web-dev-qa-db-ja.com

DDoS攻撃をシミュレートするためのツール

強力なDDoSを維持できるかどうかウェブサイトをテストしたかったのですが、私のウェブサイトでそれらをシミュレートするためにどのツールを使用できるかわかりません。 DDoSのシミュレーションに使用されるツールは何ですか?

私は bonesi を見つけましたが、最後に更新されたのは2年前です。

ddos
13
Jürgen Paul

DDOS攻撃には基本的に3つのタイプがあります。

----->Application-layer DDOS attack
----->Protocol DOS attack
----->Volume-based DDOS attack

> Application layer

 DDOS attack: Application-layer DDOS attacks are attacks that target Windows,
               Apache, OpenBSD, or other software vulnerabilities 
               to perform the attack and crash the server.

> Protocol DDOS attack

DDOS attack : A protocol DDOS attacks is a DOS attack on the protocol level. 
               This category includes Synflood, Ping of Death, and more.

> Volume-based

 DDOS attack: This type of attack includes ICMP floods,
               UDP floods, and other kind of floods performed via spoofed packets.

サーバーをあふれさせ、サーバーのパフォーマンスをテストするために使用できる無料で利用できる多くのツールがあります。いくつかのツールは、DDOSを実行するためにゾンビネットワークもサポートしています。

  1. LOIC(低軌道イオンキャノン)

  2. XOIC

  3. HULK(HTTP耐えられないロードキング)

  4. DDOSIM—レイヤー7 DDOSシミュレーター

  5. R-U-Dead-Yet

  6. トールのハンマー

  7. PyLoris

  8. OWASP DOS HTTP POST

  9. [〜#〜] davoset [〜#〜]

  10. GoldenEye HTTPサービス拒否ツール

13
mightyteja

まず、シミュレートしようとしている攻撃の種類を定義する必要があります。
いくつかの一般的なオプションは次のとおりです。

  • TCP接続プールの枯渇
  • 帯域幅枯渇
  • CPU /メモリ枯渇

次に、そのタイプの攻撃をシミュレートするために使用できるツールを選択(または書き込み)します(HTTP負荷テストプログラムがよく使用されますが、専用のツールもそこにあります。それらをリストするつもりはありません。Googleも使用できます。できる限り。)

最後に、環境に対して攻撃を実行します。
これには、追加のマシン(内部テスト用)または複数の外部環境(外部の脅威を効果的にシミュレートするため)が必要になる場合があります。

重大な警告

ユーザーが停止の可能性を認識できるように、テストウィンドウをスケジュールして通知する必要があります。多くの場合、シミュレーションは実際のエラーを引き起こします。

ホスティングプロバイダーに最初に通知せずに環境に対してDoSシミュレーション/テスト攻撃を実行する必要がある状況下ではこれは、プロバイダーのネットワークを通過する外部/フルスタックテストに特に当てはまります。

7
voretaq7

あまり経験はありませんが、LOIC( http://sourceforge.net/projects/loic/ )を見てください。いくつかのクライアントをセットアップする必要がありますが、基本的に自分でDDoSを実行できるはずです。

1
Jim G.

「強力な」DDoS攻撃は環境との関連性が高く、管理された環境内ではなく、公開Webサイトについて話している場合、自分で複製することはほぼ不可能です。 DoS攻撃は1つのことです。実際の分散型サービス拒否攻撃をシミュレートするには、ボットネットの実際のテストベッドが必要です。これは、あなたが所有していない(<<)と確信しています。特定の「オフハッカーサイト」アプリケーションで使用できる無料/すべて無料のボットネットを見つけることは難しくありませんが、これらのボットネットが期待以上の損害を与えないことを本当に信頼すべきですか?あなたが望む最後のものは、ハッカーのレーダーにいる、および/または脆弱なサイトに関連付けられています。

私見、優れたDDoSは常に勝利します...特に、優れた災害復旧/事業継続計画がない場合は。

これは、DDoS(DNS増幅攻撃)を経験している人からのもので、ピクニックではなく、非常にエキサイティングですが、ネットワーク/ウェブサイト/ホストで発生したくないことです。

1
l0c0b0x

https://www.blitz.io/

彼らは一種のDDOS攻撃をシミュレートできます。彼らはアマゾンウェブサービスを使用して、DDOSをシミュレートするためにIPの束全体を取得します。ほとんどのDDOS攻撃は、さまざまな地域にわたって大量の危険にさらされたサーバーを使用することを考えると、グローバルボットネット全体を所有していなければ、DDOS攻撃を「シミュレート」することは非常に困難です。

ただし、高負荷のDOS攻撃をシミュレートできるさまざまなサービスがあります。いくつかのリソースは次のとおりです。

https://httpd.Apache.org/docs/2.0/programs/ab.html

「abは、Apacheハイパーテキスト転送プロトコル(HTTP)サーバーをベンチマークするためのツールです。これは、現在のApacheインストールのパフォーマンスの印象を与えるように設計されています。これは特に、Apacheインストールが処理できる1秒あたりのリクエスト数を示します。 」

1
El Chapo Gluzman

別の解決策はbeeswithmachinegunsを使用することです。多くのハチ(マイクロEC2インスタンス)を武装(作成)して、ターゲット(Webアプリケーション)を攻撃(ロードテスト)するためのユーティリティです。

繰り返しますが、使用する特定の戦術(IPの範囲をブロックするなど)は、世界中の侵害されたIPの実際のDDOSボットネットに対して機能しないため、これらのインスタンスはどれも「実際の」DDOS攻撃を真に再現しません。

1
El Chapo Gluzman