8

Я пытаюсь составить график времени работы сервера, регулярно проверяя его и Google, а затем сравнивая время проверки. Я хочу продолжать делать это в течение, скажем, недели.

Я отправляю набор из 5 пингов каждому с интервалом в 5 секунд и интервалом в 2 минуты между каждым набором. Ниже приведена команда bash .

while true; do echo Google; date; ping -c 5 -t 5 www.google.com; sleep 120; echo Outlook; date; ping -c 5 -t 5 https://outlook.office365.com/; sleep 120; done >> pings.txt

Меня беспокоит, увидят ли серверы это как DDoS-атаку.

1 ответ1

11

Я посылаю набор из 5 пингов каждому с интервалом в 5 секунд и интервалом в 2 минуты между каждым набором. […] Меня беспокоит, увидят ли серверы это как DDoS-атаку.

Короче ответ:

Я вполне уверен, что тип поведения сети, который вы описываете, никогда не будет рассматриваться как долгосрочное поведение DDoS, и системные администраторы могут просто рассматривать его как нормальное поведение трафика / диагностики.

Помните, что любой публичный веб-сайт будет проверяться на довольно постоянной и бесконечной основе; Системные администраторы не могут потерять сон из-за каждого события проверки системы, которое происходит. А правила брандмауэра, действующие в большинстве грамотно управляемых систем, улавливают такие «атаки с минимальными затратами», что они действительно бессмысленны.

Чем дольше ответ:

Я, честно говоря, не думаю, что набор из 5 пингов с 5-секундным тайм-аутом с интервалом «давайте попробуем это снова» в 2 минуты будет считаться чем-то близким к атаке DDoS, если это происходит с одной машины. Помните, что DDoS является распределенным отказом в обслуживании нападения с ключевым словом распространяется. Это означает, что несколько распределенных машин должны будут делать что-то «плохое» в унисон друг с другом, чтобы атака рассматривалась как DDoS. И даже если бы у вас было около 100 серверов, использующих эти 5 пингов, 5 секунд тайм-аута и 2-минутный интервал, системные администраторы могли бы рассматривать это как «интересное» событие, но это не будет рассматриваться как угроза.

Теперь, что можно считать настоящей DDoS-атакой, в которой в качестве агента атаки используется ping ? Наиболее распространенной формой атаки будет «пинг-флуд», который определяется следующим образом ; смелый акцент мой

Пинг-поток - это простая атака типа «отказ в обслуживании», когда злоумышленник подавляет жертву пакетами ICMP Echo Request (ping). Это наиболее эффективно, если использовать опцию ping, которая отправляет пакеты ICMP как можно быстрее, не ожидая ответов. Большинство реализаций ping требуют, чтобы пользователь был привилегированным, чтобы указать параметр потока. Это наиболее успешно, если злоумышленник имеет большую пропускную способность, чем жертва (например, злоумышленник с линией DSL и жертва на модеме удаленного доступа). Злоумышленник надеется, что жертва ответит пакетами эхо-ответа ICMP, что потребляет как исходящую пропускную способность, так и входящую пропускную способность. Если целевая система достаточно медленная, пользователь может потреблять достаточное количество циклов ЦП, чтобы пользователь заметил значительное замедление.

Это означает, что единственный способ, которым DDoS-запрос ping может произойти, - это если пропускная способность на стороне жертвы затопляется, так что системы точек оказываются настолько медленными, что они "не работают".

Чтобы реализовать настоящий простой ping-поток из командной строки, вам нужно выполнить команду, подобную этой:

sudo ping -f localhost

Теперь вы задаетесь вопросом, что произойдет, если вы, скажем, выполнили эту команду с реальной целью. Что ж, если вы сделаете это с вашего одиночного компьютера на цель, это будет выглядеть совсем не на стороне получателя. Просто бесконечные пинг-запросы, которые едва ли потребляют пропускную способность. Но, честно говоря, большинство компетентных администраторов веб-систем настроили свои серверы с правилами брандмауэра, чтобы в любом случае блокировать пинг-потоки. Итак, опять же, вы сами в одной системе не вызовете ничего, близкого к условию DDoS. Но получите несколько сотен серверов, чтобы сделать это с целевой системой, и тогда у вас будет поведение, которое будет считаться DDoS-атакой.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .