Início / server / Perguntas / 945961
Accepted
InterLinked
Asked: 2018-12-20 03:56:06 +0800 CST

Um DDoS ainda pode resultar em respostas de ping de baixa latência?

  • 772

Eu tenho um servidor hospedado executando o Asterisk PBX com as seguintes especificações: Debian 9 x86 Linux de 64 bits, 2 GB de RAM, largura de banda de 2 TB e armazenamento SSD de 20 GB.

Há quase um dia, o servidor está aparentemente "offline". Não consigo SSH ou me conectar a ele usando o FileZilla (SFTP). No entanto, estou recebendo respostas normais de ping:

Pinging domain.com [IP.AD.DR.ESS] with 32 bytes of data:
Reply from IP.AD.DR.ESS: bytes=32 time=28ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=26ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=27ms TTL=51

Ping statistics for IP.AD.DR.ESS:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 26ms, Maximum = 30ms, Average = 27ms

C:\Users\username>ping domain.com

Pinging domain.com [IP.AD.DR.ESS] with 32 bytes of data:
Reply from IP.AD.DR.ESS: bytes=32 time=27ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=43ms TTL=51

Ping statistics for IP.AD.DR.ESS:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 27ms, Maximum = 43ms, Average = 32ms

Houve um breve período em que, por alguns minutos, recebi "Resposta expirada", mas em poucos minutos estava acessível novamente e tem sido assim desde então.

O irônico aqui é que os tempos médios de ida e volta aqui são um pouco melhores do que normalmente são quando o servidor está operacional!

Além de alguns minutos ontem, nenhum dos meus pings foi expirado.

Entrei em contato com o administrador do meu servidor, que já foi DDoSed antes e ele disse que era um DDoS e a única coisa a fazer seria esperar. No entanto, isso não se soma a mim. Quando pesquisei como poderia dizer se era, de fato, um ataque DDoS, uma coisa que continuei vendo foi:

Existem várias pistas que indicam que um ataque DDoS em andamento está acontecendo — Loggly :

- O TTL (time to live) em uma solicitação de ping expira

Eu pedi ao meu administrador do servidor para entrar em contato com o host do servidor e ele recusou, dizendo que era um ataque DDoS e a única coisa a fazer era esperar que acabasse, que o host do servidor não poderia fazer nada, e tudo seria apenas um perda de tempo.

Pessoalmente, eu estava cético quanto a isso, especialmente com o que encontrei apenas pingando o servidor.

Quando tento SSHing, simplesmente não recebo nada, então, eventualmente, o software causou o tempo limite da conexão e, no FileZilla, recebo o software causou a interrupção da conexão, não pôde se conectar ao servidor.

Isso é realmente um possível ataque DDoS? Ou algo mais poderia ser responsável por isso, explicando por que o servidor está completamente inacessível e por que o ping parece indicar que o servidor está "saudável"?

Ah, também, todas as chamadas (Asterisco) para o servidor são descartadas, então não pode ser nada específico do administrador, o servidor como um todo parece estar inativo, exceto pelas respostas de ping.

linux

1 respostas

  1. Best Answer

    O servidor está possivelmente sob ataque usando um DoS no nível do aplicativo. A maioria dos SOs lida com solicitações de ping (pacotes ICMP) no nível do kernel. O nível de usuário do servidor pode estar esgotado de recursos, mas o nível do kernel tem algumas prioridades mais altas que permitem que as solicitações de ping sejam respondidas.

    No entanto, não há certeza de que seu servidor esteja sob um ataque (D)DoS.

    Para entender como funciona um DDoS e como isso afeta um servidor, rede, ... É necessário um conhecimento básico de rede. Por exemplo: é necessário conhecer o modelo OSI e o handshake de 3 vias TCP .

    A maioria dos ataques DDoS está usando uma abordagem de camada 4 ou camada 7.

    Ataques de camada 4 (camada de transporte)

    Inundação SYN

    O invasor envia uma grande quantidade de mensagens SYN para a vítima de vários locais ou, mais provavelmente, por meio de endereços de origem falsificados.

    O servidor alvo/vítima alocará recursos para lidar com essa conexão. Como nenhuma ação adicional é tomada pelo invasor, o servidor vítima estará em um estado com cargas de conexões semi-abertas . Isso resulta em uma negação de serviço porque a vítima não tem mais recursos para lidar com outras conexões legítimas.

    Inundação de UDP

    O invasor envia qualquer tipo de dados (aleatórios). Nos últimos anos, uma técnica chamada ataque DDoS de amplificação de DNS aumentou como um ataque de inundação UDP.

    Este ataque preenche toda a largura de banda do servidor e até possivelmente o provedor upstream. Como a largura de banda completa é preenchida, quase nenhum/nenhum tráfego legítimo pode chegar ao servidor.

    Ataques de camada 7 (camada de aplicativo)

    Esses tipos de ataques são específicos do aplicativo.

    O objetivo desse tipo de ataque é esgotar qualquer tipo de recurso do sistema. Um processo pode deixar de responder devido ao alto uso da CPU, mas também pode ser encerrado porque o disco rígido está completamente cheio. Assim, resultando em uma negação de serviço.

    • 2

relate perguntas