fiberfox

Leistungsstarkes (D)DoS-Schwachstellentest-Toolkit. Implementiert verschiedene L4/7-Angriffsvektoren. Der asynchrone Netzwerkansatz trägt dazu bei, die CPU-/RAM-Anforderungen zu senken und gleichzeitig selbst komplexe Netzwerkinteraktionen durchzuführen.

NOTIZ ? Das Toolkit verfügt nicht über die erforderlichen Funktionen für ordnungsgemäße Leistungstests der Zielserver oder Netzwerke. Ziel ist es, das Schutzniveau zu verstehen, indem Angriffe durchgeführt werden, die speziell darauf ausgelegt sind, häufige Fallstricke auszunutzen und gängige Schutzmaßnahmen zu umgehen.

WARNUNG ❗ Testen Sie die Infrastruktur (Server, Websites, Netzwerkgeräte usw.) nicht ohne die Zustimmung des Eigentümers. Die Standardeinstellungen des Pakets werden optimiert, um große unbeabsichtigte Auswirkungen beim Ausführen von Tests zu vermeiden.

Inspiriert vom MHDDoS-Projekt.

Von PyPI:

$ pip install fiberfox

Aus Quellen:

$ git clone https://github.com/kachayev/fiberfox.git
$ cd fiberfox
$ python setup.py install

Docker-Image erstellen:

$ git clone https://github.com/kachayev/fiberfox.git
$ cd fiberfox
$ docker build -t fiberfox . 

Beispiel:

$ fiberfox 
    --targets tcp://127.0.0.1:8080 http://127.0.0.1:8081 
    --concurrency 512 
    --rpc 1024 
    --strategy STRESS 
    --duration-seconds 3600 
    --proxies-config ./proxies.txt

Merkmale:

• --concurrency (oder -c ) definiert die Anzahl der auszuführenden asynchronen Coroutinen. Fiber erstellt keinen neuen Betriebssystem-Thread, sodass Sie viele davon mit unbedeutendem Overhead ausführen können. Bei TCP-Angriffsvektoren entspricht die Anzahl der Fasern ungefähr der maximalen Anzahl offener TCP-Verbindungen. Bei UDP-Angriffen führt der Betrieb zu vieler Glasfasern typischerweise zu einer Leistungsverschlechterung.
• Es werden mehrere Ziele unterstützt. Jede Faser nimmt ein Ziel auf, indem sie die Liste durchläuft. Wenn die Fiber-Sitzung zu lang ist (z. B. wenn Angriffsvektoren wie SLOW oder CONNECTIONS verwendet werden), stellen Sie sicher, dass Sie mehr Fibers einrichten, als Sie Ziele haben.
• Verbindungen können über HTTP/SOCK4/SOCK5-Proxys hergestellt werden. Verfügbare Proxys können über die statische Konfigurationsdatei eingerichtet oder dynamisch von Proxy-Anbietern aufgelöst werden. Das Tool erkennt automatisch „tote“ Proxys und entfernt sie aus dem Pool.

Weitere Dokumentation zu Flags:

 $ python fiberfox --help
usage: fiberfox [-h] [--targets [TARGETS ...]] [--targets-config TARGETS_CONFIG] [-c CONCURRENCY] [-s {UDP,TCP,STRESS,BYPASS,CONNECTION,SLOW,CFBUAM,AVB,GET}] [--rpc RPC] [--packet-size PACKET_SIZE]
               [-d DURATION_SECONDS] [--proxies [PROXIES ...]] [--proxies-config PROXIES_CONFIG] [--proxy-providers-config PROXY_PROVIDERS_CONFIG] [--log-level {DEBUG,INFO,ERROR,WARN}]
               [--connection-timeout-seconds CONNECTION_TIMEOUT_SECONDS]

options:
  -h, --help            show this help message and exit
  --targets [TARGETS ...]
                        List of targets, separated by spaces (if many)
  --targets-config TARGETS_CONFIG
                        File with the list of targets (target per line). Both local and remote files are supported.
  -c CONCURRENCY, --concurrency CONCURRENCY
                        Total number of fibers (for TCP attacks means max number of open connections)
  -s {UDP,TCP,STRESS,BYPASS,CONNECTION,SLOW,CFBUAM,AVB,GET}, --strategy {UDP,TCP,STRESS,BYPASS,CONNECTION,SLOW,CFBUAM,AVB,GET}
                        Flood strategy to utilize
  --rpc RPC             Number of requests to be sent to each connection
  --packet-size PACKET_SIZE
                        Packet size (in bytes)
  -d DURATION_SECONDS, --duration-seconds DURATION_SECONDS
                        How long to keep sending packets, in seconds
  --proxies [PROXIES ...]
                        List of proxy servers, separated by spaces (if many)
  --proxies-config PROXIES_CONFIG
                        File with a list of proxy servers (newline-delimited). Both local and remote files are supported.
  --proxy-providers-config PROXY_PROVIDERS_CONFIG
                        Configuration file with proxy providers (following MHDDoS configuration file format). Both local and remote files are supported.
  --reflectors-config REFLECTORS_CONFIG
                        File with the list of reflector servers (IP per line). Only required for amplification attacks. Both local and remote files are supported.
  --log-level {DEBUG,INFO,ERROR,WARN}
                        Log level (defaults to INFO)
  --connection-timeout-seconds CONNECTION_TIMEOUT_SECONDS
                        Proxy connection timeout in seconds (default: 10s)

