Il existe essentiellement trois types d'attaques DDOS:
----->Application-layer DDOS attack
----->Protocol DOS attack
----->Volume-based DDOS attack
> Application layer
DDOS attack: Application-layer DDOS attacks are attacks that target Windows,
Apache, OpenBSD, or other software vulnerabilities
to perform the attack and crash the server.
> Protocol DDOS attack
DDOS attack : A protocol DDOS attacks is a DOS attack on the protocol level.
This category includes Synflood, Ping of Death, and more.
> Volume-based
DDOS attack: This type of attack includes ICMP floods,
UDP floods, and other kind of floods performed via spoofed packets.
Il existe de nombreux outils disponibles gratuitement qui peuvent être utilisés pour inonder un serveur et tester les performances du serveur. Quelques outils prennent également en charge un réseau zombie pour exécuter DDOS.
LOIC (Canon à orbite basse)
XOIC
HULK (HTTP Insupportable Load King)
DDOSIM - Simulateur DDOS de couche 7
RU-Dead-Yet
Marteau de Tor
PyLoris
POST HTTP OWASP DOS
DAVOSET
Outil de déni de service HTTP GoldenEye
Vous devez d'abord définir le type d'attaque que vous essayez de simuler.
Certaines options courantes incluent:
Outils de sélection (ou d'écriture) suivants pouvant être utilisés pour simuler ce type d'attaque (les programmes de test de charge HTTP sont souvent utilisés, mais il existe également des outils dédiés. Je ne vais pas les énumérer - vous pouvez également utiliser Google comme je peux.)
Enfin, exécutez les attaques contre votre environnement.
Cela peut nécessiter des machines supplémentaires (pour un test interne) ou plusieurs environnements externes (pour simuler efficacement une menace externe).
GRAND AVERTISSEMENT IMPORTANT
Vous devez planifier et annoncer votre fenêtre de test afin que les utilisateurs soient conscients de la possibilité d'une panne. Souvent, les simulations entraînent des échecs réels.
En AUCUNE circonstance, vous ne devez exécuter une attaque de simulation / test DoS contre votre environnement sans en informer au préalable votre hébergeur. Cela est particulièrement vrai pour les tests de pile externes / complets qui passeront par le réseau de votre fournisseur.
la source
Je n'ai pas beaucoup d'expérience avec cela, mais jetez un oeil à LOIC ( http://sourceforge.net/projects/loic/ ). Vous devrez configurer un certain nombre de clients, mais vous devriez être en mesure d'effectuer vous-même essentiellement des DDoS.
la source
Une attaque DDoS «forte» est très relative à votre environnement et serait presque impossible à reproduire par vous-même si nous parlons d'un site Web public et non dans un environnement contrôlé. Une attaque DoS est une chose, afin de simuler une véritable attaque par déni de service distribué, vous avez besoin d'un véritable banc d'essai de botnet (s) dont vous n'êtes sûrement pas propriétaire (<<). Il n'est pas difficile de trouver des réseaux de zombies gratuits / payants pour tous que vous pouvez utiliser avec certaines applications de «sites de piratage», mais feriez-vous vraiment confiance à ceux-ci pour ne pas faire plus de dégâts que vous ne le pensez? La dernière chose que vous voulez, c'est être dans le radar d'un pirate informatique et / ou être associé à un site vulnérable.
À mon humble avis, un bon DDoS gagnera toujours ... surtout si vous n'avez pas le bon plan de reprise après sinistre / poursuite des activités.
Cela vient de quelqu'un qui a vécu un DDoS (attaque d'amplification DNS), ce n'est pas un pique-nique et même si c'est très excitant, rien de ce que vous voulez n'est arrivé à votre réseau / site Web / hôte.
la source
https://www.blitz.io/
Ils peuvent en quelque sorte simuler une attaque DDOS pour vous. Ils utilisent Amazon Web Services pour obtenir un tas d'IP pour simuler un DDOS. Étant donné que la plupart des attaques DDOS utilisent de grandes quantités de serveurs compromis dans diverses zones géographiques, il serait très difficile de «simuler» une attaque DDOS sans être en possession d'un réseau de robots mondial complet.
Il existe cependant divers services qui peuvent simuler une attaque DOS à charge élevée. Quelques ressources sont:
https://httpd.apache.org/docs/2.0/programs/ab.html
"ab est un outil d'analyse comparative de votre serveur HTTP (Apache Hypertext Transfer Protocol). Il est conçu pour vous donner une idée du fonctionnement de votre installation Apache actuelle. Cela vous montre en particulier le nombre de requêtes par seconde que votre installation Apache est capable de traiter. "
la source
Une autre solution serait d'utiliser des abeilles avec des mitrailleuses. C'est un utilitaire pour armer (créer) de nombreuses abeilles (instances micro EC2) pour attaquer (test de charge) des cibles (applications web).
Encore une fois, aucune de ces instances ne reproduira véritablement une "vraie" attaque DDOS car certaines tactiques que vous pouvez utiliser (par exemple, le blocage des plages d'adresses IP) ne fonctionneront pas contre un véritable botnet DDOS d'IP compromises à travers le monde.
la source