Ich versende jeweils einen Satz von 5 Pings mit einem Timeout von 5 Sekunden und einem Intervall von 2 Minuten zwischen den Sätzen. […] Ich bin besorgt, wenn die Server dies als DDoS-Angriff sehen.
Die kürzere Antwort:
Ich bin ziemlich sicher, dass das von Ihnen beschriebene Netzwerkverhalten auf lange Sicht nie als DDoS-Verhalten betrachtet wird und von Systemadministratoren einfach als normales Verkehrs- / Diagnoseverhalten angesehen werden kann.
Denken Sie daran, dass jede öffentliche Website ziemlich konstant und endlos geprüft wird. Systemadministratoren können den Schlaf nicht bei jedem Systemprüfungsereignis verlieren, das auftritt. Und die Firewall-Regeln, die auf den meisten kompetent verwalteten Systemen gelten, fangen Angriffe wie "tiefhängende Früchte" so an, dass sie wirklich bedeutungslos sind.
Die längere Antwort:
Ich glaube nicht, dass ein Satz von 5 Pings mit einem 5-Sekunden-Timeout mit einem Intervall von "Lasst uns noch einmal versuchen" von 2 Minuten als etwas betrachtet werden, das einem DDoS-Angriff nahe kommt, wenn dies von einem einzelnen Computer kommt. Denken Sie daran, dass ein DDoS ein verteilter Denial-of-Service-Angriff ist, bei dem das Schlüsselwort verteilt wird . Das heißt, mehrere verteilte Maschinen müssten im Wesentlichen etwas „Schlechtes“ miteinander tun, damit der Angriff als DDoS betrachtet wird. Und selbst wenn Sie 100 Server mit 5 Pings, 5 Sekunden Timeout und 2 Minuten Intervall hätten, könnten Systemadministratoren dies möglicherweise als ein "interessantes" Ereignis betrachten, das jedoch nicht als Bedrohung angesehen wird.
Was wäre nun ein echter DDoS-Angriff, der pingals Angriffsagent verwendet wird? Die häufigste Angriffsform wäre eine "Ping-Flut", die wie folgt definiert ist ; Mutige Betonung liegt bei mir:
Ein Ping-Flood ist ein einfacher Denial-of-Service-Angriff, bei dem der Angreifer das Opfer mit ICMP-Echo-Request-Paketen (Ping-Paketen) überfordert. Dies ist am effektivsten, wenn Sie die Flood-Option Ping verwenden, mit der ICMP-Pakete so schnell wie möglich gesendet werden, ohne auf Antworten zu warten. Bei den meisten Ping-Implementierungen muss der Benutzer über Berechtigungen verfügen, um die Flood-Option anzugeben. Am erfolgreichsten ist es, wenn der Angreifer mehr Bandbreite als das Opfer hat (z. B. ein Angreifer mit einer DSL-Leitung und das Opfer eines DFÜ-Modems). Der Angreifer hofft, dass das Opfer mit ICMP-Echo Reply-Paketen antwortet, wodurch sowohl ausgehende als auch eingehende Bandbreite verbraucht wird. Wenn das Zielsystem langsam genug ist, ist es möglich, genügend CPU-Zyklen in Anspruch zu nehmen, damit ein Benutzer eine erhebliche Verlangsamung feststellen kann.
Dies bedeutet, dass ein Ping-DDoS nur dann passieren kann, wenn Bandbreite auf der Opferseite überflutet wird und die Punktesysteme so langsam werden, dass sie „heruntergefahren“ sind.
Um eine echte, einfache "Ping-Flut" von der Befehlszeile aus zu implementieren, müssen Sie einen Befehl wie den folgenden ausführen:
sudo ping -f localhost Jetzt wundern Sie sich, was passiert, wenn Sie - sagen wir - diesen Befehl mit einem echten Ziel ausführen. Nun, wenn Sie es von Ihrem Einzelcomputer zu einem Ziel machen, würde es auf der Empfängerseite nicht viel aussehen. Einfach endlose Ping-Anfragen, die kaum Bandbreite beanspruchen würden. Aber ehrlich gesagt, haben kompetente Websystemadministratoren ihre Server mit Firewall-Regeln eingerichtet, um Ping-Floods trotzdem zu blockieren. Also lösen Sie selbst auf einem System nichts aus, das einem DDoS-Zustand nahe kommt. Holen Sie sich ein paar hundert Server, um dies auf einem Zielsystem auszuführen, und dann haben Sie ein Verhalten, das als DDoS-Angriff betrachtet wird.