Cos'è una frequenza di ping sicura senza essere considerata un attacco DDoS?


9

Sto cercando di tracciare il tempo di attività di un server eseguendo regolarmente il ping di Google e di Google e quindi confrontando i tempi di ping. Voglio continuare a farlo per un periodo di - diciamo - una settimana.

Sto inviando un set di 5 ping a ciascuno con un timeout di 5 secondi e un intervallo di 2 minuti tra ciascun set. Di seguito è il bashcomando.

while true; do echo Google; date; ping -c 5 -t 5 www.google.com; sleep 120; echo Outlook; date; ping -c 5 -t 5 https://outlook.office365.com/; sleep 120; done >> pings.txt

Sono preoccupato se i server vedono questo come un attacco DDoS.


1
meglio eseguire il ping del tuo name server invece di google. Questo è più affidabile e ping google deve essere risolto prima in ogni caso.
Jonas Stein,

La macchina si connetterà a diversi ISP, quindi il server dei nomi cambierà. A meno che non riesca a trovarlo a livello di programmazione usando lo stesso comando ogni volta.
wsaleem,

3
Umm, perché esegui il ping di un URL? Ping utilizza il protocollo ICMP. Dovresti outlook.office365.cominvece eseguire il ping .
nyuszika7h

Risposte:


12

Sto inviando un set di 5 ping a ciascuno con un timeout di 5 secondi e un intervallo di 2 minuti tra ciascun set. […] Sono preoccupato se i server vedono questo come un attacco DDoS.

La risposta più breve:

Sono abbastanza sicuro che il tipo di comportamento di rete che descrivi non sarebbe mai considerato un comportamento DDoS da un punto di vista generale e potrebbe essere semplicemente visto come un normale comportamento di traffico / diagnostica dagli amministratori di sistema.

Ricorda, qualsiasi sito Web pubblico verrà analizzato su una base abbastanza costante - e infinita -; gli amministratori di sistema non possono perdere il sonno per ogni evento di rilevamento del sistema che si verifica. E le regole del firewall in atto sulla maggior parte dei sistemi gestiti con competenza intercettano attacchi di "portata bassa" come questo al punto da essere veramente insignificanti.

La risposta più lunga:

Onestamente non penso che un set di 5 ping con un timeout di 5 secondi con un intervallo di "proviamo di nuovo" di 2 minuti sarebbe considerato qualcosa di simile ad un attacco DDoS se questo proviene da una singola macchina. Ricorda, un DDoS è un attacco denial of service distribuito con la parola chiave che viene distribuita . Significa che macchine multiple e distribuite dovrebbero essenzialmente fare qualcosa di "cattivo" all'unisono per considerare l'attacco DDoS. E anche se avessi voluto, 100 server che usano quel 5 ping, 5 secondi di timeout e intervallo di 2 minuti, gli amministratori di sistema potrebbero probabilmente vederlo come un evento "interessante", ma non sarebbe considerato una minaccia.

Cosa sarebbe considerato un vero attacco DDoS che usa pingcome agente di attacco? La forma più comune di attacco sarebbe un "ping flood" che è definito come segue ; grassetto enfasi è mia:

Un ping flood è un semplice attacco denial-of-service in cui l'attaccante travolge la vittima con i pacchetti ICMP Echo Request (ping). Questo è più efficace usando l'opzione flood del ping che invia i pacchetti ICMP il più velocemente possibile senza aspettare risposte. La maggior parte delle implementazioni del ping richiede che l'utente abbia il privilegio di specificare l'opzione flood. È più efficace se l'attaccante ha una larghezza di banda maggiore rispetto alla vittima (ad esempio un attaccante con una linea DSL e la vittima su un modem dial-up). L'attaccante spera che la vittima risponda con i pacchetti Echo Reply dell'ICMP, consumando così sia la larghezza di banda in uscita che la larghezza di banda in entrata. Se il sistema di destinazione è abbastanza lento, è possibile consumare abbastanza dei suoi cicli della CPU per consentire a un utente di notare un rallentamento significativo.

Significa che l'unico modo in cui potrebbe verificarsi un ping DDoS è se la larghezza di banda viene inondata dal lato delle vittime fino a quando i sistemi di punti vengono resi così lenti da essere "inattivi".

Per implementare un vero "ping flood" dalla riga di comando, è necessario eseguire un comando come questo:

sudo ping -f localhost

Ora ti stai chiedendo cosa succederebbe se, diciamo, esegui quel comando con un obiettivo reale. Bene, se lo fai dal tuo computer solitario a un bersaglio non sembrerebbe molto sul lato ricevente. Richieste ping semplicemente infinite che consumerebbero a malapena la larghezza di banda. Ma onestamente gli amministratori dei sistemi web più competenti hanno i loro server configurati con le regole del firewall per bloccare comunque i ping-flood. Quindi, di nuovo, tu stesso su un sistema non innescerai nulla vicino a una condizione DDoS. Prendi alcune centinaia di server per farlo a un sistema di destinazione e quindi hai un comportamento che sarebbe considerato un attacco DDoS.


1
"Ha più successo se l'attaccante ha più larghezza di banda della vittima" - questo è un punto importante. A meno che tu non stia eseguendo il ping di un sito Web molto piccolo e non disponga di un ottimo servizio Internet, semplicemente non potresti generare un diluvio di grandezza abbastanza grande. Da qui la parte "distribuita", sfruttando più connessioni indipendenti, un attacco DDoS non ha bisogno di alcuna connessione in grado di sopraffare il server - si tratta solo di una forza combinata.
zeel
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.