インターネットからのDDoS攻撃をシミュレートする方法は？

Question

セキュリティテストの背後にある考え方は簡単です。あなたはハッカーが何ができるかを知りたいです-ハッカーのように振る舞うセキュリティ専門家を雇って、ハッカーがどこまで到達できるかを確認します。悪意のある管理者が何ができるかを知りたい-あなたのセキュリティ専門家は管理者特権を取得し、彼の仕事をそのようにしています。

監査を実行する方法は他にもあり、おそらくより良い方法があることは承知していますが、これらは機能する一般的なアプローチです。残念ながら、脅威が1人またはハッカーのチームではなく、多かれ少なかれインテリジェントなリクエストでスパムを送信する分散型ボットネットワークである場合、困難になります。このようなシナリオをどのようにテストできますか？インフラストラクチャの準備ができていて、システムがDDoS攻撃からのある程度の圧力に耐えられると確信しているとしましょう。次に、私の期待を確認し、インターネットからDDoSテストを実行します。

どこで合法的にDDoSシミュレータを入手できますか？違法なボットネットからリソースを購入したくありません。この分野の専門家とのみ協力したいと思っています。あなたのためにそのようなテストを実行する会社はありますか、または少なくともDDoS攻撃をシミュレートするのに十分強力なシステムをレンタルできますか？私は、プロバイダーなどの関係者全員に通知するなどの法的問題を認識しています。この質問は、そのようなテストを実行する方法に焦点を当てています。私もnotができる会社のリストを探しています。この分野の最新技術と、市場で利用可能なサービスに興味があります。

Jeff Ferland · Accepted Answer

パケットジェネレーターの使用と、対応する数のシステムがパケットを生成して、求める負荷に一致すると思います。パケットの送信元アドレスにはランダムな有効なIPアドレスを使用してください。フィルターをかけるときは、かなりイライラするはずです。

ISPのリンクに少しも送信することなく、これらすべてを実行できます。サービスではなく帯域幅が最大になるような方法でDDOSを取得する場合、ISPはリンクに到達する前にトラフィックを遮断する必要があります。

Steve · Answer

あなたはそれを行うことができる会社を探していませんが、どのサービスが利用可能か興味がありますか？明確にできますか？

あなたが本当に求めているのは、この特定の場合の負荷テストです。サーバーは何人のユーザー（可能な限り多くのユーザーにアクセス）に耐えられますか？すべてのしきい値でそれはすべてがらくたになりますか？基本的には、少数の「ユーザー」から開始し、サイトが放棄するまで増分します。

このようなテストを実行するときは常に、AmazonでホストされているVisual Studio負荷テストエージェントを使用します。これにより、システムが応答するというかなり良いアイデアが得られます。もちろん、Visual Studioには多くの代替手段があります-それは私たちが使用するものにすぎません。

bstpierre · Answer

私はDDoSのシミュレーションを含むVoIPアプリの負荷テストを行いましたが、テストラボの外にトラフィックを通過させることはありません。

別の回答では、パケットジェネレータについて言及しています。これを行うための機器（smartbitsなど）を購入またはレンタルしたり、必要なトラフィックを生成するコードを記述したりできます。かわいそうな人のWeb負荷テスターは、（複数のトラフィックソースをシミュレートするために）構成されたさまざまなネットワークインターフェイスとWebアプリにアクセスするためのいくつかのカール（またはその他の）スクリプトを備えたLinuxボックス（またはその一部）と同じくらい簡単です。パケットジェネレーターは、生のパケットを発信するマルチスレッドアプリ（ libnet を参照）にして、パケットのソースとタイプを変えることができます。ボックスを追加して負荷を追加します（または、ボックスがCPUバウンドではなく帯域幅バウンドの場合は、NICを追加します）。

tylerl · Answer

DDoS防御戦略には2つの異なるタイプがあり、それぞれが異なるタイプの負荷に異なる反応をします。したがって、保護したいトラフィックのタイプに対してテストを現実的にする必要があります。

圧倒的な容量
1つの防御メカニズムは、単に攻撃者よりも多くの容量を持つことです。これは非常にシンプルで堅牢ですが、非常に高価です。このタイプのシステムをテストするには、サーバーが大量のトラフィック負荷に耐える能力をテストするだけなので、古い負荷ジェネレーターを使用するだけで済みます。

識別して削除
もう1つの一般的なメカニズムは、DDoSトラフィックを識別してサーバーに到達しないようにすることです。これは、上記よりも簡単で、安価で、非常に壊れやすいものです。この場合のテストとは、検査およびドロップできるトラフィックの量と、検査手法の品質の両方をテストすることです。これをテストするには、いくつかのrealDDoSソフトウェアを見つけて、（google Gootkit ddos systemたとえば、いくつかのコードを検索します）。次に、数十の仮想サーバーをしばらくの間、さまざまなクラウドプロバイダーからレンタルし、攻撃を実行します。テストするDDoSシステムが多いほど、予防策を信頼できるようになります。

Rory Alsop · Answer

ISPのかなりの数が、負荷テスト機能の一部としてこれを提供しています。 DDoS保護企業は、負荷テストをサービスとして提供する傾向もあります。