4

Наш веб-сервер находится под атакой в течение длительного времени (по крайней мере, несколько месяцев). Мы получаем около 50000 сообщений эхо-запроса ICMP ("pings") в секунду. Если я взгляну на них поближе, я увижу, что почти все они имеют текст полезной нагрузки "ICMP echo". Пинг поступает с около 60000 разных IP-адресов (которые, конечно, могут быть подделаны, но я так не думаю. Разные адреса показывают разные шаблоны отправки).

Я проверил различные утилиты ping: Windows ping, hrping, fping, psping, hping и nmap (все под Windows); кажется, что все они не создают эту полезную нагрузку.

Кто-нибудь знает, какая утилита включает этот текст в качестве полезной нагрузки? Я хотел бы получить представление о том, что происходит. Мы атакованы ботнетом? Расстроены пользователи? Кто-то (ну, много людей) неправильно настроил свое программное обеспечение?

Спасибо за вашу помощь.

|источник

3 ответа3

7

Отчасти ответ заключается в том, что многие версии могут сделать это.  Многие версии «ping» поддерживают опцию « -p pattern »:

-p шаблон

Вы можете указать до 16 «дополнительных» байтов для заполнения отправляемого пакета.  Это полезно для диагностики проблем с данными в сети.  Например, -p ff приведет к тому, что отправленный пакет будет заполнен всеми.

Список литературы: 1, 2 и 3.  Так, например, я ожидаю, что любая совместимая версия «ping» будет интерпретировать команду ping -p 49434D50206563686F … для отправки описанной вами полезной нагрузки.

Заметки:

  • К сожалению, я не могу на самом деле проверить, что будет делать эта команда, потому что в настоящее время у меня нет доступа к системе, которая поддерживает эту опцию.
  • Да, кажется маловероятным, что кто-то, кто нападает на вас, сделал бы это.  Но вы никогда не знаете, с крекерами.
|источник
0

Конечно, 50000 пингов в секунду - это атака типа «отказ в обслуживании», и если она исходит от 60000 разных адресов, это, несомненно, от ботнета.

Конечно, вы не должны отвечать на запросы ping (на сервере) или выполнять их брандмауэр.

|источник
-2

ICMP - это Ping, у нас есть ICMP, TCP, UDP ...

Если вам нужна дополнительная информация о ICMP, посмотрите здесь: http://en.wikipedia.org/wiki/Ping_%28networking_utility%29

Я думаю, что нам действительно нужно знать, с какого программного обеспечения вы читаете это. Таким образом, мы можем узнать, как он может прочитать пакет, по сравнению с запросом cmd.

Хотя это немного больше, http://en.wikipedia.org/wiki/Internet_Control_Message_Protocol

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .