Mục đích của việc sử dụng một gói ping lớn là gì?

38

Khi phân tích một số nhật ký lưu lượng, tôi nhận thấy một nút ping cổng của nó với kích thước gói ping lớn, từ 700 byte đến 1 MB. Đó là một ping liên tục từ nút đến cổng và kích thước trên mỗi ping khá cao. Có ai biết tại sao điều này có thể xảy ra hoặc nếu có một lợi ích (có thể cho mục đích thử nghiệm) để thao túng kích thước PING không?

troubleshooting icmp

— người tiêm
nguồn

48

Để đảm bảo rằng đường dẫn được thực hiện có thể xử lý gói lớn, không phải tất cả các tuyến đều có cùng một MTU . Có một MTU tốt cũng sẽ ngăn ngừa sự phân mảnh IP.

— quái vật
nguồn

2

Sử dụng khung jumbo không xác nhận hợp lệ rằng khung jumbo sẽ hoạt động. Hầu hết các bộ định tuyến sẽ chỉ phân đoạn một khung lớn hơn nếu MTU của nó thấp hơn (mặc dù một số bộ định tuyến có các tùy chọn để loại bỏ trong trường hợp này). Một ping sử dụng cờ không phân đoạn là phù hợp hơn vì nó bao gồm TẤT CẢ các trường hợp có giao diện với MTU nhỏ hơn gói được gửi.

— MaQleod

1

@MaQleod hoặc nó kiểm tra cờ phân mảnh cần thiết trong câu trả lời.

— ratchet freak

1

Khoảng 10 năm trước, tôi đã phải gỡ lỗi MTU mặc định của Windows, vì kết nối không bao giờ hoạt động ở những nơi cụ thể. Điều này có thể được phát hiện bằng cách thay đổi kích thước gói ping từ giá trị mặc định sang giá trị lớn hơn. Afaik 1500 là quá nhiều và 1400 cho phép hoạt động bình thường (ADSL ở Phần Lan).

— Juha Untinen

PPPoE (được sử dụng thường xuyên với DSL) thêm tiêu đề 8 byte, do đó, MTU cho các kết nối PPPoE thường là 1492.

— LawrenceC

@MaQleod Điều này được quy định khá rõ ràng trong các tiêu chuẩn, rằng quyết định về việc có nên phân chia các gói quá lớn hay không sẽ không được đưa ra bởi các bộ định tuyến. Trong IPv4, người gửi quyết định xem gói tin có bị phân mảnh hay không nếu có lỗi được trả lại cho người gửi. Trong IPv6 một bộ định tuyến không bao giờ phân mảnh một gói, một lỗi luôn được gửi đến người gửi nếu một gói quá lớn.

— kasperd

46

Lợi ích duy nhất của việc sử dụng tải trọng lớn trên ping là kiểm tra tính ổn định của dòng. Nếu một dòng dao động hoặc ngoại tuyến với tải cao, nhưng không phải với tải nhỏ, một ping tiêu chuẩn chỉ có 32 byte sẽ không phát hiện ra vấn đề.

— LPChip
nguồn

5

Tôi ước tôi có thể chấp nhận cả hai câu trả lời, vì cái này bổ sung cho cái kia. Cảm ơn bạn.

— tiêm

18

Không sao đâu Nhận xét này là đủ phần thưởng cho tôi. :)

— LPChip

9

Để thêm vào điều này, trước đây khi tôi làm việc cho một ISP, đôi khi chúng tôi sẽ sử dụng các kích thước gói lớn hơn để giúp khắc phục các sự cố mất gói trong đó hệ thống QoS của chúng tôi đã vô tình làm rơi các gói lớn nhất khi dòng bão hòa.

— Thebluefish

17

Không ai nhắc đến PING OF DEATH ??

Ping of death là một kiểu tấn công vào máy tính liên quan đến việc gửi ping không đúng định dạng hoặc ác ý đến máy tính. Thông báo ping được định dạng chính xác thường có kích thước 56 byte hoặc 84 byte khi tiêu đề [IP] Giao thức Internet được xem xét. Trong lịch sử, nhiều hệ thống máy tính không thể xử lý đúng gói ping lớn hơn kích thước gói IPv4 tối đa. Các gói lớn hơn có thể làm sập máy tính mục tiêu .

Nói chung, việc gửi gói ping 65,536 byte vi phạm Giao thức Internet như được ghi trong RFC 791, nhưng một gói có kích thước như vậy có thể được gửi nếu bị phân mảnh; khi máy tính mục tiêu lắp ráp lại gói, lỗi tràn bộ đệm có thể xảy ra, điều này thường gây ra sự cố hệ thống.

Tôi không nghĩ nó phổ biến như trước đây, nhưng nếu bạn muốn mục đích của một gói ping lớn, thì, DDoS là một.

