Otázka:
Jak simulovat DDoS útoky z internetu?
Demento
2011-10-12 20:09:49 UTC
view on stackexchange narkive permalink

Myšlenka testů zabezpečení je snadná. Chcete vědět, co může hacker udělat - najmete si bezpečnostního experta, který se chová jako hacker, aby zjistil, jak daleko se může dostat. Chcete vědět, co může zlý administrátor udělat - vaši bezpečnostní experti získají administrátorská oprávnění a vykonávají svou práci tímto způsobem.

Jsem si vědom, že existují další a možná i lepší způsoby provedení auditu, ale tyto jsou společné přístupy, které fungují. Bohužel je obtížné, když hrozbou není jedna osoba nebo tým hackerů, ale distribuovaná síť botů, která vás spamuje více či méně inteligentními požadavky. Jak můžete takový scénář otestovat? Řekněme, že mám připravenou infrastrukturu a jsem si jist, že moje systémy vydrží určitý tlak z DDoS útoku. Nyní chci ověřit svá očekávání a provést test DDoS z Internetu.

Kde mohu legálně získat simulátor DDoS? Nechci nakupovat zdroje z nelegálního bot-netu a chci pracovat pouze s odborníky v této oblasti. Existují společnosti, které takové testy provádějí za vás, nebo si můžete alespoň pronajmout systémy, které jsou dostatečně silné, aby simulovaly DDoS útok? Jsem si vědom právních otázek, jako je informování všech zúčastněných stran, jako jsou poskytovatelé a podobně - tato otázka je zaměřena na to, jak lze takový test provést. Také ne hledám seznam společností, které by to dokázaly, zajímalo by mě, co je v této oblasti nejmodernější a jaké služby jsou dostupné na trhu.

Jak to, že nikdo nezmínil [LOIC] (http://sourceforge.net/projects/loic/)?
můžete také vyzkoušet comsec a jejich komsimulátor: mohou vygenerovat DDos s velikostí vašeho typu;)
Pro zátěžové testování webových aplikací, které jsem vytvořil, jsem použil dvě různé aplikace. [Apache Bench] (https://httpd.apache.org/docs/2.0/programs/ab.html) [Seige] (http://www.joedog.org/index/siege-home) Mohou nebo nemusí stačí otestovat vaše síťové potrubí proti velkému DDoS, ale jejich běh na několika různých vnějších boxech vás může dostat na hřiště.
[blitz.io] (http://blitz.io/) jsou jednou ze společností nabízejících tuto službu, i když se zdá, že jde většinou o testování zátěže na webu. Věřím, že používají [Amazon Web Services] (http://aws.amazon.com/) k dosažení vysokého zatížení, které požadují.
Můžete zkusit něco jako [Včely se samopaly] (https://github.com/newsapps/beeswithmachineguns „Včely se samopaly“), které roztočí spoustu instancí EC2 k útoku / zátěžovému testu cíle. Zjevně to používejte pouze proti webům, které vlastníte nebo máte oprávnění k cílení, jinak vás Amazon pravděpodobně zablokuje z vašeho účtu.
Pokud hledáte profesionální službu, která to může udělat za vás, podívejte se na RedWolf Security - http://www.redwolfsecurity.com/#!ddos_testing/cqd6 Slyšel jsem o jejich službách dobré věci, i když jsem nepoužili to a nepracuji pro ně.
Podle mých zkušeností jsem narazil na [Low Orbit Ion Cannon] (http://en.wikipedia.org/wiki/Low_Orbit_Ion_Cannon). je to běžný nástroj pro útoky ddos. Věřím, že je to nyní open source.
Pět odpovědi:
Jeff Ferland
2011-10-12 20:33:14 UTC
view on stackexchange narkive permalink

Myslím, že se snažíte použít generátor paketů a odpovídající počet systémů generujících pakety, aby odpovídaly vámi hledané zátěži. Pro zdrojové adresy paketů používejte náhodné platné adresy IP a měli byste se dostat docela naštvaní, když přijde čas na filtrování.

Všechno to můžete udělat, aniž byste někdy poslali trochu přes odkaz svého poskytovatele. Pokud získáte DDOS'd takovým způsobem, že se šířka pásma maximalizuje, nikoli služby, pak váš ISP bude muset udusit provoz před tím, než dosáhne vašeho odkazu.

