AKA: HOIC, сокращение от High Orbit Ion Cannon) - это бесплатное приложение с открытым исходным кодом для стресс-тестирования сети и DoS / DDoS-атак для Windows, Mac и Linux. Он был написан на Visual basic и C #, разработан Anonymous (коллектив хактивистов) во время операции Payback после того, как федеральные агенты закрыли Megaupload, и выпущен как предшественник LOIC .
HOIC был разработан для замены LOIC Praetox Technologies, потому что LOIC недостаточно мощный, чтобы запускать атаки с таким ограниченным количеством пользователей. Напротив, HOIC функционирует, переполняя целевые системы нежелательными HTTP-запросами GET и POST (например, HTTP Flood ), и может атаковать до 256 URL / доменов одновременно. Более того, он может вызывать HTTP-Flood, когда для успешного запуска атаки требуется всего 50 пользовательских агентов, а координация между несколькими пользователями приводит к экспоненциальному увеличению ущерба. Вот почему HOIC считается одним из самых универсальных инструментов для хакеров, которые пытаются координировать DDoS-атаки как группу.
Среди всех подобных инструментов HOIC является первым, который поддерживает так называемый «файл-ускоритель» с расширением .hoic, который следует синтаксису VB 6 и VB .NET и отвечает за определение атрибутов динамического запроса, запуск атак на нескольких страницах. на том же веб-сайте, что значительно увеличивает величину атаки и помогает избежать некоторых защитных фильтров. Он работает как настраиваемый модуль VBScript, который рандомизирует HTTP-заголовки атакующих компьютеров, что позволяет создавать тысячи высоко рандомизированных комбинаций для пользовательских агентов. То есть бустер также позволяет пользователям HOIC настраивать приложение и рандомизировать атаки, чтобы обойти механизмы кэширования, которые защищают серверы от скачков трафика.
В дополнение к сценариям повышения, многие пользователи HOIC также используют шведские прокси-серверы для скрытия своего местоположения, поскольку считается, что в Швеции действуют более строгие и безопасные законы о конфиденциальности в Интернете. Более того, анонимные сети, такие как TOR , не способны обрабатывать полосу пропускания атак, генерируемых HOIC. Любая попытка запустить атаку с использованием сети TOR фактически нанесет вред самой сети. Кроме того, HOIC, несомненно, используется во многих злонамеренных и незаконных атаках, но он по-прежнему легально доступен в Интернете, потому что у него есть приложения в качестве законного инструмента тестирования для пользователей, которые хотят реализовать эффективный «стресс-тест» в своих собственных сетях.
Одним из ограничений HOIC является то, что для обеспечения успеха атак требуется скоординированная группа пользователей. Несмотря на то, что он позволил запускать атаки гораздо меньшему количеству пользователей, чем LOIC, HOIC по-прежнему требуется минимум 50 пользователей для запуска эффективной атаки, а для ее поддержки требуется больше, если целевой веб-сайт использует меры защиты. Еще одно ограничение - это отсутствие возможностей анонимизации и рандомизации. Несмотря на то, что HOIC теоретически предлагает анонимность за счет использования файлов-бустеров, реальной защиты пока недостаточно.
// Ключевая особенность //
Параметр мощности устанавливает скорость запроса:
// Как защититься от атаки HOIC //
Существует несколько стратегий для смягчения атак HTTP-флуда со стороны HOIC:
Об этой программе можно сообщить как об угрозе Win32: PUP-gen [PUP] с высоким риском. Используйте VirusTotal, чтобы выполнить полное достоверное сканирование и решить, использовать его или нет самостоятельно.
HOIC был разработан для замены LOIC Praetox Technologies, потому что LOIC недостаточно мощный, чтобы запускать атаки с таким ограниченным количеством пользователей. Напротив, HOIC функционирует, переполняя целевые системы нежелательными HTTP-запросами GET и POST (например, HTTP Flood ), и может атаковать до 256 URL / доменов одновременно. Более того, он может вызывать HTTP-Flood, когда для успешного запуска атаки требуется всего 50 пользовательских агентов, а координация между несколькими пользователями приводит к экспоненциальному увеличению ущерба. Вот почему HOIC считается одним из самых универсальных инструментов для хакеров, которые пытаются координировать DDoS-атаки как группу.
