4 votos

Que ping envía "ICMP echo" como payload?

Nuestro servidor web está bajo ataque por un largo tiempo (al menos varios meses). Tenemos un poco de 50000 ICMP Echo-request mensajes ("ping") por segundo. Si tengo una mirada más cercana a ellos, puedo ver que casi todos ellos tienen la carga de texto "ICMP echo". Los pings que vienen de unos 60000 diferentes direcciones IP (que, por supuesto, puede ser falso, pero yo no lo creo. Diferentes direcciones que se muestran diferentes patrones de envío).

He comprobado varias utilidades de ping: ping de Windows, hrping, fping, psping, hping y nmap (todo bajo Windows); todos ellos no parecen crear esta carga.

¿Alguien tiene alguna idea de qué utilidad incluye este texto como carga? Me gustaría tener una idea de lo que está pasando. Estamos bajo el ataque de una botnet? El malestar de los usuarios? Ha alguien (bueno, un montón de gente) mal configurado el software?

Gracias por tu ayuda.

7voto

Scott Puntos 10303

Parte de la respuesta es que muchas versiones puede hacer esto. Muchas versiones de "ping" apoyo "-p" opción:

patrón

Usted puede especificar hasta 16 "pad" bytes para llenar el paquete que usted envíe. Esto es útil para el diagnóstico de los datos que dependen de problemas en una red. Por ejemplo, pattern hará que el paquete enviado para ser llenado con todos.

Referencias: 1, 2, y 3. Así, por ejemplo, espero que alguna versión compatible de "ping" iba a interpretar el comando para enviar la carga que usted describe.

Notas:

  • Por desgracia, en realidad no puedo comprobar lo que el comando hará, porque yo actualmente no tienen acceso a un sistema que soporta esa opción.
  • Sí, parece raro que alguien que está atacando lo haría. Pero nunca se sabe con las galletas.

0voto

Luis Siquot Puntos 156

50000 pings por segundo de curso está pensado como un ataque de denegación de servicio y, si se trata de 60000 direcciones diferentes, que sin duda es de botnet.

Por supuesto, usted no debe responder a las solicitudes de ping (en el servidor) o por los cortafuegos de ellos.

-2voto

AthomSfere Puntos 8316

ICMP Ping, hemos ICMP, TCP, UDP...

Si necesita más información sobre ICMP, echa un vistazo aquí: http://en.wikipedia.org/wiki/Ping_%28networking_utility%29

Creo que lo que realmente necesita saber es lo que el software que está leyendo esto. De esa manera podemos ver cómo se puede leer el paquete en comparación a decir que la consola cmd.

Aunque hay un poco más a ella, http://en.wikipedia.org/wiki/Internet_Control_Message_Protocol

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: