วัตถุประสงค์ของการใช้แพ็กเก็ต ping ขนาดใหญ่คืออะไร

36

ขณะวิเคราะห์ล็อกทราฟฟิกฉันพบว่าโหนดกำลังส่งผ่านเกตเวย์ด้วยขนาดของปิงแพ็คเก็ตขนาดใหญ่ตั้งแต่ 700 ไบต์ถึง 1 MB มันเป็นค่า ping คงที่จากโหนดหนึ่งไปยังเกตเวย์และขนาดต่อ ping ค่อนข้างสูง ไม่มีใครรู้ว่าทำไมสิ่งนี้อาจเกิดขึ้นหรือหากมีประโยชน์ (อาจเป็นเพื่อการทดสอบ) เพื่อจัดการขนาด PING?

troubleshooting icmp

— injector
แหล่งที่มา

48

เพื่อให้แน่ใจว่าเส้นทางที่นำมาใช้สามารถจัดการแพ็คเก็ตขนาดใหญ่ไม่ใช่เส้นทางทั้งหมดที่มีเหมือนกัน MTU ตลอด. การมี MTU ที่ดีจะป้องกันการกระจายตัวของ IP

— ratchet freak
แหล่งที่มา

2

การใช้เฟรมจัมโบ้นั้นไม่เพียงพอที่จะตรวจสอบว่าเฟรมจัมโบ้นั้นใช้งานได้ เราเตอร์ส่วนใหญ่จะแยกส่วนเฟรมที่ใหญ่กว่าหาก MTU ของมันต่ำกว่า (แม้ว่าเราเตอร์บางตัวจะมีตัวเลือกให้ละทิ้งในกรณีนี้) การ ping โดยใช้แฟล็ก Don't Fragment นั้นเหมาะสมกว่าเนื่องจากครอบคลุมอินสแตนซ์ทั้งหมดที่มีอินเตอร์เฟสที่มี MTU ขนาดเล็กกว่าแพ็กเก็ตที่ส่ง

— MaQleod

1

@MaQleod หรือตรวจสอบการแฟรกเมนต์ที่จำเป็นในการตอบกลับ

— ratchet freak

1

ประมาณ 10 ปีที่แล้วฉันต้องแก้จุดบกพร่อง MTU เริ่มต้นของ Windows เนื่องจากการเชื่อมต่อไม่เคยทำงานในสถานที่เฉพาะ สิ่งนี้สามารถตรวจพบได้โดยการเปลี่ยนขนาดแพ็กเก็ต ping จากค่าเริ่มต้นเป็นขนาดที่ใหญ่กว่า Afaik 1500 มากเกินไปและ 1400 อนุญาตการทำงานปกติ (ADSL ในฟินแลนด์)

— Juha Untinen

PPPoE (ใช้บ่อยกับ DSL) เพิ่มส่วนหัว 8 ไบต์ดังนั้น MTU สำหรับการเชื่อมต่อ PPPoE มักจะเป็น 1492

— LawrenceC

@MaQleod มีการระบุไว้อย่างชัดเจนในมาตรฐานว่าการตัดสินใจว่าจะแยกส่วนแพ็คเก็ตที่มีขนาดใหญ่เกินไปนั้นไม่ใช่เราเตอร์หรือไม่ ใน IPv4 ผู้ส่งตัดสินใจว่าแพ็กเก็ตนั้นจะมีการแยกส่วนหรือหากข้อผิดพลาดจะถูกส่งกลับไปยังผู้ส่ง ใน IPv6 เราเตอร์จะไม่แยกส่วนแพ็คเก็ตข้อผิดพลาดจะถูกส่งไปยังผู้ส่งเสมอหากแพ็กเก็ตใหญ่เกินไป

— kasperd

45

ประโยชน์เพียงอย่างเดียวของการใช้โหลดขนาดใหญ่บน ping คือการทดสอบความเสถียรของเส้น หากบรรทัดมีความผันผวนหรือออฟไลน์พร้อมกับโหลดสูง แต่ไม่ใช่กับการโหลดขนาดเล็ก ping มาตรฐานที่มีขนาดเพียง 32 ไบต์จะไม่ตรวจพบปัญหา

— LPChip
แหล่งที่มา

5

ฉันหวังว่าฉันจะยอมรับคำตอบทั้งสองได้ ขอบคุณ.

