Tần số ping an toàn mà không bị coi là tấn công DDoS là gì?


9

Tôi đang cố gắng lập biểu đồ thời gian hoạt động của máy chủ bằng cách thường xuyên ping nó và Google và sau đó so sánh thời gian ping. Tôi muốn tiếp tục làm điều này trong một khoảng thời gian của Hãy nói rằng một tuần.

Tôi đang gửi một bộ 5 ping cho mỗi bộ với thời gian chờ là 5 giây và khoảng thời gian là 2 phút giữa mỗi bộ. Sau đây là bashlệnh.

while true; do echo Google; date; ping -c 5 -t 5 www.google.com; sleep 120; echo Outlook; date; ping -c 5 -t 5 https://outlook.office365.com/; sleep 120; done >> pings.txt

Tôi lo ngại nếu các máy chủ xem đây là một cuộc tấn công DDoS.


1
tốt hơn ping máy chủ tên của bạn thay vì google. Điều này đáng tin cậy hơn và ping google cần phải được giải quyết trước bằng mọi cách.
Jonas Stein

Máy sẽ kết nối với các ISP khác nhau để máy chủ tên sẽ thay đổi. Trừ khi tôi có thể tìm thấy nó bằng lập trình bằng cách sử dụng cùng một lệnh mỗi lần.
wsaleem

3
Umm, tại sao bạn lại ping URL? Ping sử dụng giao thức ICMP. outlook.office365.comThay vào đó, bạn chỉ nên ping .
nyuszika7h

Câu trả lời:


12

Tôi đang gửi một bộ 5 ping cho mỗi bộ với thời gian chờ là 5 giây và khoảng thời gian là 2 phút giữa mỗi bộ. [V]] Tôi lo ngại nếu các máy chủ xem đây là một cuộc tấn công DDoS.

Câu trả lời ngắn hơn:

Tôi khá tự tin loại hành vi mạng mà bạn mô tả sẽ không bao giờ được coi là hành vi DDoS bởi một cú đánh dài và có thể chỉ đơn giản được xem là hành vi chẩn đoán lưu lượng / chẩn đoán thông thường của các quản trị viên hệ thống.

Hãy nhớ rằng, bất kỳ trang web công cộng nào cũng sẽ được thử nghiệm trên cơ sở khá ổn định và không giới hạn; quản trị viên hệ thống không thể mất ngủ trong mọi sự kiện thăm dò hệ thống xảy ra. Và các quy tắc tường lửa được áp dụng trên hầu hết các hệ thống được quản lý một cách thành thạo sẽ bắt được các cuộc tấn công trái cây ăn quả thấp như thế này đến mức chúng thực sự vô nghĩa.

Câu trả lời dài hơn:

Tôi thực sự không nghĩ rằng một bộ 5 ping với thời gian chờ 5 giây với một chiếc Hãy thử lại lần này trong khoảng thời gian 2 phút sẽ được coi là bất cứ điều gì gần với một cuộc tấn công DDoS nếu điều này đến từ một máy duy nhất. Hãy nhớ rằng, DDoS là một cuộc tấn công từ chối dịch vụ phân tán với từ khóa được phân phối . Có nghĩa là nhiều máy phân tán, về cơ bản sẽ cần phải làm một cái gì đó mà Bad bad phối hợp với nhau để cuộc tấn công được coi là DDoS. Và ngay cả khi bạn đã thích, 100 máy chủ sử dụng 5 lần ping đó, thời gian chờ 5 giây và khoảng thời gian 2 phút, các quản trị viên hệ thống có thể xem đó là một sự kiện thú vị trên mạng, nhưng nó sẽ không bị coi là mối đe dọa.

Bây giờ cái gì sẽ được coi là một cuộc tấn công DDoS thực sự sử dụng pinglàm tác nhân tấn công? Hình thức tấn công phổ biến nhất sẽ là một trận lũ ping ping được định nghĩa như sau ; nhấn mạnh đậm là của tôi:

Lũ ping là một cuộc tấn công từ chối dịch vụ đơn giản trong đó kẻ tấn công áp đảo nạn nhân bằng các gói Yêu cầu ECMP Echo (ping). Điều này hiệu quả nhất bằng cách sử dụng tùy chọn lũ của ping để gửi các gói ICMP nhanh nhất có thể mà không cần chờ trả lời. Hầu hết các triển khai ping yêu cầu người dùng phải được đặc quyền để chỉ định tùy chọn lũ lụt. Sẽ thành công nhất nếu kẻ tấn công có băng thông lớn hơn nạn nhân (ví dụ kẻ tấn công có đường DSL và nạn nhân trên modem quay số). Kẻ tấn công hy vọng rằng nạn nhân sẽ phản hồi với các gói Trả lời ICMP, do đó tiêu tốn cả băng thông đi cũng như băng thông đến. Nếu hệ thống đích đủ chậm, có thể tiêu thụ đủ chu kỳ CPU của nó để người dùng nhận thấy sự chậm chạp đáng kể.

Có nghĩa là cách duy nhất ping DDoS có thể xảy ra là nếu băng thông bị tràn vào phía nạn nhân để các hệ thống điểm được hiển thị quá chậm, chúng bị hạ xuống.

Để thực hiện một trò chơi ping ping đơn giản, thực sự từ dòng lệnh, bạn sẽ cần chạy một lệnh như thế này:

sudo ping -f localhost

Bây giờ bạn đang tự hỏi điều gì sẽ xảy ra nếu bạn, hãy nói rằng, ông đã chạy lệnh đó với một mục tiêu thực sự. Chà, nếu bạn làm điều đó từ máy tính đơn độc của mình đến một mục tiêu thì nó sẽ không giống nhiều ở phía bên nhận. Đơn giản là các yêu cầu ping vô tận sẽ hầu như không tiêu tốn băng thông. Nhưng thành thật mà nói, hầu hết các quản trị viên hệ thống web có thẩm quyền đều thiết lập máy chủ của họ với các quy tắc tường lửa để chặn lũ ping. Vì vậy, một lần nữa, chính bạn trên một hệ thống sẽ không kích hoạt bất cứ điều gì gần với điều kiện DDoS. Nhưng hãy lấy vài trăm máy chủ để làm điều đó với một hệ thống đích và sau đó bạn có hành vi sẽ bị coi là một cuộc tấn công DDoS.


1
"Thành công nhất nếu kẻ tấn công có băng thông lớn hơn nạn nhân" - đây là một điểm quan trọng. Trừ khi bạn đang ping một trang web rất nhỏ và có dịch vụ internet rất tốt, nếu không, bạn không thể tạo ra một lũ đủ lớn. Do đó, phần "phân tán", bằng cách tận dụng nhiều kết nối độc lập, một cuộc tấn công DDoS không cần bất kỳ một kết nối nào có thể áp đảo máy chủ - đó là tất cả về sức mạnh kết hợp.
zeel
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.