Que ping envia “eco ICMP” como carga útil?

Question

Que ping envia “eco ICMP” como carga útil?

#1 resposta do (7 votos)
#2 resposta do (0 votos)
#3 resposta do (-2 votos)

4

Nosso servidor da Web está sob ataque há muito tempo (pelo menos vários meses). Recebemos cerca de 50000 mensagens de solicitação de eco ICMP ("pings") por segundo . Se eu os observar mais de perto, posso ver que quase todos eles têm o texto de carga útil "ICMP echo". Os pings vêm de cerca de 60000 endereços IP diferentes (que, é claro, podem ser falsificados, mas eu não penso assim. Endereços diferentes mostram padrões de envio diferentes).

Eu verifiquei vários utilitários de ping: ping do Windows, hrping, fping, psping, hping e nmap (tudo no Windows); todos eles não parecem criar essa carga útil.

Alguém tem alguma idéia de qual utilitário inclui este texto como carga útil? Eu gostaria de ter uma ideia do que está acontecendo. Estamos sob ataque de um botnet? Usuários chateados? Alguém (bem, um monte de gente) configurou mal o seu software?

Obrigado pela sua ajuda.

networking ping

por cxxl 21.03.2013 / 16:08

3 respostas

Tags networking ping

Servidores Minecraft - 1 IP externo, 2 servidores, 2 portas - evite especificar porta no jogo - registro SRV Linux: Alertar usuário quando um arquivo é alterado

score 7 · Answer 1

Parte da resposta é que muitas versões podem fazer isso. Muitas versões do “ping” suportam a opção “ -p pattern ”:

-p pattern

You may specify up to 16 “pad” bytes to fill out the packet you send. This is useful for diagnosing data-dependent problems in a network. For example, -p ff will cause the sent packet to be filled with all ones.

Referências: 1 , 2 e 3 . Assim, por exemplo, espero que qualquer versão compatível de “ping” interprete o comando ping -p 49434D50206563686F … para enviar a carga que você descreve.

Notas:

Infelizmente, não posso realmente verificar o que esse comando fará, porque atualmente não tenho acesso a um sistema que suporte essa opção.
Sim, parece improvável que alguém que esteja atacando você faça isso. Mas você nunca sabe com bolachas.

score 0 · Answer 2

50000 pings por segundo, é claro, é um ataque de negação de serviço e, se vier de 60000 endereços diferentes, é indubitavelmente da botnet.

Claro que você não deve responder aos pedidos de ping (no servidor) ou por firewalling deles.

score -2 · Answer 3

ICMP é Ping, temos ICMP, TCP, UDP ...

Se precisar de mais informações sobre o ICMP, dê uma olhada aqui: link

Acho que o que realmente precisamos saber é de que software você está lendo isso. Dessa forma, podemos reunir como ele pode ler o pacote em comparação com o prompt do cmd.

Embora haja um pouco mais, link