Sto inviando un set di 5 ping a ciascuno con un timeout di 5 secondi e un intervallo di 2 minuti tra ciascun set. […] Sono preoccupato se i server vedono questo come un attacco DDoS.
La risposta più breve:
Sono abbastanza sicuro che il tipo di comportamento di rete che descrivi non sarebbe mai considerato un comportamento DDoS da un punto di vista generale e potrebbe essere semplicemente visto come un normale comportamento di traffico / diagnostica dagli amministratori di sistema.
Ricorda, qualsiasi sito Web pubblico verrà analizzato su una base abbastanza costante - e infinita -; gli amministratori di sistema non possono perdere il sonno per ogni evento di rilevamento del sistema che si verifica. E le regole del firewall in atto sulla maggior parte dei sistemi gestiti con competenza intercettano attacchi di "portata bassa" come questo al punto da essere veramente insignificanti.
La risposta più lunga:
Onestamente non penso che un set di 5 ping con un timeout di 5 secondi con un intervallo di "proviamo di nuovo" di 2 minuti sarebbe considerato qualcosa di simile ad un attacco DDoS se questo proviene da una singola macchina. Ricorda, un DDoS è un attacco denial of service distribuito con la parola chiave che viene distribuita . Significa che macchine multiple e distribuite dovrebbero essenzialmente fare qualcosa di "cattivo" all'unisono per considerare l'attacco DDoS. E anche se avessi voluto, 100 server che usano quel 5 ping, 5 secondi di timeout e intervallo di 2 minuti, gli amministratori di sistema potrebbero probabilmente vederlo come un evento "interessante", ma non sarebbe considerato una minaccia.
Cosa sarebbe considerato un vero attacco DDoS che usa ping
come agente di attacco? La forma più comune di attacco sarebbe un "ping flood" che è definito come segue ; grassetto enfasi è mia:
Un ping flood è un semplice attacco denial-of-service in cui l'attaccante travolge la vittima con i pacchetti ICMP Echo Request (ping). Questo è più efficace usando l'opzione flood del ping che invia i pacchetti ICMP il più velocemente possibile senza aspettare risposte. La maggior parte delle implementazioni del ping richiede che l'utente abbia il privilegio di specificare l'opzione flood. È più efficace se l'attaccante ha una larghezza di banda maggiore rispetto alla vittima (ad esempio un attaccante con una linea DSL e la vittima su un modem dial-up). L'attaccante spera che la vittima risponda con i pacchetti Echo Reply dell'ICMP, consumando così sia la larghezza di banda in uscita che la larghezza di banda in entrata. Se il sistema di destinazione è abbastanza lento, è possibile consumare abbastanza dei suoi cicli della CPU per consentire a un utente di notare un rallentamento significativo.
Significa che l'unico modo in cui potrebbe verificarsi un ping DDoS è se la larghezza di banda viene inondata dal lato delle vittime fino a quando i sistemi di punti vengono resi così lenti da essere "inattivi".
Per implementare un vero "ping flood" dalla riga di comando, è necessario eseguire un comando come questo:
sudo ping -f localhost
Ora ti stai chiedendo cosa succederebbe se, diciamo, esegui quel comando con un obiettivo reale. Bene, se lo fai dal tuo computer solitario a un bersaglio non sembrerebbe molto sul lato ricevente. Richieste ping semplicemente infinite che consumerebbero a malapena la larghezza di banda. Ma onestamente gli amministratori dei sistemi web più competenti hanno i loro server configurati con le regole del firewall per bloccare comunque i ping-flood. Quindi, di nuovo, tu stesso su un sistema non innescerai nulla vicino a una condizione DDoS. Prendi alcune centinaia di server per farlo a un sistema di destinazione e quindi hai un comportamento che sarebbe considerato un attacco DDoS.