DDOS攻击(网站压力测试)
第一次写博客,我是一个在读大学生,写博客只是为了接触了新的东西新的技术而分享使用心得和经验,我的专业是移动互联网应用(Android),以后我会多更新和Android有关的心得和体会,写这篇博客也是机缘巧合之下接触了DDOS,从而有了第一篇博客写有关于DDOS攻击测试网站压力的想法,写的不好地方多留言指教!
DDOS是什么?
DDoS 是分布式拒绝服务的缩写。DDoS 攻击是使服务器或网络资源对用户不可用的恶意尝试,主要是通过饱和服务实现的,导致服务器或网络资源暂停或中断。拒绝服务 (DoS) 拒绝服务 (DoS) 攻击涉及单个计算机,利用定位软件漏洞或者通过发送数据包、请求或查询等手段达到瘫痪目标资源之目的。然而,DDoS攻击使用多重连接设备–通常由僵尸网络实施;或者,有时由协调其活动的个人执行。
接下来我会从众多DDOS攻击中讲一种适合网站压力测试的方式,HTTP洪水攻击
- 那么什么是HTTP洪水攻击呢?
HTTP 洪水其实也是一种分布式拒绝服务 (DDoS)攻击,攻击者利用看似合法的HTTP GET或POST 请求攻击网页服务器或应用。 - HTTP 洪水攻击是一种容量耗尽攻击, 通常用僵尸网络,大概几十上百台能联网的电脑,每台电脑通常在一些恶意软件如特洛伊木马的攻击下被控制一般都是系统比较老旧的电脑。
- 因为使用是复杂的第七层攻击(计算机网络这门基础课我想大家都学过,HTTP洪水攻击正式基于,OSI模型,也就是我们熟悉的最基础的,物理层,数据链路层,网络层,传输层,会话层,表示层,以及我们要进行DDOS压力测试所要用到的应用层),HTTP洪水并不使用畸形的数据包、 电子欺骗或反射技术,相比其他破坏目标站点或服务器的攻击等等(这是其他的DDOS攻击方式之一有兴趣可以去了解下),它对带宽的需要更少。
- 那么什么是HTTP洪水攻击呢?
DDOS压力测试的原理
1. 当HTTP 客户端,如一个网页浏览器,与一个应用程序或服务器进行”对话”时,它会发送一个HTTP请求–通常是 GET 或 POST这两种类型的请求之一。
2. 就是不断通过发送GET或者POST请求,迫使服务器或应用分配尽可能多的资源来响应每个请求时,这个时候对于网站的服务器压力测试最有效,利用多重请求对服务器或应用进行洪水淹没攻击,而每个请求的处理尽量占用更多的资源。
3. 由于这个原因, HTTP洪水攻击采用从压力测试角度看最占用资源的POST请求;而POST请求可能包括触发复杂服务器处理过程的参数。另一方面,基于HTTP GET的攻击也较易创建,且在僵尸网络的情况下更容易形成规模。
4.当然了我们只是简单的对自己的网站进行压力测试并不需要像黑客那样控制大量的僵尸电脑。
压力测试工具
我要介绍的测试工具是LOIC,俗称低轨道离子炮(LOIC)
什么是低轨道离子炮(LOIC)
低轨道离子炮(LOIC)是由Praetox Technologies开发的用于网络压力测试的广泛可用的开源应用,当然了也可以用于DDOS工具,不同的人不同的用法,今天刚刚才知道LOIC的JavaScript版和基于网页的Low Orbit Web Cannon也已经发布。
我们可以通过LOIC利用TCP、UDP和HTTP GET 发送大量的垃圾请求向目标系统发起洪水攻击。但是,这个需要数千台同时发送请求才行,对于只是简单的网站压力测试用一台电脑足够了,只发起小规模的请求,我测试过的一台电脑大概能发起瞬间发起至少3万的HTTP请求,对于测试完全足够了,当然我是到了3万就暂停了,你也可以根据需求测试压力峰值。
我使用的是中文汉化版
使用起来也非常简单:
只需要在URL填上要测试的网址然后点击锁定,然后就会获得IP,在把IP填上去然后锁定,然后就可以了开始使用了非常简单
另外发起测试的方式也有很多种选择,这里我们主要使用前三种最常见的测试
如果还是不懂可以看这里视频教程:
https://www.bilibili.com/video/av2078879/
我测试过我们学校的官网,单独使用LOIC不会有太大作用,顶多进去的时候,或者刷新的时候慢了一些,看不出明显效果,但是如果电脑多了的话不用我说也知道,不过还是告诫一下大家,LOIC主要还是用来测试网站峰值压力的,如果用于其他用途,LOIC是暴露IP的,你一旦攻击了某个网站那么你的IP也会暴露出去,所以违法用途还是不要用的好。写的不好的地方多见谅(wx:2311090504)