Ein Angriffsvektor wird durch die Option --strategy beim Ausführen des Skripts definiert.

Hinweis: Das Paket befindet sich in der aktiven Entwicklung, weitere Methoden werden in Kürze hinzugefügt.

L4-Angriffe zielen auf Transportschichten ab und werden daher hauptsächlich zur Überlastung von Netzwerkkapazitäten eingesetzt. Erfordert minimale Kenntnisse des Ziels.

Eine besondere Klasse von L4-Angriffen.

UDP ist ein verbindungsloses Protokoll. Die Quell-IP-Adresse wird nicht validiert, es sei denn, die Anwendungsschicht führt eine explizite Verarbeitung durch. Dies bedeutet, dass ein Angreifer das Datagramm leicht so fälschen kann, dass es eine beliebige Quell-IP-Adresse enthält. Häufig ist das Anwendungsprotokoll so konzipiert, dass das als Antwort generierte Paket viel größer ist, was einen Verstärkungseffekt erzeugt (daher der Name). Durch das Senden eines solchen Datagramms an viele verschiedene Server (Reflektoren) kann der Angreifer erheblichen Datenverkehr zum Zielgerät (Opfer) erzeugen.

Amplification-Angriffe implementiert:

Für alle Amplification-Angriffe muss eine Liste von Reflection-Servern bereitgestellt werden.

L7-Angriffe zielen darauf ab, Schwachstellen in Protokollen der Anwendungsschicht oder bestimmte Implementierungsdetails von Anwendungen (oder Betriebssystemkernen) auszunutzen. Im Allgemeinen leistungsfähiger, erfordert jedoch möglicherweise Kenntnisse über die Funktionsweise des Zielsystems.

Durch die Konfiguration einer Reihe von Proxyservern können verteilte Angriffe simuliert werden, selbst wenn das Toolkit auf einem einzelnen Computer ausgeführt wird. Wenn Proxys verfügbar sind, stellt fiberfox zuerst eine Verbindung zu ihnen her und stellt von diesen Maschinen aus Verbindungen zum Ziel her. Auf diese Weise kann das System die einfachsten IP-Blocking-Schutzmaßnahmen umgehen. Das Toolkit unterstützt die Protokolle HTTP/SOCKS4/SOCS5 und Benutzer-/Passwort-Authentifizierung. Es verwaltet außerdem dynamisch eine Reihe bereitgestellter Proxys, um die Verwendung solcher Proxys zu vermeiden, die nicht reagieren oder die Angriffsanforderungen nicht erfüllen.

Bei der Verwendung von Proxys müssen Sie einige Überlegungen beachten:

• Der Erfolg des durchgeführten Angriffs hängt nun teilweise von der Kapazität der Proxyserver ab. Wenn beispielsweise öffentliche Proxys verwendet werden, kann die Netzwerkrate niedrig sein, weil der Proxy überfüllt ist. Erwägen Sie in diesem Fall die Nutzung einer privaten Infrastruktur oder kostenpflichtiger Cluster dedizierter Proxyserver.

• Proxyserver selbst könnten einige Angriffsvektoren abschwächen. Wenn Sie beispielsweise den Ansatz „langsame Verbindung“ verwenden, könnte der Proxyserver so konfiguriert werden, dass er die Verbindung drosselt oder schließt. Dadurch wird gewissermaßen das Ziel „geschützt“. Bedenken Sie, wie die Proxy-Einrichtung in die Angriffsmechanismen (Netzwerk, Protokolle usw.) eingreift.

Eines der Ziele des Toolkits ist die Bereitstellung umfassender Überwachungsinformationen als Leitfaden für die Suche nach Schwachstellen.

