I am sending a set of 5 pings to each with a timeout of 5 seconds and an interval of 2 minutes between each set. […] I am concerned if the servers see this as a DDoS attack.
A resposta mais curta:
Tenho certeza de que o tipo de comportamento de rede que você descreve nunca seria considerado um comportamento DDoS por um longo caminho e pode simplesmente ser visto como comportamento normal de tráfego / diagnóstico por administradores de sistemas.
Lembre-se de que qualquer site público será analisado de forma bastante constante e interminável; os administradores de sistemas não podem perder o sono durante todo o evento de sondagem do sistema que acontece. E as regras de firewall implementadas nos sistemas gerenciados com mais competência capturam ataques de “baixa qualidade”, a ponto de serem realmente sem sentido.
A resposta mais longa:
Sinceramente, não acho que um conjunto de 5 pings com um intervalo de 5 segundos com um intervalo "vamos tentar novamente" de 2 minutos seja considerado algo próximo de um ataque DDoS, se for proveniente de uma única máquina. Lembre-se, um DDoS é um ataque distribuído de negação de serviço com a palavra chave sendo distribuída . O significado de várias máquinas distribuídas precisaria essencialmente fazer algo "ruim" em uníssono entre si para que o ataque fosse considerado DDoS. E mesmo se você tivesse, 100 servidores usando esse 5 pings, 5 segundos de tempo limite e 2 minutos de intervalo, os administradores de sistemas poderiam ver isso como um evento "interessante", mas isso não seria considerado uma ameaça.
Agora, o que seria considerado um ataque DDoS verdadeiro que usa ping
como agente de ataque? A forma mais comum de ataque seria um "flood de ping", que é definido da seguinte forma ; ênfase ousada é minha:
A ping flood is a simple denial-of-service attack where the attacker overwhelms the victim with ICMP Echo Request (ping) packets. This is most effective by using the flood option of ping which sends ICMP packets as fast as possible without waiting for replies. Most implementations of ping require the user to be privileged in order to specify the flood option. It is most successful if the attacker has more bandwidth than the victim (for instance an attacker with a DSL line and the victim on a dial-up modem). The attacker hopes that the victim will respond with ICMP Echo Reply packets, thus consuming both outgoing bandwidth as well as incoming bandwidth. If the target system is slow enough, it is possible to consume enough of its CPU cycles for a user to notice a significant slowdown.
O que significa que a única forma de um DDoS de ping acontecer é se a largura de banda for inundada no lado das vítimas para que os sistemas de ponto sejam renderizados tão lentamente que estejam "inativos".
Para implementar um "ping flood" verdadeiro e simples a partir da linha de comando, você precisaria executar um comando como este:
sudo ping -f localhost
Agora você está se perguntando o que aconteceria se você - digamos - executasse esse comando com um alvo real. Bem, se você fizer isso de seu computador solitário para um alvo, não seria muito parecido com o lado de recebimento. Simplesmente intermináveis solicitações de ping que mal consomem largura de banda. Mas, honestamente, os administradores de sistemas da Web mais competentes têm seus servidores configurados com regras de firewall para bloquear as inundações de ping de qualquer maneira. Então, novamente, você mesmo em um sistema não acionará nada próximo a uma condição de DDoS. Mas pegue algumas centenas de servidores para fazer isso em um sistema alvo e então você tem um comportamento que seria considerado um ataque DDoS.