Как промоделировать DDOS на одной машине?

Question

[grfx3]

Хочу смоделировать большую сеть (65к ip). В распоряжении одна машина десктопной производительности. Нужды эмулировать физические характеристики машин нет. Нужна лишь возможность слать с различных ip адресов локальной машины различные данные на один определенный ip этой же машины (нужды отслеживать нагрузку, характерной для обычного моделирования ddos атаки, также нет).

Куда обратить взор, что искать?

Comments

[Сергей Сахаров]

Посмотри в сторону проекта IMUNES
imunes.tel.fer.hr
xgu.ru/wiki/IMUNES

Answer 1

[Сергей Петриков]

Самое простое это использовать спец инструменты, например hping с опцией --rand-source

Answer 2

[Disen]

Вообще на одной физической машине эмулировать работу 65k машин задача достаточно необычная.

Как на счет использования hping3 в режиме flood с параметром --rand-source?

Например, как-то так:
hping3 -c 10000 -S -p 22 --flood --rand-source ip-addr

Задалбливаем целевой хост SYN-пакетами по 22 порту tcp-пакетами с рандомными источниками в режиме флуда хост с адресом ip-addr

Comments

[taaadm]

Любопытные последствия у предложенного вами решения: я прицелился на веб сервер в локальной сети, он остался жив, при его очень скромном железе и установленном httpd с настройками из коробки. А вот доступ в интернет пропал у всех. Чем может быть вызвано?

[Disen]

А сервер небось находится в другой подсети? Скорее всего роутер загибается от нагрузки. Мой микрот 951 тоже загибается раньше, чем сервис )
Вообще с одного компьютера достаточно сложно положить веб-сервер атакой на канал.
И еще на всякий случай - если целитесь в веб-сервер, то выставляйте тот порт, который он слушает, по умолчанию 80.

[taaadm]

сервер в одной сети со мной, прицелился на 80 порт. Между нами физически 2 свитча: я подключен в неуправляемый на кучу портов, а веб сервер на виртуалке, через транковое соединение к другому свичу. Между свичами один физический линк в 100Мб/с. А лежит доступ в интернет:)

[Disen]

Действительно, интересно :) Если разберетесь в чем дело - сообщайте. Интересно узнать.
Могу только предположить, что "забивается" один из свичей. Хотя, никогда не сталкивался с подобной проблемой.

Answer 3

[Валентин]

Так никакого моделирования DDoS не получится так.

Но вот вам варианты:

1) secondary ip - много адресов на одном интерфейсе
2) виртуалки, хотя на вряд ли поднимете 65к виртуалок
3) программки и фреймворки для манипуляции с пакетами, в которых можно менять заголовки. Пример - scapy

Answer 4

[Виталий Пухов]

Чисто теоретически, по данной ссылке есть пример создания кастомного tcp пакета, теоретически можно былобы эмулировать несколько интерфейсов (бесконечное число в теории) и с них отправлять пакеты, но будет ли это работать на практике не уверен.

Answer 5

[Anton]

Не совсем то, но можно к примеру воспользоваться встроеной тулзой apache из консоли

ab -n 1000 -c 100 yourweb.ru/

читать man ab

Ну а далее по результатам.

Но по сути, тесть ни тесть от реальной атаки можно отбится только изучив и поняв паттерны трафика, а далее ваш скил настройки iptables либо фаервола на сервере.