Das Tool meldet die Anzahl der Statistiken für jedes Ziel: Anzahl der Pakete, Datenverkehr und Rate. Bei TCP-basierten Angriffen (sowohl L4 als auch L7) wird außerdem ein Histogramm der innerhalb einer einzelnen Sitzung gesendeten Pakete gemeldet (Sitzung bedeutet hier Datenverkehr, der innerhalb einer einzelnen offenen Verbindung gesendet wird). Idealerweise sollte das Histogramm nach links geneigt sein. Dies bedeutet, dass der Peer die Verbindung schließt, bevor Pakete mit der Bezeichnung „Anfragen pro Verbindung“ gesendet wurden. Wenn es hauptsächlich auf der rechten Seite ist, akzeptiert das Ziel etwas, das als „Müllverkehr“ betrachtet werden sollte.

Seien Sie vorsichtig bei der Analyse. Niedrige Netzwerkrate, hohe Häufigkeit von Verbindungsversuchen, hohe Fehlerrate und mehr. Alle diese Signale könnten sowohl darauf hinweisen, dass das Ziel dem Angriff standhaft bleibt, als auch darauf, dass es bereits tot ist. Um ein vollständiges Verständnis des Schutzniveaus zu erhalten, sollten Sie Überwachungsinformationen auf der Zielseite verwenden (z. B. die Fähigkeit, bei Herausforderungen ordnungsgemäß zu funktionieren).

Beachten Sie, dass die ausgehende Rate ungefähr angezeigt wird. Die Zeitmessung für das Senden jedes Pakets umfasst Planungsverzögerungen (für Glasfasern) und Auswahl/Pooling. In den meisten Fällen sind diese vernachlässigbar. Seien Sie jedoch bei der Analyse vorsichtig, wenn Sie mehr als 10.000 Fasern verwenden.

• Suchen Sie nach offenen Problemen oder eröffnen Sie ein neues Problem, um eine Diskussion über eine Feature-Idee oder einen Fehler zu starten.
• Forken Sie das Repository auf Github und forken Sie den Master in feature-* Zweig, um mit der Durchführung Ihrer Änderungen zu beginnen.

Veröffentlichung unter der MIT-Lizenz. Die vollständige Lizenz finden Sie unter LIZENZ.

                                        ████                                
                                    ████▒▒██                                
                                  ████  ▒▒██                                
                                ██▒▒  ▒▒▒▒▒▒██                              
                              ██▒▒██        ██                              
  ████                      ██▒▒██          ██                              
██▒▒▒▒██████                ██▒▒██      ▒▒  ████                            
██▒▒▒▒██    ████      ██████▒▒▒▒▒▒██    ▒▒▒▒██████████████                  
██▒▒    ████▒▒▒▒██████▒▒▒▒▒▒▒▒▒▒▒▒▒▒██▒▒▒▒▒▒██▒▒▒▒▒▒▒▒▒▒▒▒████              
██▒▒▒▒      ██▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒██▒▒██▒▒▒▒▒▒▒▒▒▒▒▒▒▒██            
  ██▒▒      ██▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒██▒▒██▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒████        
  ██        ██▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒██▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒██      
  ██▒▒    ██▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒████▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒██    
  ██▒▒▒▒  ▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒  ██▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒██    
    ██▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒    ██▒▒▒▒▒▒▒▒▒▒████▒▒▒▒▒▒▒▒██  
    ████▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒██      ██▒▒▒▒▒▒████▒▒▒▒▒▒▒▒▒▒▒▒██  
    ██▒▒██▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒██        ██▒▒▒▒██▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒██  
      ██▒▒██▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒██        ██████▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒██  
      ██▒▒██▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒██      ██▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒██
        ████  ▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒    ██▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒██
          ██    ▒▒██████▒▒▒▒▒▒▒▒▒▒▒▒▒▒    ██▒▒  ▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒██
          ██            ████▒▒▒▒▒▒▒▒▒▒    ██  ▒▒  ▒▒        ▒▒▒▒▒▒▒▒▒▒▒▒██  
            ██                      ██  ████  ▒▒          ▒▒▒▒▒▒▒▒▒▒▒▒▒▒██  
              ██                      ██▒▒██              ▒▒  ▒▒▒▒▒▒▒▒▒▒██  
                ██████████████████████▒▒▒▒██                    ▒▒▒▒▒▒██    
                      ██▒▒      ██▒▒▒▒▒▒▒▒██                    ▒▒▒▒██      
                      ██▒▒▒▒  ██▒▒▒▒▒▒▒▒████                  ▒▒▒▒██        
                      ██▒▒▒▒▒▒██▒▒▒▒▒▒██  ██                    ██          
                        ██████▒▒▒▒▒▒██    ██                ████            
                              ██████      ██          ██████                
                                            ██    ████                      
                                            ██████