Яка мета використання великого пакету ping?

38

Аналізуючи деякі журнали трафіку, я помітив, що вузол пінґує його шлюз з великим розміром пакету ping, що становить від 700 байт до 1 Мб. Це постійний ping від вузла до шлюзу, і розмір на ping досить високий. Хтось знає, чому це може статися або якщо є користь (можливо, для тестування) для маніпулювання розміром PING?

troubleshooting icmp

— інжектор
джерело

48

Це потрібно для того, щоб пройдений шлях міг обробляти великий пакет, а не всі маршрути мають однаковий MTU . Наявність гарного MTU також запобіжить фрагментацію IP-адреси.

— храповик виродка
джерело

2

Використання рамки jumbo не належним чином підтверджує, що рамка jumbo буде працювати. Більшість маршрутизаторів просто фрагментують більший кадр, якщо його MTU нижче (хоча деякі маршрутизатори мають можливість скасувати в цьому випадку). Пінг із використанням прапора без фрагмента є більш підходящим, оскільки він охоплює ВСІ випадки, коли є інтерфейс з меншим MTU, ніж надісланий пакет.

— MaQleod

1

@MaQleod або він перевіряє потрібний прапор фрагментації у відповіді.

— храповик виродка

1

Якихось 10 років тому мені довелося налагоджувати MTU Windows за замовчуванням, тому що з'єднання ніколи не працювало до конкретних місць. Це було виявлено, змінивши розмір пакета ping із значення за замовчуванням на більші. Afaik 1500 було занадто багато, і 1400 дозволили нормальну роботу (ADSL у Фінляндії).

— Juha Untinen

PPPoE (використовується часто разом з DSL) додає 8-байтний заголовок, тому MTU для PPPoE-з'єднань зазвичай становить 1492.

— LawrenceC

@MaQleod Досить чітко зазначено в стандартах, що рішення про те, чи потрібно фрагментувати пакети, які були занадто великими, маршрутизатори не повинні приймати. У IPv4 відправник вирішує, чи потрібно фрагментувати пакет або помилку потрібно повернути відправнику. У IPv6 маршрутизатор ніколи не фрагментує пакет, помилка завжди надсилається відправнику, якщо пакет занадто великий.

— kasperd

46

Єдина перевага використання великого навантаження на пінг - це перевірка стійкості лінії. Якщо лінія коливається або переходить в офлайн з великим навантаженням, але не з невеликим навантаженням, стандартний пінг із лише 32 байтами не виявить проблему.

— LPChip
джерело

5

Я б хотів, щоб я міг прийняти обидві відповіді, як одна доповнює іншу. Дякую.

— інжектор

18

Все добре. Цей коментар для мене достатньо нагороди. :)

— LPChip

9

Для доповнення до цього, коли я раніше працював над провайдером, ми періодично використовували більші розміри пакетів, щоб допомогти вирішити проблеми втрати пакетів, коли наша система QoS ненароком скинула найбільші пакети, коли рядок був насичений.

— Thebluefish

17

Ніхто не згадав ПІНГ СМЕРТИ ??

Пінг смерті - це тип нападу на комп’ютер, що передбачає надсилання неправильно сформованого чи іншим чином шкідливого пінгу на комп'ютер. Правильно сформоване повідомлення ping зазвичай має розмір 56 байт або 84 байти при розгляді заголовка Інтернет-протоколу [IP]. Історично багато комп'ютерних систем не могли належним чином обробити пакет ping, більший за максимальний розмір пакета IPv4. Більші пакети можуть зірвати цільовий комп'ютер .

Як правило, надсилання пакета ping 65,536 байт порушує Інтернет-протокол, як це зафіксовано в RFC 791, але пакет такого розміру може бути відправлений, якщо він фрагментований; коли цільовий комп'ютер знову збирає пакет, може статися переповнення буфера, що часто спричиняє збій системи.

Я не думаю, що це широко розповсюджено, як це було раніше, але якщо ви хочете призначити великий пакет пінг-програм, ну DDoS - це одне.

