Атаки на отказ в обслуживании: практика тестирования
Пост — резюме
Думаю, начать стоит с того, что в последнее время все больше заказчиков обращаются не только за тестированием на проникновение, но и за проверкой устойчивости их сервисов к атакам на отказ в обслуживании, чаще всего — веб-сайтов. И на нашей практике пока не было ни одного случая, чтобы реальный работающий сайт (не заранее подготовленная площадка) не вышел из строя, в т.ч. находящийся под разными защитными системами. И этот пост — резюмирование текущего опыта (D)DoS тестирования разными методами совершенно разных инфраструктур (от банков до типичных корпоративных сайтов).
Визуализация DDoS-атаки
Итак, давайте еще раз. Задача — вывести ресурс из строя любыми доступными методами, будь мы злоумышленниками. В 99% в качестве исходных данных дается домен/IP.Как проходит работа?
Для начала выбирается методика тестирования и согласовывается с заказчиком. Выбор состоит из: Атаки на канал (достигнуть максимальной пропускной способности);
Атаки на сетевые сервисы (slow http, использование эксплойтов для ддоса определенных веб-серверов, атаки на SSL, другие техники);
И самое крутое и интересное — атака на application уровень (использование особенностей работы данного приложения).
Согласовывается время, мощность, собирается скайп-чат в нужное время и там уже согласовываются все действия.
А теперь о каждой из методик.Читать дальше →
