it-swarm.it

Come simulare gli attacchi DDoS da Internet?

L'idea alla base dei test di sicurezza è semplice. Vuoi sapere cosa può fare un hacker: assumi un esperto di sicurezza che si comporta come un hacker per vedere fino a che punto può arrivare. Vuoi sapere cosa può fare un amministratore malvagio: i tuoi esperti di sicurezza ottengono i privilegi di amministratore e fanno il suo lavoro in quel modo.

Sono consapevole che esistono altri modi e forse migliori per eseguire un audit, ma questi sono approcci comuni che funzionano. Sfortunatamente diventa difficile quando la minaccia non è una singola persona o una squadra di hacker, ma una rete bot distribuita che ti invia richieste più o meno intelligenti. Come puoi testare un simile scenario? Diciamo che ho la mia infrastruttura pronta e sono fiducioso che i miei sistemi possano sopportare una certa pressione da un attacco DDoS. Ora voglio verificare le mie aspettative ed eseguire un test DDoS da Internet.

Dove posso ottenere legalmente un simulatore DDoS? Non voglio acquistare risorse da una bot-net illegale e voglio solo lavorare con esperti in questo campo. Ci sono aziende che eseguono tali test per te o puoi almeno noleggiare sistemi abbastanza potenti da simulare un attacco DDoS? Sono a conoscenza di questioni legali come l'informazione di tutte le parti coinvolte come i fornitori e simili - questa domanda è focalizzata su come un tale test può essere eseguito. Sono anche non alla ricerca di un elenco di aziende in grado di farlo, sono interessato a conoscere lo stato dell'arte in questo campo e quali servizi sono disponibili sul mercato.

22
Demento

Penso che tu cerchi l'uso di un generatore di pacchetti e un numero corrispondente di sistemi che generano pacchetti per abbinare il carico che cerchi. Usa indirizzi IP validi casuali per gli indirizzi sorgente dei pacchetti e dovresti essere abbastanza seccato quando arriva il momento di filtrare.

Puoi fare tutto ciò senza mai inviare un po 'attraverso il link del tuo ISP. Se ricevi DDOS in modo tale da massimizzare la larghezza di banda anziché i servizi, il tuo ISP dovrà soffocare il traffico prima che raggiunga il tuo collegamento.

17
Jeff Ferland

Non stai cercando aziende in grado di farlo, ma sei interessato a quali servizi sono disponibili? Puoi chiarire?

Quello che stai veramente chiedendo è il test di carico in questo caso particolare. Quanti utenti (accedendo il più possibile) possono sopportare i server? A quale soglia cagano tutti? Fondamentalmente si inizia con un numero limitato di "utenti" e si incrementa fino a quando il sito non si arrende.

Ogni volta che eseguiamo test come questo, utilizziamo agenti di test di carico di Visual Studio ospitati in Amazon, il che ci dà un'idea abbastanza buona dei sistemi che risponderanno. Esistono ovviamente molte alternative a Visual Studio: è proprio quello che usiamo.

3
Steve

Ho eseguito test di carico su app VoIP, inclusa la simulazione di DDoS, senza mai passare alcun traffico al di fuori del laboratorio di prova.

Un'altra risposta menziona i generatori di pacchetti. È possibile acquistare o noleggiare l'attrezzatura per farlo (ad es. Smartbits) oppure scrivere codice per generare il traffico necessario. Il tester di carico Web di un uomo povero è semplice come un box Linux (o una manciata di essi) con un sacco di diverse interfacce di rete configurate (per simulare più sorgenti di traffico) e diversi script di arricciatura (o altro) per colpire la tua app web. Puoi diventare sofisticato quanto vuoi: il tuo generatore di pacchetti potrebbe essere un'app multithread che emette pacchetti grezzi (vedi libnet ) per variare le fonti e i tipi di pacchetti. Aggiungi carico aggiungendo caselle (o, se le caselle sono legate alla larghezza di banda anziché alla CPU, aggiungi una scheda NIC).

2
bstpierre

Esistono due diversi tipi di strategie di protezione DDoS e ognuna risponde in modo diverso ai diversi tipi di carichi. Quindi è necessario rendere realistico il test per il tipo di traffico che si desidera proteggere.

Capacità travolgente
Un meccanismo di difesa è semplicemente quello di avere più capacità del tuo attaccante. Questo è molto semplice e molto robusto, ma anche molto costoso. Per testare questo tipo di sistema, puoi semplicemente utilizzare qualsiasi vecchio generatore di carico poiché stai solo testando la capacità dei tuoi server di sopportare carichi di traffico pesanti.

Identify and drop
Un altro meccanismo popolare è quello di identificare il traffico DDoS e impedire che raggiunga i tuoi server. Questo è più facile, più economico e significativamente più fragile di quanto sopra. Testare in questo caso significa testare sia la quantità di traffico che può essere esaminata e rilasciata, sia la qualità delle tecniche di esame. Per testarlo, devi trovare alcuni software DDoS reali da testare contro (google Gootkit ddos system ad esempio per trovare del codice). Quindi noleggia alcune decine di server virtuali per un po 'da vari provider cloud ed esegui il tuo attacco. Più sistemi DDoS vengono confrontati, migliore è la sicurezza delle misure di prevenzione.

1
tylerl

Numerosi ISP offrono questo come parte della loro capacità di test di carico. Le società di protezione DDoS tendono anche a fornire test di carico come servizio.

1
Rory Alsop