DDoS 是否仍會導致低延遲 ping 回复?
我有一個執行 Asterisk PBX 的託管伺服器,具有以下規格:Debian 9 x86 64 位 Linux、2GB RAM、2TB 頻寬和 20GB SSD 儲存。
近一天來,伺服器似乎一直“離線”。我無法使用 FileZilla (SFTP) SSH 進入或連接到它。然而,我得到了正常的 ping 響應:
Pinging domain.com [IP.AD.DR.ESS] with 32 bytes of data: Reply from IP.AD.DR.ESS: bytes=32 time=28ms TTL=51 Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51 Reply from IP.AD.DR.ESS: bytes=32 time=26ms TTL=51 Reply from IP.AD.DR.ESS: bytes=32 time=27ms TTL=51 Ping statistics for IP.AD.DR.ESS: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 26ms, Maximum = 30ms, Average = 27ms C:\Users\username>ping domain.com Pinging domain.com [IP.AD.DR.ESS] with 32 bytes of data: Reply from IP.AD.DR.ESS: bytes=32 time=27ms TTL=51 Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51 Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51 Reply from IP.AD.DR.ESS: bytes=32 time=43ms TTL=51 Ping statistics for IP.AD.DR.ESS: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 27ms, Maximum = 43ms, Average = 32ms
有一小段時間,我在幾分鐘內收到“響應超時”,但在幾分鐘內它又可以訪問了,從那以後一直是這樣。
具有諷刺意味的是,這裡的平均往返時間比伺服器正常執行時的時間要好一些!
除了昨天的幾分鐘,我的 ping 都沒有超時。
我聯繫了我的伺服器管理員,他之前曾被 DDoS 攻擊過,他說這是一次 DDoS,唯一要做的就是等待。然而,這與我無關。當我查找如何判斷它是否實際上是 DDoS 攻擊時,我一直看到的一件事是:
有幾條線索表明正在進行的 DDoS 攻擊正在發生——Loggly:
- ping 請求的 TTL(生存時間)超時
我讓我的伺服器管理員聯繫伺服器主機,他拒絕了,說這是一次 DDoS 攻擊,唯一要做的就是等待它結束,伺服器主機無法做任何事情,這一切都只是一個浪費時間。
就個人而言,我對此持懷疑態度,尤其是我通過 ping 伺服器發現的內容。
當我嘗試 SSH 時,我什麼都沒有,然後最終軟體導致連接超時,在 FileZilla 中,我得到軟體導致連接中止,無法連接到伺服器。
這真的是一種可能的 DDoS 攻擊嗎?或者其他原因可能對此負責,解釋為什麼伺服器完全無法訪問以及為什麼 ping 它似乎表明伺服器是“健康的”?
哦,另外,對伺服器的所有呼叫(Asterisk)都會被丟棄,所以它不能是任何特定於管理員的,伺服器作為一個整體似乎已經關閉,除了 ping 回复。
伺服器可能受到應用程序級別的 DoS 攻擊。大多數作業系統在核心級別處理 ping 請求(ICMP 包)。伺服器使用者級別可能會耗盡資源,但核心級別具有更高的優先級,允許回复 ping 請求。
但是,不確定您的伺服器是否受到 (D)DoS 攻擊。
要了解 DDoS 的工作原理以及它如何影響伺服器、網路……需要對網路有基本的了解。例如:需要了解OSI 模型和TCP 3 次握手。
大多數 DDoS 攻擊都使用第 4 層或第 7 層方法。
第 4 層攻擊(傳輸層)
SYN洪水
攻擊者從多個位置或更可能通過欺騙的源地址向受害者發送大量 SYN 消息。
目標/受害者伺服器將分配資源來處理此連接。由於攻擊者沒有採取進一步的行動,受害伺服器將處於載入半開連接的狀態。這會導致拒絕服務,因為受害者沒有更多資源來處理其他合法連接。
UDP洪水
攻擊者發送任何類型的(隨機)數據。近年來,一種稱為DNS 放大 DDoS 攻擊的技術已成為一種 UDP 泛洪攻擊。
這種攻擊填滿了伺服器的全部頻寬,甚至可能是上游提供商。因為整個頻寬被填滿,幾乎沒有/沒有合法流量可以到達伺服器。
第 7 層攻擊(應用層)
這些類型的攻擊是特定於應用程序的。
這種攻擊的目標是耗盡任何類型的系統資源。程序可能由於 CPU 使用率高而變得無響應,但也可能由於硬碟驅動器已滿而自行終止。從而導致拒絕服務。