• nemesis
• r2dr2-udp-drdos-tool
• AMP-Research (UDP/TCP amplification vectors, payloads and mitigations)
• LOIC (Low orbit Ion Canon) (udp flood directo), no hay spoofing, por lo tanto no amplifica) 
• HOIC (High Orbit Ion Cannon)
• HTTP Unbearable Load King (HULK) . Tor's Hammer
• Low and Slow Attacks: SLOWLORIS (SlowSloris, SlowPost, nkiller2, recoil)
• ApacheKiller, RefRef. Rudy (R-U-Dead-Yet), thc-ssl-dos
• http2 (hpack)
• ufonet

LOIC

Una de las herramientas que tenemos para simular un ataque DDoS y aprender sobre cómo nuestro sistema puede protegerse es LOIC. Son las siglas de Low Orbit Ion Cannon. Básicamente lo que hace este programa, que es de software libre y está disponible para Windows y Linux, es enviar una gran cantidad de paquetes TCP, UDP y peticiones HTTPS. Pone a prueba la red objetivo para ver hasta qué punto puede soportar este tipo de ataques.

El objetivo de los desarrolladores de esta herramienta es que sirva para uso educativo. Pretenden que los usuarios puedan aprender más sobre cómo defenderse de ataques DDoS, ver si la defensa de los equipos es la adecuada y mejorar determinados parámetros.

Podemos acceder al código fuente de LOIC y descargarlo para ejecutarlo en Linux o Windows.

High Orbit Ion Cannon (HOIC)

Esta herramienta de ataque fue creada para reemplazar a LOIC, expandiendo sus capacidades y agregando personalizaciones. Al utilizar el protocolo HTTP, HOIC puede lanzar ataques que son difíciles de mitigar. El software está diseñado para que haya un mínimo de 50 personas trabajando juntas en un intento de ataque coordinado.

• Posee una alta velocidad en las tareas de multi-thread HTTP Flood (inundación HTTP). 
• Capaz de saturar simultáneamente más de 256 websites. 
• Construido sobre sistema de scripts para permitir el despliegue de 'boosters'(refuerzos): secuencias de comandos diseñadas para frustrar contramedidas y aumentar la potencia de salida del DoS.
• Selección de Boost previamente creados (Targets ya predeterminados).
• Posibilidad de regular la cantidad de threads para el ataque (piensa en cada thread como en un cañón).
• Posibilidad de regular la cantidad de threads para el ataque (piensa en cada thread como en un cañón).
• Desarrollado en lenguaje REAL BASIC.
• No requiere de instalación, y sólo utiliza un ejecutable.

XOIC

HULK

Otro programa que podemos usar para el mismo propósito, para poner a prueba nuestros equipos y simular un ataque DDoS, es HULK. Es ideal para nuestros servidores web y ver hasta qué punto podrían soportar una amenaza de este tipo que pudiera dejar sin servicio a todos los visitantes que intenten acceder a nuestro sitio.

HULK son las siglas de HTTP Unbearable Load King. Esta herramienta está escrita en Python y permite generar una gran cantidad de peticiones únicas para afectar a la carga de un servidor. Lo podemos descargar también desde GitHub, donde veremos la información referente al código.

Tor’s Hammer

Tor’s Hammer también nos permite simular ataques DDoS. Permite poner a prueba servidores y aplicaciones. Su nombre no es casualidad, y es que permite utilizarlo a través de la red Tor para que sea totalmente anónimo.

El objetivo de este programa es saturar la pila TCP con múltiples solicitudes. Envía solicitudes incompletas, lentamente, para lograr mantener la conexión activa el mayor tiempo posible. Busca así provocar la denegación de servicio cuando el servidor ya no puede mantener más conexiones activas.

Estamos ante una herramienta escrita en Python y que podemos descargar desde GitHub.

BoNeSi

En este caso estamos ante un programa que funciona para Linux. Es de código abierto y totalmente gratuito que podemos ejecutar en la línea de comandos. Permite apuntar a una dirección IP y además lo podemos usar en una máquina virtual.

Como en los casos anteriores, con BoNeSi podemos poner a prueba nuestros servidores. Podemos ver hasta qué punto están capacitados para hacer frente a un ataque DDoS que pueda comprometer el buen funcionamiento. Una manera más de lograr una mejora importante en seguridad y tener un mayor conocimiento.

En GitHub encontramos toda la información de este programa y el código para descargarlo.

BoNeSi es una herramienta para simular el tráfico de una Botnet con el objetivo de estudiar el efecto de los ataques DDoS.

¿Qué tráfico puede generar? Pues BoNeSi genera ataques de flooding ICMP, UDP y TCP (HTTP) simulando ser una botnet de un tamaño definido (diferentes direcciones IP). BoNeSi es altamente configurable y se pueden configurar distintos ratios, volumen de datos, direcciones IP de origen, URL y otros parámetros.

¿Qué lo hace diferente de otras herramientas? Existen muchas otras herramientas para falsificar direcciones IP con UDP e ICMP, pero para TCP no existe una solución. BoNeSi es la primera herramienta para simular floods HTTP-GET de redes de bots a gran escala. BoNeSi también trata de evitar generar paquetes con patrones fáciles de identificar (que se pueden filtrar fácilmente).

