ความถี่ ping ที่ปลอดภัยโดยที่ไม่ถือว่าเป็นการโจมตี DDoS คืออะไร

ฉันพยายามที่จะทำแผนภูมิสถานะการออนไลน์ของเซิร์ฟเวอร์โดยการ Ping และ Google เป็นประจำแล้วเปรียบเทียบเวลา ping ฉันต้องการทำสิ่งนี้ต่อไปในระยะเวลา - สมมติว่า - สัปดาห์

ฉันกำลังส่งชุด 5 ปิงให้กับแต่ละคนมีการหมดเวลา 5 วินาทีและช่วงเวลา 2 นาทีระหว่างแต่ละชุด ต่อไปนี้เป็นbashคำสั่ง

while true; do echo Google; date; ping -c 5 -t 5 www.google.com; sleep 120; echo Outlook; date; ping -c 5 -t 5 https://outlook.office365.com/; sleep 120; done >> pings.txt

ฉันกังวลว่าเซิร์ฟเวอร์มองว่านี่เป็นการโจมตี DDoS หรือไม่

ฉันกำลังส่งชุด 5 ปิงให้กับแต่ละคนมีการหมดเวลา 5 วินาทีและช่วงเวลา 2 นาทีระหว่างแต่ละชุด […] ฉันกังวลว่าเซิร์ฟเวอร์มองว่านี่เป็นการโจมตี DDoS

คำตอบที่สั้นกว่า:

ฉันค่อนข้างมั่นใจว่าประเภทของพฤติกรรมเครือข่ายที่คุณอธิบายจะไม่ถูกพิจารณาว่าเป็นพฤติกรรม DDoS โดยใช้เวลานานและอาจถูกมองว่าเป็นพฤติกรรมการรับส่งข้อมูลปกติ / การวินิจฉัยโดยผู้ดูแลระบบ

โปรดจำไว้ว่าเว็บไซต์สาธารณะใด ๆ จะถูกตรวจสอบอย่างสม่ำเสมอและไม่มีที่สิ้นสุด ผู้ดูแลระบบไม่สามารถสูญเสียสถานะสลีปในทุกเหตุการณ์การตรวจสอบระบบที่เกิดขึ้น และกฎของไฟร์วอลล์ในระบบที่มีการจัดการอย่างมีประสิทธิภาพที่สุดนั้นจับการโจมตี "ผลไม้แขวนลอยต่ำ" เช่นนี้จนถึงจุดที่พวกเขาไม่มีความหมายอย่างแท้จริง

คำตอบอีกต่อไป:

ฉันไม่คิดว่าชุดห้าปิงด้วยการหมดเวลา 5 วินาทีด้วย "ลองอีกครั้ง" ช่วงเวลา 2 นาทีจะถือว่าเป็นอะไรที่ใกล้เคียงกับการโจมตีแบบ DDoS หากมาจากเครื่องเดียว โปรดจำไว้ว่า DDoS เป็นปฏิเสธการกระจายของการโจมตีบริการกับคำสำคัญที่มีการกระจาย ความหมายหลายเครื่องกระจายจะต้องทำอะไรบางอย่าง "ไม่ดี" พร้อมเพรียงกันเพื่อโจมตีถือว่า DDoS และแม้ว่าคุณจะชอบ 100 เซิร์ฟเวอร์ที่ใช้ 5 pings, หมดเวลา 5 วินาทีและช่วงเวลา 2 นาทีผู้ดูแลระบบอาจเห็นว่าเป็นเหตุการณ์ที่“ น่าสนใจ” แต่ก็ไม่ถือว่าเป็นภัยคุกคาม

ตอนนี้สิ่งใดที่จะถือว่าเป็นการโจมตี DDoS ที่แท้จริงซึ่งใช้pingเป็นเอเจนต์การโจมตี รูปแบบที่พบมากที่สุดของการโจมตีจะเป็น“ปิงน้ำท่วม” ซึ่งมีกำหนดดังนี้ ; เน้นตัวหนาเป็นของฉัน:

ping flood เป็นการโจมตีแบบปฏิเสธการให้บริการโดยง่ายซึ่งผู้โจมตีเข้าโจมตีเหยื่อด้วยแพ็คเก็ต ICMP Echo Request (ping) วิธีนี้มีประสิทธิภาพมากที่สุดโดยใช้ตัวเลือกการ ping ซึ่งส่งแพ็คเก็ต ICMP ให้เร็วที่สุดโดยไม่ต้องรอการตอบกลับ การนำไปใช้งานส่วนใหญ่ของการ ping ต้องการให้ผู้ใช้มีสิทธิพิเศษเพื่อระบุตัวเลือกการท่วม จะประสบความสำเร็จมากที่สุดหากผู้โจมตีมีแบนด์วิดท์มากกว่าเหยื่อ (ตัวอย่างเช่นผู้โจมตีด้วยสาย DSL และเหยื่อบนโมเด็ม dial-up) ผู้โจมตีหวังว่าเหยื่อจะตอบกลับด้วยแพ็คเก็ต ICMP Echo Reply ซึ่งกินแบนด์วิธทั้งขาออกและแบนด์วิดท์ที่เข้ามา หากระบบเป้าหมายช้าเพียงพออาจเป็นไปได้ที่จะใช้รอบ CPU ของตนเพียงพอสำหรับผู้ใช้ในการสังเกตเห็นการชะลอตัวที่สำคัญ

หมายความว่าวิธีเดียวที่ ping DDoS อาจเกิดขึ้นได้คือถ้าแบนด์วิดท์ถูกน้ำท่วมที่ฝั่งของผู้ที่ตกเป็นเหยื่อไปยังระบบจุดที่มีการแสดงผลช้าดังนั้นพวกเขาจะ“ ลง”

ในการใช้“ ping flood” อย่างง่าย ๆ จากบรรทัดคำสั่งคุณจะต้องเรียกใช้คำสั่งดังนี้:

sudo ping -f localhost

ตอนนี้คุณกำลังสงสัยว่าจะเกิดอะไรขึ้นถ้าคุณ - สมมติว่า - รันคำสั่งนั้นด้วยเป้าหมายที่แท้จริง ถ้าคุณทำมันจากคอมพิวเตอร์เครื่องเดียวไปยังเป้าหมายมันจะไม่ดูเหมือนอะไรเลยในด้านการรับ เพียงคำขอ ping ไม่รู้จบที่แทบจะไม่ใช้แบนด์วิดท์ แต่ผู้ดูแลระบบเว็บที่มีความสามารถโดยส่วนใหญ่มีการตั้งค่าเซิร์ฟเวอร์ด้วยกฎไฟร์วอลล์เพื่อป้องกันการ ping ดังนั้นอีกครั้งคุณเองในระบบเดียวจะไม่ทำให้สิ่งใดใกล้เคียงกับเงื่อนไข DDoS แต่ให้เซิร์ฟเวอร์สองสามร้อยเครื่องทำเช่นนั้นกับระบบเป้าหมายจากนั้นคุณมีพฤติกรรมที่ถือว่าเป็นการโจมตี DDoS