Qu'est-ce qu'une fréquence ping sûre sans être considérée comme une attaque DDoS?

9

J'essaie de tracer le temps de disponibilité d'un serveur en le pingant régulièrement et Google, puis en comparant les temps de ping. Je veux continuer à le faire sur une période de - disons - une semaine.

J'envoie un ensemble de 5 pings à chacun avec un délai d'attente de 5 secondes et un intervalle de 2 minutes entre chaque ensemble. Voici la bashcommande.

while true; do echo Google; date; ping -c 5 -t 5 www.google.com; sleep 120; echo Outlook; date; ping -c 5 -t 5 https://outlook.office365.com/; sleep 120; done >> pings.txt

Je m'inquiète si les serveurs voient cela comme une attaque DDoS.

wsaleem
la source
1
mieux ping votre serveur de noms à la place google. C'est plus fiable et ping google doit être résolu d'abord de toute façon.
Jonas Stein
La machine se connectera à différents FAI afin que le serveur de noms change. À moins que je ne puisse le trouver par programme en utilisant la même commande à chaque fois.
wsaleem
3
Umm, pourquoi cinglez-vous une URL? Ping utilise le protocole ICMP. Vous devriez plutôt faire un ping outlook.office365.com.
nyuszika7h

Réponses:

12

J'envoie un ensemble de 5 pings à chacun avec un délai d'attente de 5 secondes et un intervalle de 2 minutes entre chaque ensemble. […] Je suis inquiet si les serveurs voient cela comme une attaque DDoS.

La réponse courte:

Je suis tout à fait convaincu que le type de comportement réseau que vous décrivez ne serait jamais considéré comme un comportement DDoS à long terme et pourrait simplement être considéré comme un comportement de trafic / diagnostic normal par les administrateurs système.

N'oubliez pas que tout site Web public sera sondé sur une base assez constante et sans fin. les administrateurs système ne peuvent pas perdre le sommeil à chaque événement de sondage du système qui se produit. Et les règles de pare-feu en place sur la plupart des systèmes gérés de manière compétente attrapent des attaques de type «fruits bas» comme celle-ci au point qu'elles sont vraiment dénuées de sens.

La réponse plus longue:

Honnêtement, je ne pense pas qu'un ensemble de 5 pings avec un délai d'expiration de 5 secondes avec un intervalle "essayons à nouveau" de 2 minutes soit considéré comme quelque chose de proche d'une attaque DDoS si cela provient d'une seule machine. N'oubliez pas qu'un DDoS est une attaque par déni de service distribué avec le mot clé distribué . Cela signifie que plusieurs machines distribuées devraient essentiellement faire quelque chose de «mauvais» à l'unisson pour que l'attaque soit considérée comme DDoS. Et même si vous en aviez envie, 100 serveurs utilisant 5 pings, 5 secondes d'expiration et 2 minutes d'intervalle, les administrateurs système pourraient peut-être voir cela comme un événement «intéressant», mais cela ne serait pas considéré comme une menace.

Maintenant, qu'est-ce qui serait considéré comme une véritable attaque DDoS qui utilise pingcomme agent d'attaque? La forme d'attaque la plus courante serait une «inondation ping» qui est définie comme suit ; je souligne:

Un déluge de ping est une simple attaque par déni de service où l'attaquant submerge la victime avec des paquets de requête d'écho ICMP (ping). Ceci est plus efficace en utilisant l'option Flood de ping qui envoie les paquets ICMP aussi rapidement que possible sans attendre de réponses. La plupart des implémentations de ping nécessitent que l'utilisateur soit privilégié afin de spécifier l'option flood. Il est plus efficace si l'attaquant a plus de bande passante que la victime (par exemple, un attaquant avec une ligne DSL et la victime sur un modem d'accès à distance). L'attaquant espère que la victime répondra avec des paquets ICMP Echo Reply, consommant ainsi à la fois la bande passante sortante et la bande passante entrante. Si le système cible est suffisamment lent, il est possible de consommer suffisamment de ses cycles CPU pour qu'un utilisateur remarque un ralentissement significatif.

Ce qui signifie que la seule façon dont un DDoS ping pourrait se produire, c'est si la bande passante est inondée du côté des victimes, les systèmes de points sont rendus si lents qu'ils sont «arrêtés».

Pour implémenter un véritable «ping flood» simple à partir de la ligne de commande, vous devez exécuter une commande comme celle-ci:

sudo ping -f localhost

Vous vous demandez maintenant ce qui se passerait si, disons, vous exécutiez cette commande avec une cible réelle. Eh bien, si vous le faites depuis votre ordinateur seul vers une cible, cela ne ressemblerait pas du tout à la réception. Des requêtes ping simplement sans fin qui consommeraient à peine la bande passante. Mais honnêtement, la plupart des administrateurs de systèmes Web compétents ont leurs serveurs configurés avec des règles de pare-feu pour bloquer les inondations de ping de toute façon. Encore une fois, vous-même sur un système ne déclencherez rien de proche d'une condition DDoS. Mais demandez à quelques centaines de serveurs de le faire sur un système cible et vous aurez alors un comportement qui serait considéré comme une attaque DDoS.

JakeGould
la source
1
"C'est plus efficace si l'attaquant a plus de bande passante que la victime" - c'est un point important. À moins que vous ne testiez un très petit site Web et que vous ayez un très bon service Internet, vous ne pourriez tout simplement pas générer un déluge d'une ampleur suffisante. D'où la partie "distribuée", en tirant parti de plusieurs connexions indépendantes, une attaque DDoS n'a pas besoin d'une seule connexion capable de dominer le serveur - c'est une question de force combinée.
zeel