Ich sende jeweils einen Satz von 5 Pings mit einer Zeitüberschreitung von 5 Sekunden und einem Intervall von 2 Minuten zwischen jedem Satz. […] Ich bin besorgt, wenn die Server dies als DDoS-Angriff ansehen.
Die kürzere Antwort:
Ich bin ziemlich sicher, dass die Art des von Ihnen beschriebenen Netzwerkverhaltens bei weitem nie als DDoS-Verhalten angesehen wird und von Systemadministratoren einfach als normales Verkehrs- / Diagnoseverhalten angesehen werden kann.
Denken Sie daran, dass jede öffentliche Website ziemlich konstant - und endlos - geprüft wird. Systemadministratoren können nicht bei jedem Systemprüfungsereignis den Schlaf verlieren. Und Firewall-Regeln, die auf den meisten kompetent verwalteten Systemen gelten, fangen solche Angriffe mit „niedrig hängenden Früchten“ so weit ab, dass sie wirklich bedeutungslos sind.
Die längere Antwort:
Ich glaube ehrlich gesagt nicht, dass ein Satz von 5 Pings mit einer Zeitüberschreitung von 5 Sekunden mit einem Intervall von 2 Minuten, in dem wir es noch einmal versuchen, als etwas angesehen wird, das einem DDoS-Angriff nahe kommt, wenn dies von einer einzelnen Maschine kommt. Denken Sie daran, dass ein DDoS ein verteilter Denial-of-Service-Angriff ist, bei dem das Schlüsselwort verteilt wird . Dies bedeutet, dass mehrere verteilte Maschinen im Wesentlichen gemeinsam etwas „Schlechtes“ tun müssen, damit der Angriff als DDoS betrachtet wird. Und selbst wenn Sie 100 Server hätten, die diese 5 Pings, 5 Sekunden Timeout und 2 Minuten Intervall verwenden, könnten Systemadministratoren dies möglicherweise als „interessantes“ Ereignis ansehen, aber es würde nicht als Bedrohung angesehen.
Was wäre nun ein echter DDoS-Angriff, der ping
als Angriffsagent verwendet wird? Die häufigste Form des Angriffs würde eine sein „ping flood“ , die wie folgt definiert ist ; kühne Betonung liegt bei mir:
Eine Ping-Flut ist ein einfacher Denial-of-Service-Angriff, bei dem der Angreifer das Opfer mit ICMP-Echoanforderungspaketen (Ping-Paketen) überfordert. Dies ist am effektivsten, wenn die Flood-Option Ping verwendet wird, mit der ICMP-Pakete so schnell wie möglich gesendet werden, ohne auf Antworten zu warten. Bei den meisten Ping-Implementierungen muss der Benutzer privilegiert sein, um die Flood-Option angeben zu können. Am erfolgreichsten ist es, wenn der Angreifer mehr Bandbreite als das Opfer hat (z. B. ein Angreifer mit einer DSL-Leitung und das Opfer auf einem DFÜ-Modem). Der Angreifer hofft, dass das Opfer mit ICMP-Echoantwortpaketen antwortet und somit sowohl ausgehende als auch eingehende Bandbreite verbraucht. Wenn das Zielsystem langsam genug ist, kann es genug CPU-Zyklen verbrauchen, damit ein Benutzer eine signifikante Verlangsamung bemerkt.
Dies bedeutet, dass ein Ping-DDoS nur dann auftreten kann, wenn die Bandbreite auf der Opferseite so weit überflutet wird, dass die Systeme so langsam gerendert werden, dass sie "ausgefallen" sind.
Um eine echte, einfache „Ping-Flut“ über die Befehlszeile zu implementieren, müssten Sie einen Befehl wie den folgenden ausführen:
sudo ping -f localhost
Jetzt fragen Sie sich, was passieren würde, wenn Sie diesen Befehl mit einem echten Ziel ausführen würden. Nun, wenn Sie es von Ihrem einsamen Computer zu einem Ziel tun, würde es auf der Empfangsseite überhaupt nicht viel aussehen. Einfach endlose Ping-Anfragen, die kaum Bandbreite verbrauchen würden. Aber ehrlich gesagt haben die meisten kompetenten Administratoren von Websystemen ihre Server mit Firewall-Regeln eingerichtet, um Ping-Floods trotzdem zu blockieren. Sie selbst auf einem System lösen also nichts aus, was einer DDoS-Bedingung nahe kommt. Aber lassen Sie ein paar hundert Server dies mit einem Zielsystem tun, und dann haben Sie ein Verhalten, das als DDoS-Angriff angesehen wird.