¿Dónde se puede ejecutar BoNeSi? Hasta su autor, Markus Goldstein, recomienda encarecidamente ejecutar BoNeSi en un entorno de prueba cerrado. Sin embargo, los ataques UDP e ICMP también pueden ejecutarse en Internet, pero se debe tener cuidado. Los ataques HTTP-Flooding no se pueden simular en Internet, porque las respuestas del servidor web deben enrutarse al host que ejecuta BoNeSi.

Herramientas benchmark y optimización Apache 

• Apache2Buddy
• ApacheBench (ab)

Apache2Buddy

DRDoS (Distributed Reflection Denial of Service)

En esta variante, los atacantes, no se conforman con lanzar un gran volumen de peticiones a sus objetivos, sino que buscan que los paquetes de petición o acceso al servicio que se desea utilizar como base para el ataque sean originados con un pequeño tamaño para generar el mayor número posible de ellos.

Adicionalmente, se apoyan en un sistema intermedio que incrementa el tamaño y complejidad de los paquetes de respuesta, según la petición. Estas respuestas son redirigidas hacia el sistema objeto del ataque, sustituyendo la dirección IP real de origen por la del sistema que se quiere atacar. De esta forma, un paquete con petición de servicio lanzado por el atacante con un tamaño de pocos KB o incluso de Bytes, a través de un sistema intermedio denominado ‘amplificador’, se convierte en un paquete de respuesta que se redirige al sistema objetivo del ataque con un tamaño significativamente mayor, lo que se conoce como factor de amplificación o factor multiplicador.

En los ataques DrDoS conocidos y documentados, este factor de amplificación puede variar entre 3,8, como en ataques DrDoS basados en el protocolo NetBIOS, hasta llegar a un multiplicador de 51.000, como se produce en los basados en la vulnerabilidad de Memcached, es decir, un paquete generado por el atacante de pocos KiloBytes llega al sistema atacado con un tamaño multiplicado por 3,8 y hasta por 51.000, según la técnica y protocolo utilizado.

Los diferentes ataques DrDos suelen tomar como base los diferentes servicios y protocolos que utilizan el protocolo UDP (User Data Protocol). Este protocolo no establece una conexión de extremo a extremo, es decir, la comunicación se lleva a cabo desde el origen al destino, sin verificar la disponibilidad, ni el estado del receptor, gracias a la información de las cabeceras de los paquetes como, por ejemplo la dirección IP de origen. No obstante, esta dirección puede ser modificada para que el destinatario piense que procede de otra fuente, que recibiría así la respuesta. Esta técnica es conocida como spoofing.

Hping3 permite manipular paquetes TCP/IP

hping3 [opciones] host

• v –version muestra la versión actual de hping3
• -c –count contador de paquetes
• -i –interval tiempo de espera (uX para X microsegundos, por ejemplo -i u1000)
  • –fast alias para -i u10000 (10 paquetes por segundo)
  • –faster alias para -i u1000 (100 paquetes por segundo)
  • –flood envía paquetes lo más rápido posible, no muestra las respuestas.
• -n –numeric salida con números
• -q –quiet comando silencioso sin que lo muestre por pantalla
• -I –interface nombre de la interfaz, si no se pone nada, por defecto es la interfaz de la puerta de encima predeterminada.
• -V –verbose modo verbose para depuración
• -D –debug información de debugging
• -z –bind enlaza ctrl+z a ttl (por defecto al puerto de destino)
• -Z –unbind desenlaza ctrl+z
• –beep beep por cada paquete recibido que coincida

• -c número paquetes
• -i intervalo espera (uX para esperar X microsegundos, eg. -i u1000)
• --fast alias -i u10000 (10 paquetes/segundo)
• --faster alias -i u1000 (100 paquetes/segundo) 
• --flood envío de paquetes sin espera (lo más rápido posible)

• -0 --rawip RAW IP mode
• -1 --icmp ICMP mode
• -2 --udp UDP mode
• -8 --scan SCAN mode
• -9 --listen listen mode
• -a --spoof spoof dirección origen
• --rand-source especificar dirección de origen aleatoria

• -s --baseport puerto de origen
• -p --destport puerto destino
• -S --syn flag SYN
• -R --rst flag RST

Packit

packit [-t protocolo] opciones

• -t protocolo TCP (defecto), UDP, ICMP, ARP
• -c número Número de paquetes a inyectar (0: continuo)
• -w número Intervalo (en seg.) entre cada conjunto de paquetes (def. 1)
• -b número Número paquetes a inyectar en cada intervalo (0: máximo)
• -s dirección IP origen (spoofing)
• -sR Establece dirección IP origen aleatoria
• -d dirección IP destino
• -dR dirección Establece una dirección destino aleatoria
• -S puerto Indica puerto origen en TCP y/o UDP
• -D puerto Indica puerto destino en TCP y/o UDP
• -F flags Flags TCP : S(SYN), F(FIN), A(ACK), P(PSH), U(URG), R(RST)
• -h Host Response: salida por pantalla 20