Estou enviando um conjunto de 5 pings para cada um com um tempo limite de 5 segundos e um intervalo de 2 minutos entre cada conjunto. […] Estou preocupado se os servidores vêem isso como um ataque DDoS.
A resposta mais curta:
Estou bastante confiante de que o tipo de comportamento de rede que você descreve nunca seria considerado um comportamento DDoS a longo prazo e pode ser visto como comportamento normal de tráfego / diagnóstico pelos administradores de sistemas.
Lembre-se de que qualquer site público será analisado de maneira bastante constante - e interminável -; Os administradores de sistemas não podem perder o sono em todos os eventos de análise do sistema que ocorrem. E as regras de firewall implementadas na maioria dos sistemas gerenciados com competência capturam ataques de "baixo desempenho", como esse, a ponto de serem realmente sem sentido.
A resposta mais longa:
Sinceramente, não acho que um conjunto de 5 pings com um intervalo de 5 segundos com um intervalo de "vamos tentar de novo" de 2 minutos seja considerado algo próximo a um ataque DDoS se for de uma única máquina. Lembre-se, um DDoS é um ataque distribuído de negação de serviço com a palavra-chave sendo distribuída . Ou seja, várias máquinas distribuídas precisariam essencialmente fazer algo "ruim" em uníssono para que o ataque fosse considerado DDoS. E mesmo que você queira, 100 servidores usando essa coisa de 5 pings, 5 segundos de tempo limite e 2 minutos, os administradores de sistemas podem ver isso como um evento "interessante", mas isso não seria considerado uma ameaça.
Agora, o que seria considerado um verdadeiro ataque DDoS que usa ping
como agente de ataque? A forma mais comum de ataque seria uma "inundação de ping", definida da seguinte forma ; ênfase em negrito é minha:
Uma inundação de ping é um ataque simples de negação de serviço em que o invasor sobrecarrega a vítima com pacotes de solicitação de eco ICMP (ping). Isso é mais eficaz usando a opção flood do ping, que envia pacotes ICMP o mais rápido possível, sem aguardar respostas. A maioria das implementações de ping exige que o usuário seja privilegiado para especificar a opção de inundação. É mais bem-sucedido se o invasor tiver mais largura de banda que a vítima (por exemplo, um invasor com uma linha DSL e a vítima em um modem dial-up). O invasor espera que a vítima responda com pacotes de resposta de eco ICMP, consumindo, assim, a largura de banda de saída e a largura de banda de entrada. Se o sistema de destino estiver lento o suficiente, é possível consumir o suficiente de seus ciclos de CPU para que um usuário note uma desaceleração significativa.
Significando que a única maneira de ocorrer um DDoS de ping é se a largura de banda for inundada no lado das vítimas, até o ponto em que os sistemas são renderizados tão lentamente que ficam "inoperantes".
Para implementar um verdadeiro e simples "ping flood" na linha de comando, você precisará executar um comando como este:
sudo ping -f localhost
Agora você está se perguntando o que aconteceria se, digamos, executasse esse comando com um alvo real. Bem, se você fizer isso do seu computador solitário para um alvo, não pareceria muito no lado receptor. Solicitações de ping simplesmente intermináveis que mal consumiriam largura de banda. Mas, honestamente, a maioria dos administradores de sistemas web competentes tem seus servidores configurados com regras de firewall para bloquear as inundações de ping de qualquer maneira. Então, novamente, você mesmo em um sistema não acionará nada próximo a uma condição DDoS. Mas consiga algumas centenas de servidores para fazer isso em um sistema de destino e então você terá um comportamento que seria considerado um ataque DDoS.