Apa yang dimaksud dengan frekuensi ping aman tanpa dianggap sebagai serangan DDoS?

9

Saya mencoba memetakan waktu aktif server dengan melakukan ping secara teratur dan Google lalu membandingkan waktu ping. Saya ingin terus melakukan ini selama — katakanlah — seminggu.

Saya mengirim satu set 5 ping untuk masing-masing dengan batas waktu 5 detik dan interval 2 menit antara setiap set. Mengikuti adalah bashperintah.

while true; do echo Google; date; ping -c 5 -t 5 www.google.com; sleep 120; echo Outlook; date; ping -c 5 -t 5 https://outlook.office365.com/; sleep 120; done >> pings.txt

Saya khawatir jika server melihat ini sebagai serangan DDoS.

wsaleem
sumber
1
lebih baik ping server nama Anda, bukan google. Ini lebih dapat diandalkan dan ping google harus diselesaikan terlebih dahulu dengan cara apa pun.
Jonas Stein
Mesin akan terhubung ke ISP yang berbeda sehingga server nama akan berubah. Kecuali saya bisa menemukannya secara terprogram menggunakan perintah yang sama setiap kali.
wsaleem
3
Umm, kenapa kamu melakukan ping ke URL? Ping menggunakan protokol ICMP. Anda seharusnya melakukan ping saja outlook.office365.com.
nyuszika7h

Jawaban:

12

Saya mengirim satu set 5 ping untuk masing-masing dengan batas waktu 5 detik dan interval 2 menit antara setiap set. […] Saya khawatir jika server melihat ini sebagai serangan DDoS.

Jawaban yang lebih pendek:

Saya cukup yakin tipe perilaku jaringan yang Anda gambarkan tidak akan pernah dianggap sebagai perilaku DDoS dalam waktu yang lama dan mungkin hanya dilihat sebagai lalu lintas normal / perilaku diagnostik oleh administrator sistem.

Ingat, situs web publik apa pun akan diselidiki secara cukup konstan — dan tanpa akhir —; administrator sistem tidak dapat kehilangan tidur selama setiap peristiwa yang menyelidiki sistem yang terjadi. Dan aturan firewall yang diterapkan pada sistem yang paling kompeten menangkap serangan "buah menggantung rendah" seperti ini sampai-sampai mereka benar-benar tidak berarti.

Jawaban yang lebih panjang:

Jujur saya tidak berpikir satu set 5 ping dengan batas waktu 5 detik dengan interval "mari kita coba ini lagi" 2 menit akan dianggap sesuatu yang dekat dengan serangan DDoS jika ini berasal dari satu mesin. Ingat, DDoS adalah serangan penolakan layanan yang didistribusikan dengan kata kunci yang didistribusikan . Berarti banyak, mesin terdistribusi pada dasarnya perlu melakukan sesuatu yang "buruk" bersamaan satu sama lain agar serangan dianggap DDoS. Dan bahkan jika Anda punya, 100 server menggunakan 5 ping, timeout 5 detik dan interval 2 menit, administrator sistem mungkin melihat itu sebagai peristiwa "menarik", tetapi itu tidak akan dianggap sebagai ancaman.

Sekarang apa yang akan dianggap sebagai serangan DDoS sejati yang digunakan pingsebagai agen serangan? Bentuk serangan yang paling umum adalah "banjir ping" yang didefinisikan sebagai berikut ; penekanan berani adalah milikku:

Ping flood adalah serangan denial-of-service sederhana di mana penyerang membanjiri korban dengan paket ICMP Echo Request (ping). Ini paling efektif dengan menggunakan opsi banjir ping yang mengirimkan paket ICMP secepat mungkin tanpa menunggu balasan. Sebagian besar implementasi ping mengharuskan pengguna memiliki hak istimewa untuk menentukan opsi banjir. Paling berhasil jika penyerang memiliki bandwidth lebih banyak daripada korban (misalnya penyerang dengan saluran DSL dan korban pada modem dial-up). Penyerang berharap bahwa korban akan merespons dengan paket ICMP Echo Reply, sehingga menghabiskan bandwidth keluar dan bandwidth masuk. Jika sistem target cukup lambat, dimungkinkan untuk mengkonsumsi cukup siklus CPU-nya agar pengguna dapat melihat perlambatan yang signifikan.

Berarti satu-satunya cara ping DDoS bisa terjadi adalah jika bandwidth dibanjiri di sisi korban ke titik sistem diberikan begitu lambat mereka "turun."

Untuk menerapkan "ping banjir" yang benar dan sederhana dari baris perintah, Anda perlu menjalankan perintah seperti ini:

sudo ping -f localhost

Sekarang Anda bertanya-tanya apa yang akan terjadi jika Anda — katakanlah — menjalankan perintah itu dengan target nyata. Nah, jika Anda melakukannya dari komputer Anda sendiri ke target, itu tidak akan terlihat sama sekali di sisi penerima. Permintaan ping tanpa akhir yang hampir tidak mengkonsumsi bandwidth. Tapi jujur ​​administrator sistem web yang paling kompeten memiliki pengaturan server mereka dengan aturan firewall untuk memblokir ping ping. Jadi sekali lagi, Anda sendiri pada satu sistem tidak akan memicu apa pun yang mendekati kondisi DDoS. Tetapi dapatkan beberapa ratus server untuk melakukan itu ke sistem target dan kemudian Anda memiliki perilaku yang akan dianggap sebagai serangan DDoS.

JakeGould
sumber
1
"Ini paling sukses jika penyerang memiliki bandwidth lebih dari korban" - ini adalah poin penting. Kecuali jika Anda melakukan ping ke situs web yang sangat kecil, dan memiliki layanan internet yang sangat baik, Anda tidak akan dapat menghasilkan banjir yang cukup besar. Oleh karena itu, bagian "terdistribusi", dengan mengambil keuntungan dari beberapa koneksi independen, serangan DDoS tidak memerlukan satu koneksi yang dapat mengalahkan server - ini semua tentang kekuatan gabungan.
zeel