— MDMoore313
джерело

2

Ах, атака ol 'Ping of Death (PoD). Більшість сучасних ОС вже не вразливі до цього типу атак. Також більшість сучасних мережевих пристроїв більше не вразливі до цього типу атак. Зауважимо, первісний сценарій, на якому я базував своє питання, полягав у тому, що єдиний внутрішній вузол обманював його шлюз.

— інжектор

Щоправда, і я згадав, що це не настільки широко, як раніше, але якщо ви думаєте, що кожен окремий предмет мережевого обладнання йому непроникний, або що він досі не використовується зловмисно, ви сумно помиляєтесь .

— MDMoore313

1

Ви посилаєтесь на один Yahoo Answers post - отже, це має бути правдою? Ми можемо погодитися не погодитися. Мій коментар досі стоїть. Будьте здорові і будьте добре.

— інжектор

4

Поточні системи все ще вразливі до цього загального типу нападу: ICMP ECHO REQUEST може спричинити відмову в обслуговуванні на Juniper SSG20 , вразливість в ICMPv6 може призвести до відмови в сервісі (Windows Vista-8, Server 2008 та 2012) .

— Даніель Бек

Назва Ping of Death вводить в оману, оскільки вразливість полягає в тому, як обробляється останній фрагмент, і це навіть не говорить вам про тип пакету, оскільки це в першому фрагменті. Якщо хост вразливий, ви можете атакувати його будь-яким типом пакетів, поки ви надсилаєте пошкоджений останній фрагмент. Крім того, це не має нічого спільного з DDoS-атакою. Вам не потрібна розподілена атака, коли все, що ви хочете зробити, - це надіслати один пошкоджений пакет. Нарешті, ви не можете досягти 1 Мб з фрагментованими пакетами. Обмеження становить 128 КБ теоретично або 65,5 КБ на практиці.

— kasperd

5

Просто запропоную ще одну (малоймовірну) можливість - у мене немає жодного контексту щодо того, хто генерує журнал, і я не знаю, як часто ви бачите ці пінг, але тому що ви можете помістити все, що завгодно, в ICMP / Ping-пакети, вони періодично використовують прихований канал зв'язку, тобто ICMP / ping-тунель . Імовірно, ви бачите часті пінг великого розміру, що виходять (і, можливо, повертаються до) даного вузла, якщо хтось з якихось причин використовує пінг-тунель.

— Пол
джерело

1

Постійний PING від вузла до GW, на інтервалі 4-6 секунд.

— інжектор

2

Я думаю, що цей конкретний випадок не є пінг-тунелем (4-6 секунд буде досить довгою затримкою, і вони, мабуть, не отримують ніяких пінгвів), я думаю, що інші відповіді краще, але я подумав, що я залишу це пропозиція тут для нащадків, якщо хтось у майбутньому спантеличить якоюсь химерною поведінкою пінгу та не знає про пінг-тунелі.

— Павло

2

@paul один спосіб спілкування може бути корисним для шпигунських програм (наприклад, ключові реєстратори, що надсилають зареєстровані дані)

— ratchet freak

@ratchetfreak Добре. Можливо, шпигунське та інше зловмисне програмне забезпечення також не буде проти інтервалу надсилання 5 секунд. Я думаю, питання полягає в тому, чи спрямовані пінгви до шлюзу чи просто закінчуються там.

— Павло

@Paul це був постійний PING для GW конкретно.

— інжектор

0

Поганий маршрутизатор, навіть провідний, може вийти з ладу на великих пінгах і досягти успіху на малих, до перезавантаження, тому його можна використовувати для налагодження таких проблем, як цей

Втрата пакету може бути наслідком поганого з'єднання, і його не завжди можна виявити за допомогою звичайного пінгу.

ping 208.67.222.222 -l 40096 -n 20 або в Linux це -s 40096

Цей пінг - спеціальний сервер, який дозволяє велику кількість пінг-трафіку, і шукає втрати пакетів у лінії. У мене була втрата пакету по проводовій лінії, що заважало деякому трафіку об'їжджати.

— Джонатан
джерело

Чому потік?

— Джонатан