Nachbau/Modifikation der JS-LOIC

Werkzeug vom DDOS-Angriff auf das US-Justizministeriums vom 19.01.2012

Gedacht für Webserver-Tests und für Javascript-Basteleien.
Durch Leistungsgrenzen der Browserumgebung arg eingeschränkt.
"Richtige" Penetrationstest-Werkzeuge gibt's auch noch...
Einführung in die technischen Grundlagen auf encyclopediadramatica...
Weiterführendes auf wikipedia...

Verwendung auf eigene Gefahr! (StGB § 303b)
Legal nur gegen sich selbst oder bei vertraglich gesichertem Penetrationstest!
Nicht in die Hände von Kindern gelangen lassen!
Zielauswahl:
Optionen




Angriffsstatus:



Interessant sind die Leistungs-Begrenzungen:

Beim Firefox (Version 9) fällt eine mehrfach höhere CPU-Last zum Aktualisieren von GUI-Elementen (per innerHTML, value oder src) als bei anderen Browsern auf. Egal, um welche Elemente es sich handelt. Gegenüber einem Opera ist die CPU-Last mindestens um den Faktor 4 höher. Das ist schon recht krass.
Firefox behandelt die GUI-Aktualisierung in etwa gleichberechtigt zur Abhandlung von Javascript und dessen Netzwerkaktivitäten im Hintergrund. Sobald sich also die CPU-Auslastung für den Javascript-Thread den 100% nähert, brechen die Abfragen ein.

Opera behandelt die GUI-Aktualisierung mit verringerter Priorität, wodurch er eine wesentlich höhere Abfrage-Last verträgt, obwohl auch er recht schnell bei 100% CPU-Last anlangt. Durch explizites Verlagern der GUI-Aktualisierung in eine extra timer-gesteuerte Funktion läßt sich bei beiden Browsern die CPU-Last senken, besonders drastisch beim Firefox.

Je Gigahertz CPU-Leistung dürften sich auf in diesem Moment (2012) typischen Systemen um 100 Abfragen pro Sekunde erzeugen lassen. Das ist natürlich Spielerei gegenüber "echten" Penetrationstest-Werkzeugen. Andererseits stellt ein Javascript-Spielzeug wie dieses, welches in eine HTML-Seite eingebettet und im Internet verlinkt ist, eine gegenüber echten Werkzeugen faktisch zu Null reduzierte Einstiegshürde dar.