In che modo una simulazione ddos è diversa da un attacco reale?

7

Ho fatto una domanda oggi su serverfault, ma ho scoperto che c'era anche uno scambio di security stack. Ho avuto risposte contrastanti da lì. Quello che segue è il link:

link

Una persona afferma che non c'è differenza, mentre un'altra ha affermato che alcuni aspetti di un attacco DoS sono molto difficili da simulare.

Ciò di cui sono davvero curioso è se gli attacchi reali e simulati siano altrettanto difficili da mitigare. Se é cosi, come?

    
posta Harry 05.01.2012 - 05:47
fonte

4 risposte

7

La relazione è a senso unico: il DDoS simulato è simile a un sottoinsieme di possibili DDoS. Quindi se il tuo sistema viene ucciso dal DDoS simulato, allora hai dimostrato in modo positivo che il sistema non resiste bene ai DDoS in generale. D'altra parte, se il tuo sistema continua a funzionare mentre sei sotto il tuo attacco simulato, allora non hai dimostrato resistenza contro attacchi DDoS generici, solo resistenza contro attacchi DDoS che corrispondono alla tua simulazione. È ancora un test utile (e abbastanza simile al test di carico, come altri hanno sottolineato).

Il quadro generale di un DDoS implica che l'attaccante deve muovere molte più risorse di te, con il pretesto di molti distinti clienti di rete autentici. Per definizione, non puoi, anche a scopo di test, raccogliere più risorse di quelle che puoi raccogliere (duh), quindi non puoi davvero simulare un DDoS a tutti gli effetti.

    
risposta data 05.01.2012 - 15:33
fonte
5

Ho effettuato test DDoS per i clienti - per valutare le loro strategie di mitigazione DDoS. Le uniche parti difficili di questo sono mettere insieme le risorse per fornire un carico sufficientemente elevato e assicurare che siano distribuite abbastanza largamente per simulare in modo efficace un attacco del mondo reale.

Poiché in molte parti del mondo è illegale accedere a una botnet, non ci sono molte organizzazioni in grado di fornire questo tipo di carico. Alcuni dei provider di servizi Internet più grandi e alcune organizzazioni globali, ma per molti tipi di test non sono necessarie più di 100 fonti di traffico.

  • Saturare il tuo choke router è di un livello.
  • La saturazione del link al tuo ISP è il livello più utile da testare.
  • Saturazione completa del tuo ISP - potrebbe essere possibile se usi un piccolo ISP. Non l'ho provato, ma immagino che sarebbe divertente.

Sono difficili da mitigare - richiede una pianificazione del routing con il proprio ISP, una valutazione del traffico intelligente e un tempo di risposta rapido.

    
risposta data 05.01.2012 - 11:08
fonte
2

Penso che non sia possibile simulare un vero DDoS, perché avresti bisogno di molte risorse per il tuo simulatore come la larghezza di banda, numeri di macchine molto grandi e così via. DDoS non è così facile da attaccare perché ha bisogno di molti attori con una larghezza di banda elevata.

È un problema di scala. È possibile simulare un attacco DoS ma per un DoS distribuito è necessario disporre di molte risorse da utilizzare.

    
risposta data 05.01.2012 - 07:57
fonte
2

Un attacco DDoS simulato ha valore. O altro modo per pensarci è che è utile eseguire caricare i test sulla tua applicazione. Questo può fornire informazioni preziose come sapere quanti utenti la tua applicazione può supportare.

Quando si tratta di attacchi DoS, se un attaccante scopre che un vettore specifico non è efficace, probabilmente cambierà tattica. Non è possibile fermare ogni attacco. Se l'attacco è abbastanza grande, i router che inoltrano il traffico verso di te possono essere saturati e il tuo server non sarà accessibile.

    
risposta data 05.01.2012 - 08:04
fonte

Leggi altre domande sui tag