez n'est arrivé à votre réseau / site Web / hôte.


1

https://www.blitz.io/

Ils peuvent en quelque sorte simuler une attaque DDOS pour vous. Ils utilisent Amazon Web Services pour obtenir un tas d'IP pour simuler un DDOS. Étant donné que la plupart des attaques DDOS utilisent de grandes quantités de serveurs compromis dans diverses zones géographiques, il serait très difficile de «simuler» une attaque DDOS sans être en possession d'un réseau de robots mondial complet.

Il existe cependant divers services qui peuvent simuler une attaque DOS à charge élevée. Quelques ressources sont:

https://httpd.apache.org/docs/2.0/programs/ab.html

"ab est un outil d'analyse comparative de votre serveur HTTP (Apache Hypertext Transfer Protocol). Il est conçu pour vous donner une idée du fonctionnement de votre installation Apache actuelle. Cela vous montre en particulier le nombre de requêtes par seconde que votre installation Apache est capable de traiter. "


Il semble que Blitz ne soit plus une option, leur première page indique actuellement "Blitz fermera ses portes le 1er octobre 2018" :-(
Nexus

1

Une autre solution serait d'utiliser des abeilles avec des mitrailleuses. C'est un utilitaire pour armer (créer) de nombreuses abeilles (instances micro EC2) pour attaquer (test de charge) des cibles (applications web).

Encore une fois, aucune de ces instances ne reproduira véritablement une "vraie" attaque DDOS car certaines tactiques que vous pouvez utiliser (par exemple, le blocage des plages d'adresses IP) ne fonctionneront pas contre un véritable botnet DDOS d'IP compromises à travers le monde.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.