it-swarm-eu.dev

Wie simuliere ich DDoS-Angriffe aus dem Internet?

Die Idee hinter Sicherheitstests ist einfach. Sie möchten wissen, was ein Hacker tun kann - Sie beauftragen einen Sicherheitsexperten, der sich wie ein Hacker verhält, um zu sehen, wie weit er kommen kann. Sie möchten wissen, was ein böser Administrator tun kann - Ihre Sicherheitsexperten erhalten Administratorrechte und erledigen seine Arbeit auf diese Weise.

Mir ist bewusst, dass es andere und vielleicht bessere Möglichkeiten gibt, ein Audit durchzuführen, aber dies sind gängige Ansätze, die funktionieren. Leider wird es schwierig, wenn die Bedrohung nicht eine einzelne Person oder ein Team von Hackern ist, sondern ein verteiltes Bot-Netzwerk, das Sie mit mehr oder weniger intelligenten Anfragen spammt. Wie können Sie ein solches Szenario testen? Nehmen wir an, ich habe meine Infrastruktur bereit und bin zuversichtlich, dass meine Systeme einem gewissen Druck durch einen DDoS-Angriff standhalten können. Jetzt möchte ich meine Erwartungen überprüfen und einen DDoS-Test über das Internet durchführen.

Wo kann ich legal einen DDoS-Simulator bekommen? Ich möchte keine Ressourcen von einem illegalen Bot-Netz kaufen und nur mit Experten auf diesem Gebiet zusammenarbeiten. Gibt es Unternehmen, die solche Tests für Sie durchführen, oder können Sie zumindest Systeme mieten, die leistungsfähig genug sind, um einen DDoS-Angriff zu simulieren? Ich bin mir der rechtlichen Probleme wie der Information aller Beteiligten wie Anbieter und dergleichen bewusst - diese Frage konzentriert sich darauf, wie ein solcher Test durchgeführt werden kann. Ich bin auch nicht auf der Suche nach einer Liste von Unternehmen, die das können. Ich bin interessiert, was der Stand der Technik in diesem Bereich ist und welche Dienstleistungen auf dem Markt verfügbar sind.

22
Demento

Ich denke, Sie suchen die Verwendung eines Paketgenerator und einer entsprechenden Anzahl von Systemen, die Pakete generieren, um der von Ihnen gesuchten Last zu entsprechen. Verwenden Sie zufällig gültige IP-Adressen für die Paketquellenadressen, und Sie sollten sich ziemlich ärgern, wenn es um das Filtern geht.

Sie können all dies tun, ohne jemals etwas über den Link Ihres Internetdienstanbieters zu senden. Wenn Sie DDOS so erhalten, dass die Bandbreite und nicht die Dienste maximal genutzt werden, muss Ihr ISP den Datenverkehr abbrechen, bevor er Ihre Verbindung erreicht.

17
Jeff Ferland

Sie suchen keine Unternehmen, die dies können, sind aber daran interessiert, welche Dienstleistungen verfügbar sind? Könntest Du das erläutern?

Was Sie wirklich verlangen, sind Lasttests in diesem speziellen Fall. Wie vielen Benutzern (die so viel wie möglich zugreifen) können die Server standhalten? An welcher Schwelle ist alles kaputt? Grundsätzlich beginnen Sie bei einer kleinen Anzahl von "Benutzern" und erhöhen diese, bis die Site aufgibt.

Wenn wir solche Tests ausführen, verwenden wir in Amazon gehostete Lasttest-Agenten von Visual Studio, die uns eine ziemlich gute Vorstellung davon geben, wie die Systeme reagieren werden. Es gibt natürlich viele Alternativen zu Visual Studio - genau das verwenden wir.

3
Steve

Ich habe Lasttests für Voip-Apps durchgeführt, einschließlich der Simulation von DDoS, ohne jemals Datenverkehr außerhalb des Testlabors zu leiten.

Eine andere Antwort erwähnt Paketgeneratoren. Sie können dazu Geräte kaufen oder mieten (z. B. Smartbits) oder Code schreiben, um den benötigten Datenverkehr zu generieren. Der Weblasttester eines armen Mannes ist so einfach wie eine Linux-Box (oder eine Handvoll davon) mit einer Reihe verschiedener Netzwerkschnittstellen, die konfiguriert sind (um mehrere Verkehrsquellen zu simulieren), und mehreren Curl-Skripten (oder anderen Skripten), um Ihre Webanwendung zu erreichen. Sie können so anspruchsvoll werden, wie Sie möchten - Ihr Paketgenerator kann eine Multithread-App sein, die Rohpakete ausgibt (siehe libnet ), um die Quellen und Arten von Paketen zu variieren. Fügen Sie die Last hinzu, indem Sie Boxen hinzufügen (oder fügen Sie eine Netzwerkkarte hinzu, wenn Ihre Boxen bandbreitengebunden statt CPU-gebunden sind).

2
bstpierre

Es gibt zwei verschiedene Arten von DDoS-Schutzstrategien, die jeweils unterschiedlich auf verschiedene Arten von Lasten reagieren. Sie müssen Ihren Test also für die Art des Verkehrs realistisch gestalten, gegen den Sie sich schützen möchten.

Überwältigende Kapazität
Ein Verteidigungsmechanismus besteht darin, einfach mehr Kapazität als Ihr Angreifer zu haben. Dies ist sehr einfach und sehr robust, aber auch sehr teuer. Um diese Art von System zu testen, können Sie einfach jeden alten Lastgenerator verwenden, da Sie nur die Fähigkeit Ihrer Server testen, starken Verkehrslasten standzuhalten.

Identifizieren und löschen
Ein weiterer beliebter Mechanismus besteht darin, DDoS-Verkehr zu identifizieren und zu verhindern, dass er Ihre Server erreicht. Dies ist einfacher, billiger und wesentlich zerbrechlicher als die oben genannten. Testen bedeutet in diesem Fall, sowohl das Verkehrsaufkommen zu testen, das untersucht und gelöscht werden kann, als auch die Qualität der Prüfungstechniken. Um dies zu testen, müssen Sie eine echte DDoS-Software finden, gegen die Sie testen können (google Gootkit ddos system zum Beispiel, um Code zu finden). Mieten Sie dann ein paar Dutzend virtuelle Server für eine Weile bei verschiedenen Cloud-Anbietern und führen Sie Ihren Angriff aus. Je mehr DDoS-Systeme Sie testen, desto besser können Sie Ihren Präventionsmaßnahmen vertrauen.

1
tylerl

Nicht wenige ISPs bieten dies im Rahmen ihrer Lasttestfunktionen an. Die DDoS-Schutzunternehmen bieten Lasttests auch als Service an.

1
Rory Alsop