— injector

18

ไม่เป็นไร. ความคิดเห็นนี้เพียงพอสำหรับฉัน :)

— LPChip

9

ในการเพิ่มสิ่งนี้เมื่อก่อนหน้านี้ฉันเคยทำงานกับ ISP เราจะใช้ขนาดแพ็คเก็ตที่ใหญ่กว่าเป็นครั้งคราวเพื่อช่วยแก้ไขปัญหาการสูญหายของแพ็กเก็ตที่ระบบ QoS ของเราวางแพ็กเก็ตที่ใหญ่ที่สุดโดยไม่ได้ตั้งใจ

— Thebluefish

16

ไม่มีใครพูดถึง PING แห่งความตาย ??

ping of death เป็นประเภทของการโจมตีบนคอมพิวเตอร์ที่เกี่ยวข้องกับการส่ง ping ที่มีรูปแบบไม่ถูกต้องหรือเป็นอันตรายต่อคอมพิวเตอร์ ข้อความ ping ที่เกิดขึ้นอย่างถูกต้องนั้นมีขนาด 56 ไบต์หรือ 84 ไบต์เมื่อพิจารณาจากส่วนหัวของ Internet Protocol [IP] ในอดีตระบบคอมพิวเตอร์จำนวนมากไม่สามารถจัดการ ping แพ็กเก็ตที่ใหญ่กว่าขนาดแพ็คเก็ต IPv4 สูงสุดได้อย่างเหมาะสม แพ็คเก็ตขนาดใหญ่อาจทำให้คอมพิวเตอร์เป้าหมายผิดพลาด .

โดยทั่วไปแล้วการส่งแพ็กเก็ต ping 65,536 ไบต์ละเมิด Internet Protocol ตามที่ระบุไว้ใน RFC 791 แต่สามารถส่งแพ็กเก็ตขนาดดังกล่าวได้หากมีการแยกส่วน เมื่อคอมพิวเตอร์เป้าหมายประกอบเข้ากับแพคเก็ตใหม่อาจทำให้เกิดบัฟเฟอร์ล้นซึ่งมักจะทำให้ระบบล่ม

ฉันไม่คิดว่ามันจะเป็นที่แพร่หลายอย่างที่เคยเป็น แต่ถ้าคุณต้องการจุดประสงค์ของแพ็คเก็ตปิงขนาดใหญ่ก็ดี DDoS คือ หนึ่ง.

— MDMoore313
แหล่งที่มา

2

อ่าโจมตีปิงแห่งความตาย (PoD) ระบบปฏิบัติการที่ทันสมัยส่วนใหญ่ไม่มีความเสี่ยงต่อการโจมตีประเภทนี้อีกต่อไป นอกจากนี้อุปกรณ์เครือข่ายที่ทันสมัยส่วนใหญ่จะไม่เสี่ยงต่อการโจมตีประเภทนี้อีกต่อไป จากบันทึกย่อสถานการณ์ดั้งเดิมที่ฉันตั้งคำถามของฉันคือโหนดภายในหนึ่งโหนดกำลังส่งผ่านเกตเวย์

— injector

จริงและฉันพูดถึงมันไม่ได้แพร่หลายอย่างที่มันเคยเป็นมาก่อนอย่างไรก็ตามถ้าคุณคิดว่าอุปกรณ์เครือข่ายทุกชิ้นไม่สามารถใช้งานได้ คุณเข้าใจผิดอย่างเศร้าใจ .

