Тест за стрес в мрежата (DoS на уебсайта) със SlowHTTPTest в Kali Linux slowloris, бавно тяло и бавно четене

Codeby web-security - нов курс от Codeby Security School

Представяме на вашето внимание нов курс от екипа Кодът - "Тестване на проникване на уеб приложения от нулата". Обща теория, Подготовка на работната среда, Пасивно размиване и пръстови отпечатъци, Активно размиване, Уязвимости, След експлоатация, Инструменти, Социално инженерство и др. Повече информация .

Тестовете за стрес в мрежата могат да предоставят важна информация за проблеми с производителността на сървъра или неправилна (недостатъчна) конфигурация. Дори да се провери дали mod_evasive е конфигуриран и работи правилно, полезни са помощните програми за симулиране на DoS атаки.

Свързани статии за защитата на вашия уеб сървър:

Свързани статии за DoS:

  • Тест за стрес в мрежа с йонно оръдие с ниска орбита (LOIC)
  • Тест за стрес на уебсайта (DoS) със SlowHTTPTest в Kali Linux: slowloris, slow body и slow read атаки в един инструмент (вие го четете)

SlowHTTPTest е силно приспособим инструмент, който симулира някои атаки на ниво приложение на отказ на услуга (DoS). Работи на повечето платформи Linux, OSX и Cygwin (Unix-подобна среда и интерфейс на командния ред за Microsoft Windows).

Тази програма изпълнява най-честото забавяне на мрежата DoS атаки на приложния слой, като Slowloris, атака на бавно тяло, атака на бавно четене (въз основа на експлоата на постоянен таймер на TCP), тя заема целия наличен пул от връзки, както и Apache Range Header атака, която причинява много значително използване на паметта и процесора на сървъра.

Slowloris и Slow HTTP POST DoS атаките разчитат на факта, че HTTP, нарочно, изисква заявките да бъдат получени от сървъра напълно, преди да могат да бъдат обработени. Ако HTTP заявката е непълна или скоростта на трансфер е много бавна, сървърът задържа ресурсите си заети, докато чака останалите данни. Ако сървърът поддържа твърде много заети ресурси, това води до отказ от услуга. Този инструмент прави частични HTTP заявки, опитвайки се да постигне отказ от услуга от целевия HTTP сървър.

Атаката за бавно четене е насочена към същите ресурси като slowloris с бавно тяло, но вместо да разшири заявката, тя изпраща легитимни HTTP заявки, но чете отговорите бавно.

Инсталиране на SlowHTTPTest

Инсталация за потребители на Kali Linux

За потребителите на Kali Linux инсталиране чрез apt-get . (животът е добър!)

тест

За други дистрибуции на Linux

Инструментът се разпространява като преносим пакет, т.е. просто изтеглете най-новия tarball от секцията за изтегляне, извлечете, конфигурирайте, компилирайте и инсталирайте.

Този набор от команди прави следното: изтегля най-новата версия на SlowHTTPTest, разопакова я и отидете в директорията с програмата:

Тези. сега остава само да конфигурирате, компилирате и инсталирате.

За тези, които предпочитат да изтеглят архива ръчно, отидете тук.

Тук PREFIX трябва да бъде заменен с абсолютна пътека, където трябва да се инсталира инструментът slowhttptest.

Трябва да имате инсталиран libssl-dev, за да компилирате успешно този инструмент. Повечето системи трябва да го имат.