Come simulare gli attacchi DDoS da Internet?

22

L'idea alla base dei test di sicurezza è semplice. Vuoi sapere cosa può fare un hacker - assumi un esperto di sicurezza che si comporta come un hacker per vedere quanto può arrivare lontano. Vuoi sapere cosa può fare un amministratore malvagio - i tuoi esperti di sicurezza ottengono i privilegi di amministratore e fanno il suo lavoro in questo modo.

Sono consapevole che esistono altri e forse migliori modi per eseguire un audit, ma questi sono approcci comuni che funzionano. Sfortunatamente diventa difficile quando la minaccia non è una singola persona o un gruppo di hacker, ma una rete bot distribuita che ti sparge richieste più o meno intelligenti. Come puoi testare uno scenario del genere? Diciamo che ho la mia infrastruttura pronta e sono fiducioso che i miei sistemi possano sopportare una certa quantità di pressione da un attacco DDoS. Ora voglio verificare le mie aspettative ed eseguire un test DDoS da Internet.

Dove posso trovare legalmente un simulatore DDoS? Non voglio comprare risorse da una bot-net illegale e voglio solo lavorare con esperti in questo campo. Ci sono aziende che eseguono tali test per te o puoi almeno noleggiare sistemi sufficientemente potenti per simulare un attacco DDoS? Sono consapevole delle questioni legali come l'informazione di tutte le parti coinvolte come i fornitori e simili - questa domanda è incentrata su come un tale test può essere eseguito. Sono anche non in cerca di un elenco di aziende che possono farlo, sono interessato allo stato dell'arte in questo campo e ai servizi disponibili sul mercato.

    
posta Demento 12.10.2011 - 17:09
fonte

5 risposte

18

Penso che cerchi l'uso di un generatore di pacchetti e un numero corrispondente di sistemi che generano pacchetti per abbinare il carico che cercare. Utilizza indirizzi IP validi casuali per gli indirizzi di origine dei pacchetti e dovresti trovarti piuttosto seccato quando arriva il momento di filtrare.

Puoi fare tutto questo senza mai mandare un po 'attraverso il link del tuo ISP. Se ricevi DDOS in modo tale che la larghezza di banda è al massimo, piuttosto che i servizi, allora il tuo ISP dovrà soffocare il traffico prima che raggiunga il tuo link.

    
risposta data 12.10.2011 - 17:33
fonte
3

Non stai cercando aziende in grado di farlo, ma sei interessato a quali servizi sono disponibili? Puoi chiarire?

Ciò che stai veramente chiedendo è il test di carico in questo caso particolare. Quanti utenti (accedendo il più possibile) possono sopportare i server? A quale soglia fa tutto schifo? Fondamentalmente si inizia con un piccolo numero di "utenti" e si incrementa fino a quando il sito non si arrende.

Ogni volta che eseguiamo test come questo, utilizziamo gli agenti di test di carico di Visual Studio ospitati su Amazon, il che ci dà una buona idea dei sistemi che risponderanno. Ci sono naturalmente molte alternative a Visual Studio: è proprio quello che usiamo.

    
risposta data 12.10.2011 - 17:32
fonte
2

Ho eseguito test di carico sulle app VoIP, inclusa la simulazione di DDoS, senza mai passare traffico all'esterno del laboratorio di test.

Un'altra risposta menziona i generatori di pacchetti. Puoi acquistare o noleggiare l'attrezzatura per farlo (ad es. Smartbits), oppure puoi scrivere codice per generare il traffico di cui hai bisogno. Il tester del carico di lavoro di un povero uomo è semplice come una scatola di linux (o una manciata di essi) con un mucchio di diverse interfacce di rete configurate (per simulare più sorgenti di traffico) e diversi script di arricciatura (o altri) per colpire la tua app web. Puoi diventare sofisticato quanto vuoi: il tuo generatore di pacchetti potrebbe essere un'app multithreading che emette pacchetti raw (vedi libnet ) per variare le fonti e tipi di pacchetti. Aggiungi carico aggiungendo caselle (o, se le tue caselle sono legate alla larghezza di banda invece che alla CPU, aggiungi una NIC).

    
risposta data 12.10.2011 - 21:12
fonte
2

Esistono due diversi tipi di strategie di protezione DDoS e ciascuna risponde in modo diverso a diversi tipi di carichi. Quindi devi rendere realistico il tuo test per il tipo di traffico che desideri evitare.

Capacità travolgente
Un meccanismo di difesa è semplicemente avere più capacità dell'attaccante. Questo è molto semplice e molto robusto, ma anche molto costoso. Per testare questo tipo di sistema, puoi semplicemente utilizzare qualsiasi vecchio generatore di carico poiché stai solo testando la capacità dei tuoi server di sopportare carichi di traffico elevati.

Identifica e rilascia
Un altro meccanismo popolare è identificare il traffico DDoS e impedirgli di raggiungere i tuoi server. Questo è più facile, più economico e molto più fragile di quanto sopra. Testare in questo caso significa testare sia la quantità di traffico che può essere esaminata e lasciata cadere, sia la qualità delle tecniche di esame. Per testare questo, è necessario trovare alcuni software DDoS reali da testare (google Gootkit ddos system ad esempio per trovare del codice). Quindi noleggia alcune decine di server virtuali per un po 'da vari fornitori di servizi cloud e gestisci il tuo attacco. Più i sistemi DDoS vengono testati, meglio ci si può fidare delle misure di prevenzione.

    
risposta data 25.03.2012 - 22:44
fonte
1

Molti dei fornitori di servizi Internet offrono questo come parte della loro capacità di test del carico. Le società di protezione DDoS tendono anche a fornire test di carico come servizio.

    
risposta data 12.10.2011 - 21:22
fonte

Leggi altre domande sui tag