Was ist eine sichere Ping-Frequenz, ohne dass dies als DDoS-Angriff betrachtet wird?

9

Ich versuche, die Betriebszeit eines Servers zu ermitteln, indem ich ihn und Google regelmäßig anpinge und dann die Ping-Zeiten vergleiche. Ich möchte dies über einen Zeitraum von - sagen wir - einer Woche tun.

Ich sende jeweils einen Satz von 5 Pings mit einer Zeitüberschreitung von 5 Sekunden und einem Intervall von 2 Minuten zwischen jedem Satz. Es folgt der bashBefehl.

while true; do echo Google; date; ping -c 5 -t 5 www.google.com; sleep 120; echo Outlook; date; ping -c 5 -t 5 https://outlook.office365.com/; sleep 120; done >> pings.txt

Ich bin besorgt, wenn die Server dies als DDoS-Angriff ansehen.

bash ping denial-of-service wsaleem
quelle
1
Pingen Sie lieber Ihren Nameserver als Google. Dies ist zuverlässiger und Ping Google muss auf jeden Fall zuerst gelöst werden.
Jonas Stein
Der Computer stellt eine Verbindung zu verschiedenen ISPs her, sodass sich der Nameserver ändert. Es sei denn, ich kann es programmgesteuert finden, indem ich jedes Mal denselben Befehl verwende.
Wsaleem
3
Ähm, warum pingst du eine URL? Ping verwendet das ICMP-Protokoll. Sie sollten outlook.office365.comstattdessen nur pingen.
Nyuszika7h

Antworten:

12

Ich sende jeweils einen Satz von 5 Pings mit einer Zeitüberschreitung von 5 Sekunden und einem Intervall von 2 Minuten zwischen jedem Satz. […] Ich bin besorgt, wenn die Server dies als DDoS-Angriff ansehen.

Die kürzere Antwort:

Ich bin ziemlich sicher, dass die Art des von Ihnen beschriebenen Netzwerkverhaltens bei weitem nie als DDoS-Verhalten angesehen wird und von Systemadministratoren einfach als normales Verkehrs- / Diagnoseverhalten angesehen werden kann.

Denken Sie daran, dass jede öffentliche Website ziemlich konstant - und endlos - geprüft wird. Systemadministratoren können nicht bei jedem Systemprüfungsereignis den Schlaf verlieren. Und Firewall-Regeln, die auf den meisten kompetent verwalteten Systemen gelten, fangen solche Angriffe mit „niedrig hängenden Früchten“ so weit ab, dass sie wirklich bedeutungslos sind.

Die längere Antwort:

Ich glaube ehrlich gesagt nicht, dass ein Satz von 5 Pings mit einer Zeitüberschreitung von 5 Sekunden mit einem Intervall von 2 Minuten, in dem wir es noch einmal versuchen, als etwas angesehen wird, das einem DDoS-Angriff nahe kommt, wenn dies von einer einzelnen Maschine kommt. Denken Sie daran, dass ein DDoS ein verteilter Denial-of-Service-Angriff ist, bei dem das Schlüsselwort verteilt wird . Dies bedeutet, dass mehrere verteilte Maschinen im Wesentlichen gemeinsam etwas „Schlechtes“ tun müssen, damit der Angriff als DDoS betrachtet wird. Und selbst wenn Sie 100 Server hätten, die diese 5 Pings, 5 Sekunden Timeout und 2 Minuten Intervall verwenden, könnten Systemadministratoren dies möglicherweise als „interessantes“ Ereignis ansehen, aber es würde nicht als Bedrohung angesehen.

Was wäre nun ein echter DDoS-Angriff, der pingals Angriffsagent verwendet wird? Die häufigste Form des Angriffs würde eine sein „ping flood“ , die wie folgt definiert ist ; kühne Betonung liegt bei mir:

Eine Ping-Flut ist ein einfacher Denial-of-Service-Angriff, bei dem der Angreifer das Opfer mit ICMP-Echoanforderungspaketen (Ping-Paketen) überfordert. Dies ist am effektivsten, wenn die Flood-Option Ping verwendet wird, mit der ICMP-Pakete so schnell wie möglich gesendet werden, ohne auf Antworten zu warten. Bei den meisten Ping-Implementierungen muss der Benutzer privilegiert sein, um die Flood-Option angeben zu können. Am erfolgreichsten ist es, wenn der Angreifer mehr Bandbreite als das Opfer hat (z. B. ein Angreifer mit einer DSL-Leitung und das Opfer auf einem DFÜ-Modem). Der Angreifer hofft, dass das Opfer mit ICMP-Echoantwortpaketen antwortet und somit sowohl ausgehende als auch eingehende Bandbreite verbraucht. Wenn das Zielsystem langsam genug ist, kann es genug CPU-Zyklen verbrauchen, damit ein Benutzer eine signifikante Verlangsamung bemerkt.

Dies bedeutet, dass ein Ping-DDoS nur dann auftreten kann, wenn die Bandbreite auf der Opferseite so weit überflutet wird, dass die Systeme so langsam gerendert werden, dass sie "ausgefallen" sind.

Um eine echte, einfache „Ping-Flut“ über die Befehlszeile zu implementieren, müssten Sie einen Befehl wie den folgenden ausführen:

sudo ping -f localhost

Jetzt fragen Sie sich, was passieren würde, wenn Sie diesen Befehl mit einem echten Ziel ausführen würden. Nun, wenn Sie es von Ihrem einsamen Computer zu einem Ziel tun, würde es auf der Empfangsseite überhaupt nicht viel aussehen. Einfach endlose Ping-Anfragen, die kaum Bandbreite verbrauchen würden. Aber ehrlich gesagt haben die meisten kompetenten Administratoren von Websystemen ihre Server mit Firewall-Regeln eingerichtet, um Ping-Floods trotzdem zu blockieren. Sie selbst auf einem System lösen also nichts aus, was einer DDoS-Bedingung nahe kommt. Aber lassen Sie ein paar hundert Server dies mit einem Zielsystem tun, und dann haben Sie ein Verhalten, das als DDoS-Angriff angesehen wird.

JakeGould
quelle
1
"Es ist am erfolgreichsten, wenn der Angreifer mehr Bandbreite als das Opfer hat" - dies ist ein wichtiger Punkt. Wenn Sie nicht eine sehr kleine Website anpingen und über einen sehr guten Internetdienst verfügen, können Sie einfach keine Flut von ausreichender Größe erzeugen. Daher benötigt der "verteilte" Teil, der mehrere unabhängige Verbindungen nutzt, für einen DDoS-Angriff keine einzige Verbindung, die den Server überfordern kann - es geht nur um kombinierte Stärke.
Zeel