— MDMoore313

1

คุณกำลังอ้างอิงโพสต์คำตอบของ Yahoo หนึ่งโพสต์ดังนั้นต้องเป็นจริงหรือไม่ เราสามารถตกลงที่จะไม่เห็นด้วย ความคิดเห็นของฉันยังคงยืนอยู่ ไชโยและเป็นคนดี

— injector

4

ระบบปัจจุบันยังคงมีช่องโหว่ต่อการโจมตีทั่วไปประเภทนี้: คำขอ ICMP ECHO อาจทำให้เกิดการปฏิเสธเงื่อนไขการบริการใน Juniper SSG20 , ช่องโหว่ใน ICMPv6 อาจอนุญาตการปฏิเสธบริการ (Windows Vista-8, Server 2008 และ 2012) .

— Daniel Beck

ชื่อ Ping of Death ทำให้เข้าใจผิดเนื่องจากช่องโหว่อยู่ในการจัดการส่วนสุดท้ายและไม่ได้บอกคุณว่าเป็นแพ็คเก็ตชนิดใดเนื่องจากอยู่ในส่วนแรก หากโฮสต์มีช่องโหว่คุณสามารถโจมตีแพ็คเก็ตประเภทใดก็ได้ตราบใดที่คุณส่งแฟรกเมนต์สุดท้ายที่เสียหาย นอกจากนี้ยังไม่มีอะไรเกี่ยวข้องกับการโจมตี DDoS คุณไม่จำเป็นต้องทำการโจมตีแบบกระจายเมื่อทุกสิ่งที่คุณต้องการคือการส่งแพ็คเก็ตที่เสียหายเพียงครั้งเดียว สุดท้ายคุณไม่สามารถเข้าถึง 1MB ด้วยแพ็กเก็ตที่แยกส่วน ขีด จำกัด คือ 128KB ในทางทฤษฎีหรือในทางปฏิบัติ 65.5KB

— kasperd

4

เพียงเพื่อเสนอความเป็นไปได้อื่น ๆ (ไม่น่าเป็นไปได้) - ฉันไม่มีบริบทเกี่ยวกับผู้ที่สร้างบันทึกและฉันไม่รู้ว่าคุณเห็นการปิงบ่อยแค่ไหน แต่เพราะคุณสามารถใส่สิ่งที่คุณต้องการใน ICMP / ping แพ็กเก็ตบางครั้งพวกเขาจะใช้ช่องทางการสื่อสารที่แอบแฝงเช่น ICMP / ping tunnel . สันนิษฐานว่าคุณจะเห็นการปิงขนาดใหญ่บ่อยครั้งออกจาก (และอาจกลับไป) โหนดที่กำหนดถ้ามีคนกำลังใช้อุโมงค์ปิงด้วยเหตุผลบางอย่าง

— Paul
แหล่งที่มา

PING คงที่จากโหนดไปยัง GW ในช่วงเวลา 4-6 วินาที

— injector

1

ฉันคิดว่ากรณีนี้ไม่ใช่อุโมงค์ ping (4-6 วินาทีจะค่อนข้างล่าช้าและเห็นได้ชัดว่าพวกเขาไม่ได้รับการปิง) ฉันคิดว่าคำตอบอื่นดีกว่า แต่ฉันคิดว่าฉันจะออกจากเรื่องนี้ ข้อเสนอแนะที่นี่สำหรับลูกหลานในกรณีที่บางคนในอนาคตงงงวยโดยพฤติกรรม ping แปลกประหลาดบางอย่างและไม่ทราบเกี่ยวกับ ping tunnels

— Paul

2

@paul การสื่อสารทางเดียวมีประโยชน์สำหรับสปายแวร์ (ตัวอย่างเช่นตัวบันทึกคีย์ที่ส่งข้อมูลที่บันทึกไว้)

— ratchet freak

@ ratchetfreak จุดดี อาจเป็นสปายแวร์หรือมัลแวร์อื่น ๆ ก็ไม่สนใจช่วงเวลาการส่ง 5 วินาทีเช่นกัน ฉันคิดว่าคำถามคือว่าปิงมีจุดมุ่งหมายที่เกตเวย์หรือเพียงแค่จบลงที่นั่น

— Paul

@ พอลมันเป็น PING คงที่ของ GW โดยเฉพาะ

— injector