Среди всех подобных инструментов HOIC является первым, который поддерживает так называемый «файл-ускоритель» с расширением .hoic, который следует синтаксису VB 6 и VB .NET и отвечает за определение атрибутов динамического запроса, запуск атак на нескольких страницах. на том же веб-сайте, что значительно увеличивает величину атаки и помогает избежать некоторых защитных фильтров. Он работает как настраиваемый модуль VBScript, который рандомизирует HTTP-заголовки атакующих компьютеров, что позволяет создавать тысячи высоко рандомизированных комбинаций для пользовательских агентов. То есть бустер также позволяет пользователям HOIC настраивать приложение и рандомизировать атаки, чтобы обойти механизмы кэширования, которые защищают серверы от скачков трафика.
В дополнение к сценариям повышения, многие пользователи HOIC также используют шведские прокси-серверы для скрытия своего местоположения, поскольку считается, что в Швеции действуют более строгие и безопасные законы о конфиденциальности в Интернете. Более того, анонимные сети, такие как TOR , не способны обрабатывать полосу пропускания атак, генерируемых HOIC. Любая попытка запустить атаку с использованием сети TOR фактически нанесет вред самой сети. Кроме того, HOIC, несомненно, используется во многих злонамеренных и незаконных атаках, но он по-прежнему легально доступен в Интернете, потому что у него есть приложения в качестве законного инструмента тестирования для пользователей, которые хотят реализовать эффективный «стресс-тест» в своих собственных сетях.
Одним из ограничений HOIC является то, что для обеспечения успеха атак требуется скоординированная группа пользователей. Несмотря на то, что он позволил запускать атаки гораздо меньшему количеству пользователей, чем LOIC, HOIC по-прежнему требуется минимум 50 пользователей для запуска эффективной атаки, а для ее поддержки требуется больше, если целевой веб-сайт использует меры защиты. Еще одно ограничение - это отсутствие возможностей анонимизации и рандомизации. Несмотря на то, что HOIC теоретически предлагает анонимность за счет использования файлов-бустеров, реальной защиты пока недостаточно.
// Ключевая особенность //
- Высокоскоростной многопоточный HTTP Flood
- Одновременный флуд до 256 сайтов одновременно
- Встроенная система сценариев, позволяющая развертывать «ускорители», сценарии, предназначенные для предотвращения мер противодействия DDoS и увеличения количества выходов DoS.
- Простой в использовании интерфейс
- Может быть перенесен на Linux / Mac с некоторыми исправлениями ошибок (у меня нет обеих систем)
- Возможность выбора количества потоков в продолжающейся атаке
- Возможность дросселировать атаки индивидуально с тремя настройками: LOW, MEDIUM и HIGH.
Параметр мощности устанавливает скорость запроса:
- Низкий - 2 запроса в секунду
- Средний - 4 запроса в секунду
- Высокая - 8 запросов в секунду
| Недостаток | Описание |
| Обнаружение | HOIC использует скрипты-ускорители, которые позволяют злоумышленникам рассеивать трафик атаки и скрывать свою геолокацию. Это отличается от LOIC, который не способен обфускать IP-адреса злоумышленников. |
| Огневая мощь | Отдельный пользователь HOIC может одновременно запускать значительное количество нежелательных запросов; всего 50 злоумышленников могут успешно провести DDoS-атаку. Это отличается от LOIC, который требует, чтобы тысячи пользователей координировали и запускали атаку. |
Существует несколько стратегий для смягчения атак HTTP-флуда со стороны HOIC:
- Фильтрация IP-репутации (IPRF) - превентивная мера, которая проверяет входящие IP-адреса на соответствие базам данных известных вредоносных IP-адресов и предотвращает попадание их трафика в сеть.
- Брандмауэр веб-приложений (WAF) - может устанавливать правила ограничения скорости, которые будут отбрасывать трафик с IP-адресов, которые делают подозрительное количество запросов.
- Проверка CAPTCHA - проверьте, является ли веб-клиент легитимным.
- Более изощренный метод - просит веб-браузеры решить простую математическую задачу, не отвлекая пользователя.
- Объем атакующего трафика, генерируемого одним пользователем HOIC, по-прежнему недостаточен для остановки целевой системы. Другими словами, успешная DDoS-атака может быть запущена только тогда, когда команда кооператоров одновременно управляет HOIC.
Об этой программе можно сообщить как об угрозе Win32: PUP-gen [PUP] с высоким риском. Используйте VirusTotal, чтобы выполнить полное достоверное сканирование и решить, использовать его или нет самостоятельно.