Tại sao một số máy chủ web không đáp ứng yêu cầu của icmp?


8

Mục đích chặn / giảm lưu lượng ICMP gửi đến trên máy chủ web công cộng là gì? Là nó phổ biến cho nó bị chặn?

Tôi đã phải kiểm tra xem một máy chủ có thể truy cập được từ nhiều địa điểm khác nhau hay không (được thử nghiệm trên nhiều máy chủ khác nhau ở các tiểu bang / quốc gia khác nhau). Tôi dựa vào ping như một phương pháp nhanh chóng và đáng tin cậy để xác định xem máy chủ có trực tuyến / truy cập mạng hay không. Sau khi không nhận được phản hồi trên một vài hộp, tôi đã thử sử dụng lynx để tải trang web và nó đã hoạt động.


6
Warner giải thích nó khá tốt. Bên cạnh - không thử nghiệm một dịch vụ (ICMP) để xác định xem dịch vụ khác (HTTP) có hoạt động không. Hãy tưởng tượng rằng có một bộ cân bằng tải ở phía trước trang web mà bạn quan tâm, phản hồi ping, nhưng bản thân các máy chủ web đều bị định cấu hình sai và không phục vụ gì ngoài "Truy cập bị từ chối". Nếu bạn quan tâm đến tính khả dụng của HTTP, hãy sử dụng curl. Nếu bạn quan tâm đến SMTP, hãy sử dụng tập lệnh để kiểm tra nhận thư. Kiểm tra mã trả lại trên bất cứ điều gì bạn làm kiểm tra.
mfinni

Câu trả lời:


14

Ngày nay khá phổ biến để bỏ ICMP, vì đây là phương pháp chung để sử dụng cho mục đích Từ chối dịch vụ. Một máy chủ có băng thông cao hơn hoặc nhiều máy chủ liên tục ping một máy chủ Web có thể sử dụng tất cả băng thông của nó.

Những người khác có thể giảm để giảm dấu chân của họ trên Internet, do đó có khả năng bị bỏ qua bởi lưu lượng quét hàng loạt.

Mặc dù nó phổ biến, tôi cho rằng nó cung cấp ít giá trị và không làm giảm thiểu DoS và dấu chân trong khi hạn chế tiềm năng chẩn đoán.


Cảm ơn, máy chủ tôi đang kiểm tra là một máy chủ web xử lý công ty vpn. Xem xét loại dịch vụ, bỏ ICMP có ý nghĩa.
John Himmelman

4

Ngoài việc bảo vệ DoS đáng ngờ và cấu hình bị hạ thấp, còn có một lý do phổ biến nhưng bị bỏ qua mà một IP cụ thể có thể không đáp ứng với ping: nó thực sự không được gán cho giao diện.

Chuyển hướng (chuyển tiếp cổng) IP / giao thức / cổng bộ đến các dịch vụ khác nhau mà bạn muốn cung cấp cho bạn mật độ dịch vụ lớn hơn trên một mạng nhỏ hơn.

Ví dụ: giả sử các tuyến ISP của bạn 1.2.3.4/30 cho bạn. Bạn có ba lựa chọn:

  • Định tuyến chúng bình thường. Để lại cho bạn hai IP có thể sử dụng, một trong số đó phải là cổng của bạn, vì vậy một máy chủ duy nhất.
  • IP bên ngoài NAT sang IP nội bộ. Để lại cho bạn bốn máy chủ.
  • Chuyển hướng lưu lượng đến các dịch vụ nội bộ khi cần thiết. SMTP (TCP 25), DNS (TCP / UDP 53) và trang web công ty của bạn (TCP 80,443) đều có thể tồn tại trên một địa chỉ bên ngoài.

Cách thứ ba ngày càng phổ biến. Hầu hết các quản trị viên (bao gồm cả tôi), khi thiết lập nó, đừng bận tâm chuyển hướng ICMP để nó chỉ rơi vào tường lửa.


2

Không có hại trong việc chặn ICMP loại 0 (Trả lời tiếng vang), nhưng chặn tất cả lưu lượng truy cập ICMP sẽ phá vỡ phản hồi cho khách hàng nếu bất kỳ liên kết nào trong đường dẫn retun có MTU nhỏ hơn Kích thước phân đoạn gửi tối đa của kết nối TCP. Điều này xảy ra bởi vì máy chủ web không còn có thể nhận gói ICMP loại 3 mã 4 (Không thể truy cập đích; Phân mảnh cần thiết và DF).

Trong thực tế, điều này không thành vấn đề vì bất kỳ ai cần lưu lượng truy cập cũng phải thiết lập một cơ chế để xử lý vô số máy chủ web mà các ngăn xếp TCP bị cản trở bởi tường lửa bị định cấu hình sai.


1

Giúp từ chối các cuộc tấn công dịch vụ. Không có lý do thực sự để cần các trang web mở để ping từ công chúng.

Thêm vào đó, nó không cung cấp số liệu thống kê cho trang web; một máy chủ hoặc IP có thể dễ dàng trả lời cho cụm máy chủ cân bằng tải ở mặt sau (ping mysite.com không cho bạn biết nếu tất cả các máy chủ hoạt động chính xác sau tên.)

Có thể chỉ là chính sách của công ty để giảm lưu lượng không cần thiết hoặc chỉ cho phép lưu lượng truy cập cổng 80 và SSL được chuyển hướng đến các máy chủ khác trong nội bộ.

Tôi đoán câu hỏi khác là, tại sao phải cho phép các hệ thống bên ngoài ping máy chủ của bạn nếu chúng thực sự không cần thiết?


3
Có một trò đùa ở đây đâu đó .. --- google.com ping thống kê --- 1 gói được truyền, 1 nhận, mất 0% gói, thời gian 0ms rtt min / avg / max / mdev = 52.220 / 52.220 / 52.220 / 0.000 ms --- microsoft.com thống kê ping --- 3 gói được truyền, 0 nhận, mất 100% gói, thời gian 1999ms
Warner
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.