¿Qué es una frecuencia de ping segura sin que se considere un ataque DDoS?

9

Estoy tratando de trazar el tiempo de actividad de un servidor haciendo ping regularmente a él y a Google y luego comparando los tiempos de ping. Quiero seguir haciendo esto durante un período de, digamos, una semana.

Estoy enviando un conjunto de 5 pings a cada uno con un tiempo de espera de 5 segundos y un intervalo de 2 minutos entre cada conjunto. El siguiente es el bashcomando.

while true; do echo Google; date; ping -c 5 -t 5 www.google.com; sleep 120; echo Outlook; date; ping -c 5 -t 5 https://outlook.office365.com/; sleep 120; done >> pings.txt

Me preocupa si los servidores ven esto como un ataque DDoS.

wsaleem
fuente
1
mejor ping su servidor de nombres en lugar de google. Esto es más confiable y ping google debe resolverse primero de cualquier manera.
Jonas Stein
La máquina se conectará a diferentes ISP para que cambie el servidor de nombres. A menos que pueda encontrarlo mediante programación usando el mismo comando cada vez.
wsaleem
3
Umm, ¿por qué estás haciendo ping a una URL? Ping usa el protocolo ICMP. Deberías hacer ping en su outlook.office365.comlugar.
nyuszika7h

Respuestas:

12

Estoy enviando un conjunto de 5 pings a cada uno con un tiempo de espera de 5 segundos y un intervalo de 2 minutos entre cada conjunto. [...] Me preocupa si los servidores ven esto como un ataque DDoS.

La respuesta más corta:

Estoy bastante seguro de que el tipo de comportamiento de red que describe nunca se consideraría un comportamiento DDoS por mucho tiempo y los administradores de sistemas simplemente podrían verlo como un comportamiento normal de tráfico / diagnóstico.

Recuerde, cualquier sitio web público se probará de forma bastante constante e interminable; Los administradores de sistemas no pueden perder el sueño por cada evento de prueba del sistema que ocurre. Y las reglas de firewall vigentes en la mayoría de los sistemas administrados de manera competente capturan los ataques de "fruta baja" como este hasta el punto de que realmente no tienen sentido.

La respuesta más larga:

Sinceramente, no creo que un conjunto de 5 pings con un tiempo de espera de 5 segundos con un intervalo de "intentemos esto de nuevo" de 2 minutos se consideraría algo cercano a un ataque DDoS si proviene de una sola máquina. Recuerde, un DDoS es un ataque distribuido de denegación de servicio con la palabra clave que se distribuye . Es decir, las máquinas distribuidas múltiples tendrían que hacer esencialmente algo "malo" al unísono entre sí para que el ataque se considere DDoS. E incluso si quisiera, 100 servidores que usan esos 5 pings, 5 segundos de tiempo de espera y 2 minutos de intervalo, los administradores de sistemas podrían ver eso como un evento "interesante", pero no se consideraría una amenaza.

Ahora, ¿qué se consideraría un verdadero ataque DDoS que utiliza pingcomo agente de ataque? La forma más común de ataque sería una "inundación de ping" que se define de la siguiente manera ; El énfasis en negrita es mío:

Una inundación de ping es un simple ataque de denegación de servicio en el que el atacante abruma a la víctima con los paquetes de solicitud de eco ICMP (ping). Esto es más efectivo mediante el uso de la opción de inundación de ping que envía paquetes ICMP lo más rápido posible sin esperar respuestas. La mayoría de las implementaciones de ping requieren que el usuario tenga privilegios para especificar la opción de inundación. Es más exitoso si el atacante tiene más ancho de banda que la víctima (por ejemplo, un atacante con una línea DSL y la víctima en un módem de acceso telefónico). El atacante espera que la víctima responda con los paquetes de respuesta de eco ICMP, consumiendo tanto el ancho de banda saliente como el ancho de banda entrante. Si el sistema de destino es lo suficientemente lento, es posible consumir suficientes ciclos de CPU para que un usuario note una desaceleración significativa.

Lo que significa que la única forma en que podría ocurrir un DDoS de ping es si el ancho de banda se inunda en el lado de las víctimas hasta el punto en que los sistemas se vuelven tan lentos que están "inactivos".

Para implementar una verdadera "inundación de ping" simple desde la línea de comandos, deberá ejecutar un comando como este:

sudo ping -f localhost

Ahora se pregunta qué pasaría si, digamos, ejecutara ese comando con un objetivo real. Bueno, si lo haces desde tu computadora solitaria a un objetivo, no parecería mucho en el lado receptor. Simplemente solicitudes de ping interminables que apenas consumirían ancho de banda. Pero, sinceramente, los administradores de sistemas web más competentes tienen sus servidores configurados con reglas de firewall para bloquear las inundaciones de ping de todos modos. Entonces, nuevamente, usted mismo en un sistema no activará nada cercano a una condición DDoS. Pero obtenga unos cientos de servidores para hacer eso a un sistema de destino y luego tendrá un comportamiento que se consideraría un ataque DDoS.

JakeGould
fuente
1
"Es más exitoso si el atacante tiene más ancho de banda que la víctima", este es un punto importante. A menos que esté haciendo ping a un sitio web muy pequeño y tenga un servicio de Internet muy bueno, simplemente no podría generar una avalancha de magnitud suficientemente grande. Por lo tanto, la parte "distribuida", al aprovechar múltiples conexiones independientes, un ataque DDoS no necesita ninguna conexión que pueda dominar el servidor: se trata de una fuerza combinada.
zeel