Jaka jest bezpieczna częstotliwość pingów bez uznawania jej za atak DDoS?

9

Próbuję określić czas działania serwera, regularnie pingując go i Google, a następnie porównując czasy pingowania. Chcę to robić przez okres, powiedzmy, tygodnia.

Wysyłam zestaw 5 sygnałów ping do każdego z limitem czasu wynoszącym 5 sekund i odstępem 2 minut między każdym zestawem. Oto bashpolecenie.

while true; do echo Google; date; ping -c 5 -t 5 www.google.com; sleep 120; echo Outlook; date; ping -c 5 -t 5 https://outlook.office365.com/; sleep 120; done >> pings.txt

Jestem zaniepokojony, jeśli serwery postrzegają to jako atak DDoS.

wsaleem
źródło
1
lepiej pinguj swój serwer nazw zamiast google. Jest to bardziej niezawodne i ping google należy rozwiązać w jakikolwiek sposób.
Jonas Stein
Urządzenie połączy się z różnymi dostawcami usług internetowych, więc serwer nazw się zmieni. Chyba że mogę go znaleźć programowo za pomocą tego samego polecenia za każdym razem.
wsaleem
3
Umm, dlaczego pingujesz adres URL? Ping używa protokołu ICMP. Zamiast tego powinieneś pingować outlook.office365.com.
nyuszika7h,

Odpowiedzi:

12

Wysyłam zestaw 5 sygnałów ping do każdego z limitem czasu wynoszącym 5 sekund i odstępem 2 minut między każdym zestawem. […] Jestem zaniepokojony, jeśli serwery postrzegają to jako atak DDoS.

Krótsza odpowiedź:

Jestem przekonany, że opisany przez ciebie typ zachowania sieci nigdy nie byłby uważany za zachowanie DDoS przez długi czas i może być po prostu postrzegany przez administratorów systemów jako normalne zachowanie w ruchu / diagnostyce.

Pamiętaj, że każda publiczna strona internetowa będzie badana w sposób dość stały i nieograniczony; administratorzy systemów nie mogą stracić snu po każdym zdarzeniu sondowania systemu. A reguły zapory obowiązujące w najbardziej kompetentnych systemach przechwytują ataki typu „nisko wiszące owoce” w taki sposób, że są naprawdę bez znaczenia.

Dłuższa odpowiedź:

Szczerze mówiąc, nie sądzę, aby zestaw 5 pingów z 5-sekundowym limitem czasu z interwałem „spróbujmy jeszcze raz” wynoszącym 2 minuty byłby uważany za coś zbliżonego do ataku DDoS, jeśli pochodzi on z jednej maszyny. Pamiętaj, że DDoS to rozproszony atak typu „odmowa usługi” z rozpowszechnianym słowem kluczowym . Oznacza to, że wiele rozproszonych maszyn musiałoby zasadniczo zrobić coś „złego” w zgodzie ze sobą, aby atak mógł zostać uznany za DDoS. I nawet gdybyś chciał, 100 serwerów używających tego 5 pingów, 5 sekund przerwy i 2 minut przerwy, administratorzy systemów mogą postrzegać to jako „interesujące” wydarzenie, ale nie byłoby to uważane za zagrożenie.

Co teraz można uznać za prawdziwy atak DDoS, który wykorzystuje się pingjako agent ataku? Najczęstszą formą ataku byłaby „powódź pingowa” zdefiniowana w następujący sposób ; śmiały nacisk jest mój:

Ping powódź to prosty atak typu „odmowa usługi”, w którym atakujący przytłacza ofiarę pakietami żądania echa ICMP (ping). Jest to najskuteczniejsze dzięki opcji ping ping, która wysyła pakiety ICMP tak szybko, jak to możliwe, bez oczekiwania na odpowiedzi. Większość implementacji polecenia ping wymaga uprawnień użytkownika w celu określenia opcji powodzi. Odnosi największe sukcesy, jeśli atakujący ma większą przepustowość niż ofiara (na przykład atakujący z linią DSL i ofiara na modemie telefonicznym). Atakujący ma nadzieję, że ofiara zareaguje pakietami odpowiedzi echa ICMP, zużywając zarówno przepustowość wychodzącą, jak i przychodzącą. Jeśli system docelowy jest wystarczająco wolny, można zużyć wystarczającą liczbę cykli procesora, aby użytkownik zauważył znaczne spowolnienie.

Oznacza to, że jedynym sposobem na wykonanie polecenia ping DDoS jest zalanie przepustowości po stronie ofiar do momentu, w którym systemy są renderowane tak wolno, że „spadają”.

Aby zaimplementować prawdziwą, prostą „ping powódź” z wiersza poleceń, musisz wykonać następujące polecenie:

sudo ping -f localhost

Teraz zastanawiasz się, co by się stało, gdybyś - powiedzmy - uruchomił polecenie z prawdziwym celem. Cóż, jeśli zrobisz to ze swojego samotnego komputera do celu, nie będzie to wcale wyglądać dużo po stronie odbierającej. Po prostu niekończące się żądania pingowania, które ledwo zużywałyby przepustowość. Ale szczerze mówiąc, najbardziej kompetentni administratorzy systemów sieciowych mają skonfigurowane serwery z regułami zapory ogniowej, które i tak blokują powodzie pingowane. Więc ponownie, ty w jednym systemie nie uruchomisz niczego zbliżonego do stanu DDoS. Ale poproś kilkaset serwerów, aby zrobiły to w systemie docelowym, a wtedy uzyskasz zachowanie, które można by uznać za atak DDoS.

JakeGould
źródło
1
„Odnosi największe sukcesy, jeśli atakujący ma większą przepustowość niż ofiara” - to ważna kwestia. Chyba że pingujesz bardzo małą stronę internetową i masz bardzo dobry serwis internetowy, po prostu nie możesz wygenerować powodzi wystarczająco dużej wielkości. Stąd część „rozproszona”, wykorzystując wiele niezależnych połączeń, atak DDoS nie wymaga żadnego połączenia, które może obezwładnić serwer - chodzi o połączoną siłę.
zeel