Я отправляю набор из 5 пингов каждому с интервалом в 5 секунд и интервалом в 2 минуты между каждым набором. […] Меня беспокоит, увидят ли серверы это как DDoS-атаку.
Короче ответ:
Я вполне уверен, что тип поведения сети, который вы описываете, никогда не будет рассматриваться как долгосрочное поведение DDoS и может просто рассматриваться системным администраторами как нормальное поведение трафика / диагностики.
Помните, что любой публичный веб-сайт будет проверяться на довольно постоянной и бесконечной основе; Системные администраторы не могут потерять сон из-за каждого события проверки системы, которое происходит. А правила брандмауэра, действующие в большинстве грамотно управляемых систем, улавливают такие «атаки с минимальными последствиями», что они действительно бессмысленны.
Чем дольше ответ:
Я, честно говоря, не думаю, что набор из 5 пингов с 5-секундным тайм-аутом с интервалом «давайте попробуем это снова» в 2 минуты будет считаться чем-то близким к атаке DDoS, если это происходит с одной машины. Помните, что DDoS является распределенный отказ в обслуживании нападение с ключевым словом быть распределены . Это означает, что несколько распределенных машин должны будут делать что-то «плохое» в унисон друг с другом, чтобы атака рассматривалась как DDoS. И даже если бы у вас было 100 серверов, использующих эти 5 пингов, 5 секунд тайм-аута и 2-минутный интервал, системные администраторы могли бы воспринимать это как «интересное» событие, но это не было бы угрозой.
Теперь, что можно считать настоящей атакой DDoS, которая использует ping
в качестве агента атаки? Наиболее распространенной формой атаки будет «пинг-флуд», который определяется следующим образом ; жирный акцент мой
Пинг-поток - это простая атака типа «отказ в обслуживании», когда злоумышленник подавляет жертву пакетами эхо-запроса ICMP (ping). Это наиболее эффективно, если использовать опцию ping, которая отправляет пакеты ICMP как можно быстрее, не ожидая ответов. Большинство реализаций ping требуют, чтобы пользователь был привилегированным, чтобы указать параметр потока. Это наиболее успешно, если злоумышленник имеет большую пропускную способность, чем жертва (например, злоумышленник с линией DSL и жертва на модеме удаленного доступа). Злоумышленник надеется, что жертва ответит пакетами эхо-ответа ICMP, что потребляет как исходящую пропускную способность, так и входящую пропускную способность. Если целевая система работает достаточно медленно, пользователь может потреблять достаточное количество циклов ЦП, чтобы пользователь заметил значительное замедление.
Это означает, что единственный способ, которым DDoS-запрос ping может произойти, - это если пропускная способность затопляется на стороне жертвы, так что системы точек оказываются настолько медленными, что они «не работают».
Чтобы реализовать настоящий простой ping-поток из командной строки, вам нужно выполнить команду, подобную этой:
sudo ping -f localhost
Теперь вы задаетесь вопросом, что произойдет, если вы, скажем, выполнили эту команду с реальной целью. Что ж, если вы сделаете это со своего одиночного компьютера на цель, это не будет похоже на получающую сторону. Просто бесконечные пинг-запросы, которые едва ли потребляют пропускную способность. Но, честно говоря, большинство компетентных администраторов веб-систем настроили свои серверы с правилами брандмауэра, чтобы в любом случае блокировать пинг-потоки. Итак, опять же, вы сами в одной системе не будете запускать что-либо, близкое к условию DDoS. Но получите несколько сотен серверов, чтобы сделать это с целевой системой, и тогда у вас будет поведение, которое будет рассматриваться как DDoS-атака.