- Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como memória ou processamento por exemplo) de forma que ele não pode mais fornecer seu serviço.
- Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não comunicarem-se adequadamente.
Como faço para executar um teste de DDOS?
Existe uma ferramenta que pode ser usada chamada SLOWLORIS, onde você simula os ataques.
Faça o download nesse link aqui. Obs.: Seu navegador ou antivirus pode bloquear o download, instalação ou execução, desative essas proteções ou rode a ferramenta em uma virtualização.
Salve o executável no drive C, dentro de algum diretório, por exemplo o abaixo:
Depois, abra o seu bloco de notas e digite o seguinte comando:
slowloris.exe><target address><port><Wait Time><Threads>
Por exemplo:
slowloris.exe abc.com 80 1000 1000
Onde você irá atacar o site meusite, na porta 80 com 1000 milissegundos e 1000 threads (um excelente numero).
Salve seu arquivo notepad como um .BAT no diretório do SLOWLORIS e depois execute ele como administrador.
Pronto, a cada 10 segundos dará um refresh na tela. Acompanhe em paralelo o acesso do site via browser e acompanhe se o com comportamento do mesmo mudou. Por exemplo, lentidão, indisponibilidade, eventos de erros no servidor (no Visualizador de Eventos).
Para evitar esse tipo de ataque é necessário configurar:
- Tempo de sessão inativa no servidor;
- Tempo de reciclagem de Pool de Aplicação;
- Tempo de sessão ativa no servidor;
- Um appliance que bloqueio IPS que executam esses tipos de tentativas de invasão;
Espero ter ajudado e até a próxima!
Alan Carlos
1 comentários:
[…] Teste de Segurança em Aplicações Web – Ataque DDDOS […]