Jaki jest cel używania dużego pakietu ping?

38

Analizując niektóre dzienniki ruchu, zauważyłem, że węzeł pinguje swoją bramę przy dużym rozmiarze pakietu ping, od 700 bajtów do 1 MB. Jest to stały ping od węzła do bramy, a rozmiar na ping jest raczej wysoki. Czy ktoś wie, dlaczego tak się dzieje lub czy manipulowanie rozmiarem PING przynosi korzyść (być może do celów testowych)?

troubleshooting icmp wtryskiwacz
źródło

Odpowiedzi:

48

Ma to na celu zapewnienie, że wybrana ścieżka może obsłużyć duży pakiet, a nie wszystkie trasy mają tę samą MTU . Posiadanie dobrego MTU zapobiegnie również fragmentacji IP.

maniak zapadkowy
źródło
2
Użycie ramki typu jumbo nie sprawdza, czy rama typu jumbo będzie działać poprawnie. Większość routerów po prostu fragmentuje większą ramkę, jeśli jej MTU jest niższa (chociaż niektóre routery mają opcje do odrzucenia w tym przypadku). Polecenie ping korzystające z flagi „nie fragmentuj” jest bardziej odpowiednie, ponieważ obejmuje WSZYSTKIE instancje, w których istnieje interfejs z mniejszą jednostką MTU niż wysłany pakiet.
MaQleod
1
@MaQleod lub sprawdza flagę potrzebnej fragmentacji w odpowiedzi.
maniak zapadkowy
1
Jakieś 10 lat temu musiałem debugować domyślną MTU systemu Windows, ponieważ połączenie nigdy nie działało w określonych miejscach. Można to było wykryć, zmieniając rozmiar pakietu ping z wartości domyślnej na większą. Afaik 1500 to za dużo, a 1400 pozwoliło na normalne działanie (ADSL w Finlandii).
Juha Untinen
PPPoE (często używany z DSL) dodaje 8-bajtowy nagłówek, więc MTU dla połączeń PPPoE wynosi zwykle 1492.
LawrenceC
@MaQleod W standardach jest dość jasno powiedziane, że routery nie podejmują decyzji, czy fragmentować pakiety, które były zbyt duże. W IPv4 nadawca decyduje, czy pakiet ma zostać podzielony na fragmenty, czy też błąd ma zostać zwrócony do nadawcy. W IPv6 router nigdy nie fragmentuje pakietu, błąd jest zawsze wysyłany do nadawcy, jeśli pakiet jest zbyt duży.
kasperd
46

Jedyną zaletą użycia dużego obciążenia dla polecenia ping jest przetestowanie stabilności linii. Jeśli linia zmienia się lub przechodzi w tryb offline przy dużym obciążeniu, ale nie przy małym obciążeniu, standardowy ping z zaledwie 32 bajtami nie wykryje problemu.

LPChip
źródło
5
Chciałbym móc zaakceptować obie odpowiedzi, ponieważ jedna z nich uzupełnia drugą. Dziękuję Ci.
wtryskiwacz
18
W porządku. Ten komentarz jest dla mnie wystarczającą nagrodą. :)
LPChip
9
Dodatkowo, kiedy wcześniej pracowałem dla ISP, od czasu do czasu korzystaliśmy z większych rozmiarów pakietów, aby pomóc w rozwiązywaniu problemów z utratą pakietów, w których nasz system QoS nieumyślnie upuszczał największe pakiety, gdy linia była nasycona.
Thebluefish
17

Nikt nie wspominał PING OF DEATH ??

Ping śmierci to rodzaj ataku na komputer, który polega na wysłaniu do komputera zniekształconego lub w inny sposób złośliwego polecenia ping. Prawidłowo utworzony komunikat ping ma zwykle rozmiar 56 bajtów lub 84 bajty, jeśli uwzględni się nagłówek protokołu internetowego [IP]. Historycznie wiele systemów komputerowych nie mogło poprawnie obsługiwać pakietu ping większego niż maksymalny rozmiar pakietu IPv4. Większe pakiety mogą spowodować awarię komputera docelowego .

Ogólnie rzecz biorąc, wysłanie pakietu ping o długości 65 536 bajtów narusza protokół internetowy, jak udokumentowano w RFC 791, ale pakiet takiej wielkości może zostać wysłany, jeśli zostanie pofragmentowany; gdy komputer docelowy ponownie składa pakiet, może wystąpić przepełnienie bufora, co często powoduje awarię systemu.

Nie wydaje mi się, aby było to powszechne, ale jeśli chcesz mieć duży pakiet ping, cóż, DDoS jest jednym z nich.

MDMoore313
źródło
2
Ach, stary atak Ping of Death (PoD). Większość współczesnych systemów operacyjnych nie jest już podatna na tego typu ataki. Ponadto większość nowoczesnych urządzeń sieciowych nie jest już narażona na tego typu ataki. Warto zauważyć, że oryginalny scenariusz, na którym oparłem moje pytanie, był taki, że pojedynczy węzeł wewnętrzny pingował swoją bramę.
wtryskiwacz
To prawda, i wspomniałem, że nie jest tak rozpowszechniony, jak kiedyś, jednak jeśli uważasz, że każdy element sprzętu sieciowego jest dla niego nieprzepuszczalny lub że nie jest nadal wykorzystywany złośliwie, to niestety się mylisz .
MDMoore313
1
Odwołujesz się do jednego posta z odpowiedziami Yahoo - dlatego to musi być prawda? Możemy zgodzić się nie zgadzać. Mój komentarz jest nadal ważny. Na zdrowie i bądź zdrowy.
wtryskiwacz
4
Obecne systemy są nadal podatne na ten ogólny rodzaj ataku: Żądanie ICMP ECHO może spowodować odmowę usługi w Juniper SSG20 , Luka w zabezpieczeniach ICMPv6 może pozwolić na Denial of Service (Windows Vista-8, Server 2008 i 2012) .
Daniel Beck
Nazwa Ping of Death wprowadza w błąd, ponieważ luka dotyczy sposobu, w jaki obsługiwany jest ostatni fragment, a to nawet nie mówi, jaki to rodzaj pakietu, ponieważ znajduje się on w pierwszym fragmencie. Jeśli host jest podatny na atak, możesz go zaatakować dowolnym rodzajem pakietu, o ile wyślesz uszkodzony ostatni fragment. Nie ma to również nic wspólnego z atakiem DDoS. Nie potrzebujesz rozproszonego ataku, gdy wszystko, co chcesz zrobić, to wysłać jeden uszkodzony pakiet. Wreszcie nie można osiągnąć 1 MB przy pofragmentowanych pakietach. Limit wynosi 128 KB w teorii lub 65,5 KB w praktyce.
kasperd
5

Po prostu oferuję inną (mało prawdopodobną) możliwość - nie mam żadnego kontekstu, kto generuje dziennik, i nie wiem, jak często widzisz te pingi, ale ponieważ możesz włożyć ICMP / cokolwiek chcesz. pakiety ping, są czasami używane jako tajny kanał komunikacyjny, tj . tunel ICMP / ping . Prawdopodobnie zobaczysz częste pingi o dużych rozmiarach wychodzące z danego węzła (i prawdopodobnie do niego wracają), jeśli ktoś z jakiegoś powodu korzysta z tunelu ping.

Paweł
źródło
1
Stały PING od węzła do GW, w odstępie 4-6 sekund.
wtryskiwacz
2
Wyobrażam sobie, że ten konkretny przypadek nie jest tunelem pingowym (4-6 sekund byłoby dość długim opóźnieniem i najwyraźniej nie otrzymują żadnych pingów), myślę, że inne odpowiedzi są lepsze, ale pomyślałem, że zostawię to propozycja dla potomnych, na wypadek, gdyby ktoś w przyszłości był zaskoczony dziwnym zachowaniem pingowania i nie wiedział o tunelach pingujących.
Paul
2
@ paul komunikacja w jedną stronę może być przydatna w przypadku programów szpiegujących (na przykład rejestratory kluczy wysyłające zarejestrowane dane)
maniak ratchet
@ratchetfreak Good point. Prawdopodobnie oprogramowanie szpiegujące lub inne złośliwe oprogramowanie również nie miałoby nic przeciwko 5-sekundowemu odstępowi wysyłania. Przypuszczam, że pytanie brzmi, czy pingi są skierowane na bramę, czy tylko tam się kończą.
Paul
@Paul był to stały PING specjalnie dla GW.
wtryskiwacz
0

Zły router, nawet podłączony, może zawieść przy dużych pingach i odnieść sukces na małych, dopóki nie zostanie zrestartowany, więc można go użyć do debugowania problemów takich jak ten

Utrata pakietów może być wynikiem złego połączenia i nie zawsze może być wykryta przy normalnym pingu.

ping 208.67.222.222 -l 40096 -n 20 lub na Linuksie to -s 40096

To pinguje specjalny serwer, który pozwala na duży ruch ping i szuka utraty pakietów w linii. Miałem utratę pakietów na linii przewodowej, co uniemożliwiło niektórym ruchom podróż dookoła.

Jonathan
źródło
Dlaczego głosowanie negatywne?
Jonathan