O que é uma frequência de ping segura sem ser considerada um ataque DDoS?

9

Estou tentando traçar o tempo de atividade de um servidor executando ping regularmente no Google e no Google e comparando os tempos de ping. Quero continuar fazendo isso por um período de, digamos, uma semana.

Estou enviando um conjunto de 5 pings para cada um com um tempo limite de 5 segundos e um intervalo de 2 minutos entre cada conjunto. A seguir está o bashcomando.

while true; do echo Google; date; ping -c 5 -t 5 www.google.com; sleep 120; echo Outlook; date; ping -c 5 -t 5 https://outlook.office365.com/; sleep 120; done >> pings.txt

Estou preocupado se os servidores vêem isso como um ataque DDoS.

bash ping denial-of-service wsaleem
fonte
11
melhor ping seu servidor de nomes em vez de google. Isso é mais confiável e o ping do Google precisa ser resolvido primeiro de qualquer maneira.
Jonas Stein
A máquina se conectará a diferentes ISPs, para que o servidor de nomes mude. A menos que eu possa encontrá-lo programaticamente usando o mesmo comando a cada vez.
Wsaleem
3
Umm, por que você está pingando um URL? O ping usa o protocolo ICMP. Em outlook.office365.comvez disso, você deve executar ping .
precisa saber é o seguinte

Respostas:

12

Estou enviando um conjunto de 5 pings para cada um com um tempo limite de 5 segundos e um intervalo de 2 minutos entre cada conjunto. […] Estou preocupado se os servidores vêem isso como um ataque DDoS.

A resposta mais curta:

Estou bastante confiante de que o tipo de comportamento de rede que você descreve nunca seria considerado um comportamento DDoS a longo prazo e pode ser visto como comportamento normal de tráfego / diagnóstico pelos administradores de sistemas.

Lembre-se de que qualquer site público será analisado de maneira bastante constante - e interminável -; Os administradores de sistemas não podem perder o sono em todos os eventos de análise do sistema que ocorrem. E as regras de firewall implementadas na maioria dos sistemas gerenciados com competência capturam ataques de "baixo desempenho", como esse, a ponto de serem realmente sem sentido.

A resposta mais longa:

Sinceramente, não acho que um conjunto de 5 pings com um intervalo de 5 segundos com um intervalo de "vamos tentar de novo" de 2 minutos seja considerado algo próximo a um ataque DDoS se for de uma única máquina. Lembre-se, um DDoS é um ataque distribuído de negação de serviço com a palavra-chave sendo distribuída . Ou seja, várias máquinas distribuídas precisariam essencialmente fazer algo "ruim" em uníssono para que o ataque fosse considerado DDoS. E mesmo que você queira, 100 servidores usando essa coisa de 5 pings, 5 segundos de tempo limite e 2 minutos, os administradores de sistemas podem ver isso como um evento "interessante", mas isso não seria considerado uma ameaça.

Agora, o que seria considerado um verdadeiro ataque DDoS que usa pingcomo agente de ataque? A forma mais comum de ataque seria uma "inundação de ping", definida da seguinte forma ; ênfase em negrito é minha:

Uma inundação de ping é um ataque simples de negação de serviço em que o invasor sobrecarrega a vítima com pacotes de solicitação de eco ICMP (ping). Isso é mais eficaz usando a opção flood do ping, que envia pacotes ICMP o mais rápido possível, sem aguardar respostas. A maioria das implementações de ping exige que o usuário seja privilegiado para especificar a opção de inundação. É mais bem-sucedido se o invasor tiver mais largura de banda que a vítima (por exemplo, um invasor com uma linha DSL e a vítima em um modem dial-up). O invasor espera que a vítima responda com pacotes de resposta de eco ICMP, consumindo, assim, a largura de banda de saída e a largura de banda de entrada. Se o sistema de destino estiver lento o suficiente, é possível consumir o suficiente de seus ciclos de CPU para que um usuário note uma desaceleração significativa.

Significando que a única maneira de ocorrer um DDoS de ping é se a largura de banda for inundada no lado das vítimas, até o ponto em que os sistemas são renderizados tão lentamente que ficam "inoperantes".

Para implementar um verdadeiro e simples "ping flood" na linha de comando, você precisará executar um comando como este:

sudo ping -f localhost

Agora você está se perguntando o que aconteceria se, digamos, executasse esse comando com um alvo real. Bem, se você fizer isso do seu computador solitário para um alvo, não pareceria muito no lado receptor. Solicitações de ping simplesmente intermináveis ​​que mal consumiriam largura de banda. Mas, honestamente, a maioria dos administradores de sistemas web competentes tem seus servidores configurados com regras de firewall para bloquear as inundações de ping de qualquer maneira. Então, novamente, você mesmo em um sistema não acionará nada próximo a uma condição DDoS. Mas consiga algumas centenas de servidores para fazer isso em um sistema de destino e então você terá um comportamento que seria considerado um ataque DDoS.

JakeGould
fonte
11
"É mais bem-sucedido se o atacante tiver mais largura de banda que a vítima" - este é um ponto importante. A menos que você esteja executando ping em um site muito pequeno e possua um serviço de internet muito bom, você simplesmente não pode gerar uma inundação de magnitude suficiente. Portanto, a parte "distribuída", aproveitando várias conexões independentes, um ataque DDoS não precisa de nenhuma conexão que possa dominar o servidor - trata-se de força combinada.
zeel