J'envoie un ensemble de 5 pings à chacun avec un délai d'attente de 5 secondes et un intervalle de 2 minutes entre chaque ensemble. […] Je suis inquiet si les serveurs voient cela comme une attaque DDoS.
La réponse courte:
Je suis tout à fait convaincu que le type de comportement réseau que vous décrivez ne serait jamais considéré comme un comportement DDoS à long terme et pourrait simplement être considéré comme un comportement de trafic / diagnostic normal par les administrateurs système.
N'oubliez pas que tout site Web public sera sondé sur une base assez constante et sans fin. les administrateurs système ne peuvent pas perdre le sommeil à chaque événement de sondage du système qui se produit. Et les règles de pare-feu en place sur la plupart des systèmes gérés de manière compétente attrapent des attaques de type «fruits bas» comme celle-ci au point qu'elles sont vraiment dénuées de sens.
La réponse plus longue:
Honnêtement, je ne pense pas qu'un ensemble de 5 pings avec un délai d'expiration de 5 secondes avec un intervalle "essayons à nouveau" de 2 minutes soit considéré comme quelque chose de proche d'une attaque DDoS si cela provient d'une seule machine. N'oubliez pas qu'un DDoS est une attaque par déni de service distribué avec le mot clé distribué . Cela signifie que plusieurs machines distribuées devraient essentiellement faire quelque chose de «mauvais» à l'unisson pour que l'attaque soit considérée comme DDoS. Et même si vous en aviez envie, 100 serveurs utilisant 5 pings, 5 secondes d'expiration et 2 minutes d'intervalle, les administrateurs système pourraient peut-être voir cela comme un événement «intéressant», mais cela ne serait pas considéré comme une menace.
Maintenant, qu'est-ce qui serait considéré comme une véritable attaque DDoS qui utilise pingcomme agent d'attaque? La forme d'attaque la plus courante serait une «inondation ping» qui est définie comme suit ; je souligne:
Un déluge de ping est une simple attaque par déni de service où l'attaquant submerge la victime avec des paquets de requête d'écho ICMP (ping). Ceci est plus efficace en utilisant l'option Flood de ping qui envoie les paquets ICMP aussi rapidement que possible sans attendre de réponses. La plupart des implémentations de ping nécessitent que l'utilisateur soit privilégié afin de spécifier l'option flood. Il est plus efficace si l'attaquant a plus de bande passante que la victime (par exemple, un attaquant avec une ligne DSL et la victime sur un modem d'accès à distance). L'attaquant espère que la victime répondra avec des paquets ICMP Echo Reply, consommant ainsi à la fois la bande passante sortante et la bande passante entrante. Si le système cible est suffisamment lent, il est possible de consommer suffisamment de ses cycles CPU pour qu'un utilisateur remarque un ralentissement significatif.
Ce qui signifie que la seule façon dont un DDoS ping pourrait se produire, c'est si la bande passante est inondée du côté des victimes, les systèmes de points sont rendus si lents qu'ils sont «arrêtés».
Pour implémenter un véritable «ping flood» simple à partir de la ligne de commande, vous devez exécuter une commande comme celle-ci:
sudo ping -f localhost
Vous vous demandez maintenant ce qui se passerait si, disons, vous exécutiez cette commande avec une cible réelle. Eh bien, si vous le faites depuis votre ordinateur seul vers une cible, cela ne ressemblerait pas du tout à la réception. Des requêtes ping simplement sans fin qui consommeraient à peine la bande passante. Mais honnêtement, la plupart des administrateurs de systèmes Web compétents ont leurs serveurs configurés avec des règles de pare-feu pour bloquer les inondations de ping de toute façon. Encore une fois, vous-même sur un système ne déclencherez rien de proche d'une condition DDoS. Mais demandez à quelques centaines de serveurs de le faire sur un système cible et vous aurez alors un comportement qui serait considéré comme une attaque DDoS.