Какая частота пинга безопасна, если не считать DDoS-атаку?

9

Я пытаюсь составить график работы сервера, регулярно проверяя его и Google, а затем сравнивая время проверки. Я хочу продолжать делать это в течение, скажем, недели.

Я отправляю набор из 5 пингов каждому с интервалом в 5 секунд и интервалом в 2 минуты между каждым набором. Ниже приводится bashкоманда.

while true; do echo Google; date; ping -c 5 -t 5 www.google.com; sleep 120; echo Outlook; date; ping -c 5 -t 5 https://outlook.office365.com/; sleep 120; done >> pings.txt

Меня беспокоит, увидят ли серверы это как DDoS-атаку.

bash ping denial-of-service wsaleem
источник
1
лучше пингуй свой сервер имен вместо гугла. Это более надежно, и пинг Google должен быть решен первым в любом случае.
Джонас Стейн
Аппарат будет подключаться к разным интернет-провайдерам, поэтому имя сервера изменится. Если только я не могу найти его программно, используя одну и ту же команду каждый раз.
wsaleem
3
Хм, почему вы пингуете URL? Пинг использует протокол ICMP. Вы должны просто пинговать outlook.office365.comвместо этого.
nyuszika7h

Ответы:

12

Я отправляю набор из 5 пингов каждому с интервалом в 5 секунд и интервалом в 2 минуты между каждым набором. […] Меня беспокоит, увидят ли серверы это как DDoS-атаку.

Короче ответ:

Я вполне уверен, что тип поведения сети, который вы описываете, никогда не будет рассматриваться как долгосрочное поведение DDoS и может просто рассматриваться системным администраторами как нормальное поведение трафика / диагностики.

Помните, что любой публичный веб-сайт будет проверяться на довольно постоянной и бесконечной основе; Системные администраторы не могут потерять сон из-за каждого события проверки системы, которое происходит. А правила брандмауэра, действующие в большинстве грамотно управляемых систем, улавливают такие «атаки с минимальными последствиями», что они действительно бессмысленны.

Чем дольше ответ:

Я, честно говоря, не думаю, что набор из 5 пингов с 5-секундным тайм-аутом с интервалом «давайте попробуем это снова» в 2 минуты будет считаться чем-то близким к атаке DDoS, если это происходит с одной машины. Помните, что DDoS является распределенный отказ в обслуживании нападение с ключевым словом быть распределены . Это означает, что несколько распределенных машин должны будут делать что-то «плохое» в унисон друг с другом, чтобы атака рассматривалась как DDoS. И даже если бы у вас было 100 серверов, использующих эти 5 пингов, 5 секунд тайм-аута и 2-минутный интервал, системные администраторы могли бы воспринимать это как «интересное» событие, но это не было бы угрозой.

Теперь, что можно считать настоящей атакой DDoS, которая использует pingв качестве агента атаки? Наиболее распространенной формой атаки будет «пинг-флуд», который определяется следующим образом ; жирный акцент мой

Пинг-поток - это простая атака типа «отказ в обслуживании», когда злоумышленник подавляет жертву пакетами эхо-запроса ICMP (ping). Это наиболее эффективно, если использовать опцию ping, которая отправляет пакеты ICMP как можно быстрее, не ожидая ответов. Большинство реализаций ping требуют, чтобы пользователь был привилегированным, чтобы указать параметр потока. Это наиболее успешно, если злоумышленник имеет большую пропускную способность, чем жертва (например, злоумышленник с линией DSL и жертва на модеме удаленного доступа). Злоумышленник надеется, что жертва ответит пакетами эхо-ответа ICMP, что потребляет как исходящую пропускную способность, так и входящую пропускную способность. Если целевая система работает достаточно медленно, пользователь может потреблять достаточное количество циклов ЦП, чтобы пользователь заметил значительное замедление.

Это означает, что единственный способ, которым DDoS-запрос ping может произойти, - это если пропускная способность затопляется на стороне жертвы, так что системы точек оказываются настолько медленными, что они «не работают».

Чтобы реализовать настоящий простой ping-поток из командной строки, вам нужно выполнить команду, подобную этой:

sudo ping -f localhost

Теперь вы задаетесь вопросом, что произойдет, если вы, скажем, выполнили эту команду с реальной целью. Что ж, если вы сделаете это со своего одиночного компьютера на цель, это не будет похоже на получающую сторону. Просто бесконечные пинг-запросы, которые едва ли потребляют пропускную способность. Но, честно говоря, большинство компетентных администраторов веб-систем настроили свои серверы с правилами брандмауэра, чтобы в любом случае блокировать пинг-потоки. Итак, опять же, вы сами в одной системе не будете запускать что-либо, близкое к условию DDoS. Но получите несколько сотен серверов, чтобы сделать это с целевой системой, и тогда у вас будет поведение, которое будет рассматриваться как DDoS-атака.

JakeGould
источник
1
«Наиболее успешно, если злоумышленник имеет большую пропускную способность, чем жертва» - это важный момент. Если вы не пингуете очень маленький веб-сайт и не имеете очень хорошего интернет-сервиса, вы просто не сможете генерировать поток достаточно большой величины. Следовательно, «распределенная» часть, использующая преимущества нескольких независимых соединений, для DDoS-атаки не нуждается ни в одном соединении, которое могло бы перегрузить сервер - это все о совокупной силе.
Zeel