Есть несколько компаний, предоставляющих программное обеспечение для моделирования атак типа «отказ в обслуживании» (DoS). Мне любопытно, насколько реалистичными могут быть эти симуляции.
В чем основные различия между реальными и смоделированными атаками?
Прежде всего, при моделировании вы знаете, в чем заключается атака. При реальной атаке вам, возможно, придется провести некоторое расследование, чтобы выяснить, что происходит. Это довольно просто с сетевыми атаками, но когда они начинают нацеливаться на приложения, диагностика может быть более сложной.
Атаки с высокой степенью распределенности сложно имитировать
С помощью DDoS распределение IP-адресов может быть намного шире, чем вы можете легко смоделировать.
Это может сыграть важную роль, если вы используете какие-либо инструменты ограничения скорости IP-адресов или методы обнаружения на основе поведения.
В одном случае у меня была атака HTTP-приложения, которая наводнила сервер. Мы использовали контрмеру для отбрасывания запросов в зависимости от скорости запросов IP. Эта находка работала, пока злоумышленники не расширили атаку. Они начали получать тысячи IP-адресов со скоростью ниже наших пороговых значений.
Имитировать этот тип атаки выполнимо, но сложно. В итоге, я думаю, у нас было около 25000 IP-адресов, атакованных с помощью флуда около 600 Мбит / с. Это был весь HTTP-трафик.
Его нет - за исключением того, что если вы платите за это или делаете это самостоятельно, вы можете остановить его немедленно, когда ваши системы начнут ломаться.