— MDMoreore313
nguồn

2

À, cuộc tấn công của Ping 'Death of Po (PoD). Hầu hết các hệ điều hành hiện đại không còn dễ bị tấn công kiểu này nữa. Ngoài ra, hầu hết các thiết bị mạng hiện đại không còn dễ bị tấn công kiểu này. Đáng chú ý, kịch bản ban đầu mà tôi dựa trên câu hỏi của mình, đó là một nút nội bộ duy nhất đang ping cổng.

— tiêm

Đúng, và tôi đã đề cập đến nó không phổ biến như trước đây, tuy nhiên nếu bạn nghĩ rằng mọi thiết bị mạng đều không phù hợp với nó, hoặc nó vẫn không được sử dụng độc hại, thì bạn đã nhầm .

— MDMoore313

1

Bạn đang tham khảo một bài trả lời của Yahoo - do đó nó phải đúng? Chung ta co thể tỏ ra đông y để thể hiện chẳng đông y chut nao. Nhận xét của tôi vẫn đứng. Chúc mừng và được tốt.

— tiêm

4

Các hệ thống hiện tại vẫn dễ bị tấn công theo kiểu chung này: ICMP ECHO REQUEST có thể gây ra sự từ chối điều kiện dịch vụ trên Juniper SSG20 , Tính dễ bị tổn thương trong ICMPv6 có thể cho phép Từ chối dịch vụ (Windows Vista-8, Server 2008 và 2012) .

— Daniel Beck

Cái tên Ping of Death gây hiểu nhầm, bởi vì lỗ hổng nằm ở cách xử lý đoạn cuối cùng và thậm chí nó không cho bạn biết đó là loại gói nào, vì đó là trong đoạn đầu tiên. Nếu một máy chủ dễ bị tấn công, bạn có thể tấn công nó với bất kỳ loại gói nào, miễn là bạn gửi một đoạn cuối bị hỏng. Ngoài ra, điều này không liên quan gì đến một cuộc tấn công DDoS. Bạn không cần một cuộc tấn công phân tán, khi tất cả những gì bạn muốn làm là gửi một gói bị hỏng. Cuối cùng, bạn không thể đạt tới 1MB với các gói bị phân mảnh. Giới hạn là 128KB trên lý thuyết hoặc 65,5KB trong thực tế.

— kasperd

5

Chỉ để cung cấp một khả năng khác (không thể) - Tôi không có bất kỳ bối cảnh nào về việc ai sẽ tạo ra nhật ký và tôi không biết bạn có thường xuyên nhìn thấy các ping này không, nhưng vì bạn có thể đặt bất cứ điều gì bạn muốn vào ICMP / Các gói ping, đôi khi chúng được sử dụng một kênh liên lạc bí mật, tức là đường hầm ICMP / ping . Có lẽ bạn sẽ thấy các ping kích thước lớn thường xuyên đi ra (và có thể quay lại) một nút nhất định, nếu ai đó đang sử dụng đường hầm ping vì một số lý do.

— Phaolô
nguồn

1

PING không đổi từ nút đến GW, trong khoảng thời gian 4-6 giây.

— tiêm

2

Tôi tưởng tượng rằng trường hợp cụ thể này không phải là một đường hầm ping (4 - 6 giây sẽ có độ trễ khá dài và dường như họ không nhận được bất kỳ lệnh ping nào), tôi nghĩ rằng các câu trả lời khác tốt hơn, nhưng tôi nghĩ rằng tôi sẽ rời khỏi đây đề nghị ở đây cho hậu thế, trong trường hợp ai đó trong tương lai bị bối rối bởi một số hành vi ping kỳ quái và không biết về đường hầm ping.

— Paul

2

@paul giao tiếp một chiều có thể thuận tiện cho phần mềm gián điệp (ví dụ: trình ghi nhật ký khóa gửi dữ liệu đã đăng nhập)

— ratchet freak

@ratchetfreak Điểm tốt. Có lẽ phần mềm gián điệp hoặc phần mềm độc hại khác cũng sẽ không bận tâm đến khoảng thời gian gửi 5 giây. Tôi cho rằng câu hỏi là liệu các ping có nhắm vào cổng hay chỉ kết thúc ở đó.

— Paul

@Paul đó là một PING không đổi cho GW cụ thể.

— tiêm

0

Một bộ định tuyến xấu, thậm chí có dây, có thể thất bại trên các ping lớn và thành công trên các bộ định tuyến nhỏ, cho đến khi được khởi động lại, vì vậy nó có thể được sử dụng để gỡ lỗi các vấn đề như thế này

Mất gói có thể là kết quả của một kết nối xấu và không thể luôn luôn được phát hiện với một ping thông thường.

ping 208.67.222.222 -l 40096 -n 20 hoặc trên linux -s 40096

Điều này ping một máy chủ đặc biệt cho phép lưu lượng ping lớn và tìm kiếm mất gói trên dòng. Tôi đã bị mất gói trên một đường dây có thể ngăn một số lưu lượng truy cập đi khứ hồi.

— Jonathan
nguồn

Tại sao các downvote?

— Jonathan