Post191 nn

INTRODUCCIÓN

 

BoNeSi es un simulador de una Botnet DDoS y que es una herramienta para simular el tráfico de Botnet en un entorno de prueba por cable. Está herramienta esta diseñada para estudiar el efecto de los ataques DDoS.

 

La herramienta la podemos descargar desde github

 

¿Qué tráfico se puede generar?

 

BoNeSi permite generar ataques de inundación de ICMP, UDP y TCP (HTTP) desde un tamaño de botnet definido (diferentes direcciones IP). BoNeSi es altamente configurable y se pueden configurar tarifas, volumen de datos, direcciones IP de origen, URL y otros parámetros.

 

¿Qué lo hace diferente de otras herramientas?

 

Hay muchas otras herramientas disponibles para falsificar direcciones IP con UDP e ICMP, pero para TCP, no hay solución. BoNeSi es la primera herramienta para simular inundaciones HTTP-GET de redes bot a gran escala. BoNeSi también trata de evitar generar paquetes con patrones fáciles de identificar (que se pueden filtrar fácilmente).

 

¿Dónde puedo ejecutar BoNeSi?


Recomendamos encarecidamente ejecutar BoNeSi en un entorno de prueba cerrado. Sin embargo, los ataques UDP e ICMP también pueden ejecutarse en Internet, pero debe tener cuidado. Los ataques HTTP-Flooding no se pueden simular en Internet, porque las respuestas del servidor web deben enrutarse al host que ejecuta BoNeSi.

 

BoNeSi busca paquetes TCP en la interfaz de red y responde a todos los paquetes para establecer conexiones TCP. Para esta función, es necesario que todo el tráfico del servidor web de destino se enrute de nuevo al host que ejecuta BoNeSi.

 

¿Qué tan bueno es el rendimiento de BoNeSi?

 

Nos centramos mucho en el rendimiento para simular grandes botnets. En un AMD Opteron con 2Ghz pudimos generar hasta 150,000 paquetes por segundo. En un AMD Phenom II X6 1100T más reciente con 3.3Ghz, puede generar 300,000 pps (ejecutándose en 2 núcleos).

 

¿Son exitosos los ataques BoNeSi?


Sí, son muy exitosos. Los ataques UDP / ICMP pueden llenar fácilmente el ancho de banda y los ataques HTTP-Flooding eliminan rápidamente los servidores web. También probamos BoNeSi contra los sistemas de mitigación DDoS comerciales de última generación y donde pudimos bloquearlos u ocultar el ataque para que no fuera detectado.

 

Información detallada de la herramienta


BoNeSi es un generador de tráfico de red para diferentes tipos de protocolos. Los atributos de los paquetes creados y las conexiones se pueden controlar mediante varios parámetros, como la velocidad de envío o el tamaño de la carga útil, o se determinan por casualidad. Falsifica las direcciones IP de origen incluso al generar tráfico TCP. Por lo tanto, incluye una simple tcp-stack para manejar las conexiones tcp en modo promiscuo. Para un trabajo correcto, uno tiene que asegurarse de que los paquetes de respuesta se enruten al host en el que se ejecuta BoNeSi. Por lo tanto, BoNeSi no puede utilizarse en infraestructuras de red arbitrarias. El tipo de tráfico más avanzado que se puede generar son las solicitudes http.


TCP / HTTP Para que las solicitudes http sean más realistas, varias cosas se determinan por casualidad:

 

  • Puerto de origen
  • ttl: 3..255
  • Opciones tcp: de siete opciones diferentes de la vida real con diferentes longitudes y probabilidades
  • Agente de usuario para el encabezado http: fuera de una lista dada por archivo (se incluye un archivo de ejemplo, vea a continuación)

 

Instalación

 

 

:~$ ./configure

:~$ make :~

$ make install

Uso

 

:~$ bonesi [OPTION...] <dst_ip:port>

 Options:

  -i, --ips=FILENAME               filename with ip list
  -p, --protocol=PROTO             udp (default), icmp or tcp
  -r, --send_rate=NUM              packets per second, 0 = infinite (default)
  -s, --payload_size=SIZE          size of the paylod, (default: 32)
  -o, --stats_file=FILENAME        filename for the statistics, (default: 'stats')
  -c, --max_packets=NUM            maximum number of packets (requests at tcp/http), 0 = infinite (default)
      --integer                    IPs are integers in host byte order instead of in dotted notation
  -t, --max_bots=NUM               determine max_bots in the 24bit prefix randomly (1-256)
  -u, --url=URL                    the url (default: '/') (only for tcp/http)
  -l, --url_list=FILENAME          filename with url list (only for tcp/http)
  -b, --useragent_list=FILENAME    filename with useragent list (only for tcp/http)
  -d, --device=DEVICE              network listening device (only for tcp/http, e.g. eth1)
  -m, --mtu=NUM                    set MTU, (default 1500). Currently only when using TCP.
  -f, --frag=NUM                   set fragmentation mode (0=IP, 1=TCP, default: 0). Currently only when using TCP.
  -v, --verbose                    print additional debug messages
  -h, --help                       print help message and exit

 



Artículos que te pueden interesar