Jen si pamatujte, že v případě, že ISP tlumí provoz, je útok (D) DOS úspěšný v tom smyslu, že váš server je nedostupný, i když by další provoz zvládl.
Steve
2011-10-12 20:32:09 UTC
view on stackexchange narkive permalink

Nehledáte společnosti, které by to dokázaly, ale zajímá vás, jaké služby jsou k dispozici? Můžete objasnit?

To, co opravdu požadujete, je v tomto konkrétním případě zátěžové testování. Kolik uživatelů (s maximálním přístupem) serverům vydrží? Na jaké hranici to všechno vyprší? V zásadě začínáte u malého počtu „uživatelů“ a zvyšujete, dokud se web nevzdá.

Kdykoli provádíme takovéto testy, používáme agenty testování zátěže Visual Studio hostované v Amazonu, což nám dává docela dobrou představu o systémy budou reagovat. Existuje samozřejmě mnoho alternativ k Visual Studio - je to právě to, co používáme.

+1: Děkujeme za termín testování zátěže, který to docela dobře popisuje. Pokud jde o vaši otázku - žádám o odpovědi typu „společnosti nabízejí zátěžové testy, které mohou generovat dostatek požadavků na to, aby váš firewall stresovaly“, a nikoli „zeptejte se společnosti XYZ, mohou vám nabídnout nabídku“. Chci se vyhnout odpovědím, které jsou psány pouze na propagaci společnosti a udržení vysoké kvality.
Myslím, že se tomu říká * zátěžové testování * ne * zátěžové testování *. Pokud jsem četl, * testování zátěže * testuje při docela normálním zatížení, ale zátěžové testování je, když maximalizujete své stroje.
bstpierre
2011-10-13 00:12:08 UTC
view on stackexchange narkive permalink

Provedl jsem zátěžové testování aplikací voip, včetně simulace DDoS, aniž bych předával jakýkoli provoz mimo testovací laboratoř.

Další odpověď zmiňuje generátory paketů. K tomu si můžete koupit nebo pronajmout vybavení (např. Smartbits), nebo můžete napsat kód pro generování potřebného provozu. Tester chudého člověka na načítání webu je stejně jednoduchý jako linuxový box (nebo hrstka z nich) se spoustou různých síťových rozhraní nakonfigurovaných (pro simulaci více zdrojů provozu) a několika zvlněnými (nebo jinými) skripty, které zasáhnou vaši webovou aplikaci. Můžete se dostat tak sofistikovaně, jak chcete - vaším generátorem paketů může být aplikace s více vlákny, která vyzařuje surové pakety (viz libnet), aby mohla měnit zdroje a typy paketů. Přidejte zátěž přidáním polí (nebo pokud jsou vaše pole vázána na šířku pásma namísto CPU), přidejte síťovou kartu).

Rory Alsop
2011-10-13 00:22:12 UTC
view on stackexchange narkive permalink

Poměrně málo z nabídky ISP to nabízí jako součást své funkce testování zátěže. Společnosti zabývající se ochranou DDoS mají také tendenci poskytovat test zátěže jako službu.

tylerl
2012-03-26 01:44:52 UTC
view on stackexchange narkive permalink

Existují dva různé typy strategií ochrany DDoS a každý z nich reaguje odlišně na různé typy zatížení. Musíte tedy provést test realisticky s ohledem na typ provozu, proti kterému se chcete chránit.

Převážná kapacita
Jedním z obranných mechanismů je jednoduše mít větší kapacitu než váš útočník . To je velmi jednoduché a velmi robustní, ale také velmi drahé. Chcete-li otestovat tento typ systému, můžete použít jakýkoli starý generátor zátěže, protože právě testujete schopnost svých serverů odolat vysokému zatížení.

Identifikace a zrušení
Dalším populárním mechanismem je identifikace provozu DDoS a zabránění přístupu k vašim serverům. To je jednodušší, levnější a výrazně křehčí než výše. Testování v tomto případě znamená testování jak objemu provozu, který lze zkoumat a klesat, tak také kvality vyšetřovacích technik. Chcete-li to otestovat, musíte najít nějaký skutečný software DDoS, který chcete otestovat (například Google systém Gootkit ddos ​​). Poté si na chvíli pronajměte několik desítek virtuálních serverů od různých poskytovatelů cloudu a spusťte útok. Čím více systémů DDoS testujete, tím lépe můžete důvěřovat svým preventivním opatřením.



Tyto otázky a odpovědi byly automaticky přeloženy z anglického jazyka.Původní obsah je k dispozici na webu stackexchange, za který děkujeme za licenci cc by-sa 3.0, pod kterou je distribuován.
Loading...