Я отправляю набор из 5 пингов каждому с интервалом в 5 секунд и интервалом в 2 минуты между каждым набором. […] Меня беспокоит, увидят ли серверы это как DDoS-атаку.
Короче ответ:
Я вполне уверен, что тип поведения сети, который вы описываете, никогда не будет рассматриваться как долгосрочное поведение DDoS, и системные администраторы могут просто рассматривать его как нормальное поведение трафика / диагностики.
Помните, что любой публичный веб-сайт будет проверяться на довольно постоянной и бесконечной основе; Системные администраторы не могут потерять сон из-за каждого события проверки системы, которое происходит. А правила брандмауэра, действующие в большинстве грамотно управляемых систем, улавливают такие «атаки с минимальными затратами», что они действительно бессмысленны.
Чем дольше ответ:
Я, честно говоря, не думаю, что набор из 5 пингов с 5-секундным тайм-аутом с интервалом «давайте попробуем это снова» в 2 минуты будет считаться чем-то близким к атаке DDoS, если это происходит с одной машины. Помните, что DDoS является распределенный отказ в обслуживании нападение с ключевым словом быть распределены . Это означает, что несколько распределенных машин должны будут делать что-то «плохое» в унисон друг с другом, чтобы атака рассматривалась как DDoS. И даже если бы у вас было около 100 серверов, использующих эти 5 пингов, 5 секунд тайм-аута и 2-минутный интервал, системные администраторы могли бы рассматривать это как «интересное» событие, но это не будет рассматриваться как угроза.
Теперь, что можно считать настоящей атакой DDoS, которая использует pingв качестве агента атаки? Наиболее распространенной формой атаки будет «пинг-флуд», который определяется следующим образом ; смелый акцент мой
Пинг-флуд - это простая атака типа «отказ в обслуживании», когда злоумышленник подавляет жертву пакетами эхо-запроса ICMP (ping). Это наиболее эффективно, если использовать опцию ping, которая отправляет пакеты ICMP как можно быстрее, не ожидая ответов. Большинство реализаций ping требуют, чтобы пользователь был привилегированным, чтобы указать параметр потока. Это наиболее успешно, если злоумышленник имеет большую пропускную способность, чем жертва (например, злоумышленник с линией DSL и жертва на модеме удаленного доступа). Злоумышленник надеется, что жертва ответит пакетами эхо-ответа ICMP, что потребляет как исходящую пропускную способность, так и входящую пропускную способность. Если целевая система достаточно медленная, пользователь может потреблять достаточное количество циклов ЦП, чтобы пользователь заметил значительное замедление.
Это означает, что единственный способ, которым DDoS-запрос ping может произойти, - это если пропускная способность затопляется на стороне жертвы, так что системы точек оказываются настолько медленными, что они "не работают".
Чтобы реализовать настоящий простой ping-поток из командной строки, вам нужно выполнить команду, подобную этой:
sudo ping -f localhost Теперь вы задаетесь вопросом, что произойдет, если вы, скажем, выполнили эту команду с реальной целью. Что ж, если вы сделаете это с вашего одиночного компьютера на цель, это будет выглядеть совсем не на стороне получателя. Просто бесконечные пинг-запросы, которые едва ли потребляют пропускную способность. Но, честно говоря, большинство компетентных администраторов веб-систем имеют свои серверы с правилами брандмауэра, чтобы в любом случае блокировать пинг-потоки. Итак, опять же, вы сами в одной системе не вызовете ничего, близкого к условию DDoS. Но получите несколько сотен серверов, чтобы сделать это с целевой системой, и тогда у вас будет поведение, которое будет считаться DDoS-атакой.