Estoy tratando de trazar el tiempo de actividad de un servidor haciendo ping regularmente a él y a Google y luego comparando los tiempos de ping. Quiero seguir haciendo esto durante un período de, digamos, una semana.
Estoy enviando un conjunto de 5 pings a cada uno con un tiempo de espera de 5 segundos y un intervalo de 2 minutos entre cada conjunto. El siguiente es el bash
comando.
while true; do echo Google; date; ping -c 5 -t 5 www.google.com; sleep 120; echo Outlook; date; ping -c 5 -t 5 https://outlook.office365.com/; sleep 120; done >> pings.txt
Me preocupa si los servidores ven esto como un ataque DDoS.
bash
ping
denial-of-service
wsaleem
fuente
fuente
outlook.office365.com
lugar.Respuestas:
La respuesta más corta:
Estoy bastante seguro de que el tipo de comportamiento de red que describe nunca se consideraría un comportamiento DDoS por mucho tiempo y los administradores de sistemas simplemente podrían verlo como un comportamiento normal de tráfico / diagnóstico.
Recuerde, cualquier sitio web público se probará de forma bastante constante e interminable; Los administradores de sistemas no pueden perder el sueño por cada evento de prueba del sistema que ocurre. Y las reglas de firewall vigentes en la mayoría de los sistemas administrados de manera competente capturan los ataques de "fruta baja" como este hasta el punto de que realmente no tienen sentido.
La respuesta más larga:
Sinceramente, no creo que un conjunto de 5 pings con un tiempo de espera de 5 segundos con un intervalo de "intentemos esto de nuevo" de 2 minutos se consideraría algo cercano a un ataque DDoS si proviene de una sola máquina. Recuerde, un DDoS es un ataque distribuido de denegación de servicio con la palabra clave que se distribuye . Es decir, las máquinas distribuidas múltiples tendrían que hacer esencialmente algo "malo" al unísono entre sí para que el ataque se considere DDoS. E incluso si quisiera, 100 servidores que usan esos 5 pings, 5 segundos de tiempo de espera y 2 minutos de intervalo, los administradores de sistemas podrían ver eso como un evento "interesante", pero no se consideraría una amenaza.
Ahora, ¿qué se consideraría un verdadero ataque DDoS que utiliza
ping
como agente de ataque? La forma más común de ataque sería una "inundación de ping" que se define de la siguiente manera ; El énfasis en negrita es mío:Lo que significa que la única forma en que podría ocurrir un DDoS de ping es si el ancho de banda se inunda en el lado de las víctimas hasta el punto en que los sistemas se vuelven tan lentos que están "inactivos".
Para implementar una verdadera "inundación de ping" simple desde la línea de comandos, deberá ejecutar un comando como este:
Ahora se pregunta qué pasaría si, digamos, ejecutara ese comando con un objetivo real. Bueno, si lo haces desde tu computadora solitaria a un objetivo, no parecería mucho en el lado receptor. Simplemente solicitudes de ping interminables que apenas consumirían ancho de banda. Pero, sinceramente, los administradores de sistemas web más competentes tienen sus servidores configurados con reglas de firewall para bloquear las inundaciones de ping de todos modos. Entonces, nuevamente, usted mismo en un sistema no activará nada cercano a una condición DDoS. Pero obtenga unos cientos de servidores para hacer eso a un sistema de destino y luego tendrá un comportamiento que se consideraría un ataque DDoS.
fuente