Я надсилаю набір з 5 пінгерів кожному з тимчасовим очікуванням 5 секунд та інтервалом у 2 хвилини між кожним набором. […] Мене хвилює, якщо сервери сприймають це як DDoS-атаку.
Коротша відповідь:
Я впевнений, що тип поведінки в мережі, який ви описуєте, ніколи не вважався б поведінкою DDoS з дальнього пострілу і може просто розглядатися як нормальна поведінка трафіку / діагностики системними адміністраторами.
Пам’ятайте, будь-який публічний веб-сайт буде перевірятися на досить постійній і нескінченній основі; системні адміністратори не можуть втратити сон над кожною системою подій, що відбувається. А правила брандмауера, що застосовуються у більшості грамотно керованих систем, наносять такі "фрукти з низьким рівнем звисання", що вони справді безглузді.
Більш довга відповідь:
Я, чесно кажучи, не вважаю, що набір з 5 пінгів із 5-секундним тайм-аутом із інтервалом «спробуймо ще раз» в 2 хвилини вважатиметься чимось близьким до DDoS-атаки, якщо це надходить з однієї машини. Пам'ятайте, що DDoS - це розповсюджена атака відмови в обслуговуванні з ключовим словом, яке поширюється . Це означає, що декілька розповсюджених машин повинні по суті зробити щось "погане" в унісон між собою, щоб атака вважалася DDoS. І навіть якби вам сподобалось, що 100 серверів, які використовують ці 5 пінг, 5-секундний тайм-аут та 2-хвилинний інтервал, системні адміністратори, можливо, сприймуть це як "цікаву" подію, але це не вважатиметься загрозою.
Тепер, що вважатиметься справжньою DDoS-атакою, яка використовується ping
як агент атаки? Найпоширенішою формою нападу була б "пінг-потоп", який визначається наступним чином ; сміливий акцент - мій:
Потоп пінг - це проста атака відмови в обслуговуванні, коли зловмисник переповнює жертву пакетами ICMP Echo Request (ping). Це найефективніше, використовуючи опцію затоплення ping, яка надсилає пакети ICMP якомога швидше, не чекаючи відповідей. Більшість реалізацій ping вимагають надання користувачеві пільговика для того, щоб вказати варіант потоку. Це найбільш успішно, якщо зловмисник має більшу пропускну здатність, ніж жертва (наприклад, зловмисник з лінією DSL і жертва на комутованому модемі). Зловмисник сподівається, що потерпілий відповість пакетами ICMP Echo Response, тим самим споживаючи як вихідну пропускну здатність, так і вхідну пропускну здатність. Якщо цільова система є досить повільною, можна споживати достатню кількість її процесорних циклів, щоб користувач помітив значне уповільнення.
Це означає, що єдиний спосіб, за яким може статися DDoS для пінгу, полягає в тому, що пропускна здатність буде залита на стороні жертв, щоб системи точок були настільки повільними, що вони "вниз".
Щоб реалізувати справжній простий "ping poplava" з командного рядка, вам потрібно буде запустити таку команду:
sudo ping -f localhost
Тепер вам цікаво, що буде, якби ви, скажімо, запустили цю команду з реальною ціллю. Добре, якщо ви робите це з вашого самотнього комп’ютера до цілі, він би не виглядав так сильно на приймальній стороні. Просто нескінченні запити на пінг, які ледь би споживали пропускну здатність. Але, чесно кажучи, більшість компетентних адміністраторів веб-систем налаштовують свої сервери з правилами брандмауеру, щоб у будь-якому разі блокувати поводки в ping. Отже, ви знову в одній системі не спровокуєте нічого, близького до умови DDoS. Але знайдіть кілька сотень серверів, щоб зробити це цільовій системі, і тоді у вас є поведінка, яка вважалася б DDoS-атакою.