Какова цель использования большого пакета ping?

38

Анализируя некоторые журналы трафика, я заметил, что узел пингует свой шлюз с большим размером пакета ping - от 700 байт до 1 МБ. Это постоянный пинг от узла к шлюзу, и размер одного пинга довольно высок. Кто-нибудь знает, почему это может происходить или есть ли польза (возможно, в целях тестирования) от манипулирования размером PING?

инжектор
источник

Ответы:

48

Это сделано для того, чтобы выбранный путь мог обрабатывать большой пакет, не все маршруты имеют одинаковый MTU . Наличие хорошего MTU также предотвратит фрагментацию IP.

чокнутый урод
источник
2
Использование гигантского кадра не позволяет адекватно проверить, будет ли работать большой кадр. Большинство маршрутизаторов просто фрагментируют больший кадр, если его MTU ниже (хотя некоторые маршрутизаторы в этом случае имеют возможность сбросить). Пинг с использованием флага «не фрагментировать фрагмент» является более подходящим, поскольку он охватывает ВСЕ случаи, когда существует интерфейс с меньшим MTU, чем отправленный пакет.
MaQleod
1
@MaQleod или он проверяет флаг необходимой фрагментации в ответе.
фрик с трещоткой
1
Около 10 лет назад мне пришлось отлаживать MTU по умолчанию в Windows, потому что соединение никогда не работало в определенных местах. Это можно было обнаружить, изменив размер пакета ping со значения по умолчанию на большее. 1500 афаиков было слишком много, а 1400 разрешали нормальную работу (ADSL в Финляндии).
Юха Унтинен,
PPPoE (часто используется с DSL) добавляет 8-байтовый заголовок, поэтому MTU для соединений PPPoE обычно составляет 1492.
LawrenceC
@MaQleod В стандартах достаточно четко указано, что решение о том, фрагментировать ли пакеты слишком большого размера, не должно приниматься маршрутизаторами. В IPv4 отправитель решает, должен ли пакет быть фрагментирован или если ошибка должна быть возвращена отправителю. В IPv6 маршрутизатор никогда не фрагментирует пакет, отправителю всегда отправляется сообщение об ошибке, если пакет слишком велик.
Касперд
46

Единственным преимуществом использования большой нагрузки на пинге является проверка устойчивости линии. Если линия колеблется или переходит в автономный режим с высокой нагрузкой, но не с небольшой нагрузкой, стандартный пинг с 32 байтами не обнаружит проблему.

LPChip
источник
5
Я хотел бы принять оба ответа, так как один дополняет другой. Спасибо.
инжектор
18
Все нормально. Этот комментарий достаточно награды для меня. :)
LPChip
9
В дополнение к этому, когда я ранее работал на интернет-провайдера, мы иногда использовали большие размеры пакетов, чтобы помочь устранить проблемы потери пакетов, когда наша система QoS непреднамеренно отбрасывала самые большие пакеты, когда линия была насыщенной.
Thebluefish
17

Никто не упомянул ПИН СМЕРТИ ??

Пинг смерти - это тип атаки на компьютер, который включает отправку искаженного или иного вредоносного пинга на компьютер. Правильно сформированное сообщение проверки связи обычно имеет размер 56 байтов или 84 байта, если учитывать заголовок Интернет-протокола [IP]. Исторически многие компьютерные системы не могли должным образом обрабатывать пинг-пакет, размер которого превышает максимальный размер пакета IPv4. Большие пакеты могут привести к сбою целевого компьютера .

Как правило, отправка пакета ping размером 65 536 байт нарушает Интернет-протокол, как описано в RFC 791, но пакет такого размера может быть отправлен, если он фрагментирован; когда целевой компьютер повторно собирает пакет, может произойти переполнение буфера, что часто приводит к сбою системы.

Я не думаю, что это широко распространено, как это было раньше, но если вам нужна цель большого ping-пакета, ну, DDoS - один из них.

MDMoore313
источник
2
Ах, атака старого Пинга Смерти (PoD). Большинство современных ОС больше не уязвимы для атак такого типа. Кроме того, большинство современных сетевых устройств больше не уязвимы для этого типа атак. Следует отметить, что исходный сценарий, на котором я основывал свой вопрос, заключался в том, что один внутренний узел проверял свой шлюз.
инжектор
Правда, и я упомянул, что это не так широко распространено, как раньше, однако, если вы думаете, что каждый элемент сетевого оборудования непроницаем для него, или что оно все еще не используется злонамеренно, вы грустно ошибаетесь .
MDMoore313
1
Вы ссылаетесь на один пост Yahoo Ответы - следовательно, это должно быть правдой? Мы можем не соглашаться. Мой комментарий остается в силе. Ура и будь здоров.
инжектор
Название Ping of Death вводит в заблуждение, потому что уязвимость заключается в том, как обрабатывается последний фрагмент, и это даже не говорит вам, какой это тип пакета, поскольку он находится в первом фрагменте. Если хост уязвим, вы можете атаковать его любым типом пакета, если вы отправляете поврежденный последний фрагмент. Кроме того, это не имеет ничего общего с DDoS-атакой. Вам не нужна распределенная атака, когда все, что вы хотите сделать, это отправить один поврежденный пакет. Наконец, вы не можете достичь 1 МБ с фрагментированными пакетами. Предел составляет 128 КБ в теории или 65,5 КБ на практике.
Касперд
5

Просто чтобы предложить другую (маловероятную) возможность - у меня нет никакого контекста относительно того, кто генерирует журнал, и я не знаю, как часто вы видите эти эхо-запросы, а потому, что вы можете поместить все, что хотите, в ICMP / пакеты ping, они иногда используют скрытый канал связи, то есть ICMP / ping-туннель . Предположительно, вы бы видели частые пинги большого размера, выходящие из (и, возможно, возвращающиеся) в данный узел, если кто-то по какой-то причине использует пинг-туннель.

Павел
источник
1
Постоянный PING от узла к GW с интервалом 4-6 секунд.
инжектор
2
Я полагаю, что этот конкретный случай не является туннелем пинга (4-6 секунд будет довольно большой задержкой, и они, очевидно, не получают пингов), я думаю, что другие ответы лучше, но я решил оставить это предложение здесь для потомков, на случай, если кто-то в будущем будет озадачен каким-то странным поведением пинга и не будет знать о пинг-туннелях.
Пол
2
@paul односторонняя связь может быть полезна для программ-шпионов (например, клавиатурные шпионы, отправляющие записанные данные)
трещотка урод
@ratchetfreak Хороший вопрос. Вероятно, шпионское или другое вредоносное ПО также не будет против 5-секундного интервала отправки. Я предполагаю, что вопрос заключается в том, направлены ли пинги на ворота или просто на них.
Пол
@Paul это был постоянный PING для GW, в частности.
инжектор
0

Плохой маршрутизатор, даже проводной, может давать сбой на больших эхо-запросах и преуспевать на небольших, пока не будет перезапущен, поэтому его можно использовать для устранения проблем, подобных этой

Потеря пакета может быть результатом плохого соединения и не всегда может быть обнаружена при обычном пинге.

ping 208.67.222.222 -l 40096 -n 20 или на Linux это -s 40096

Это пингует специальный сервер, который разрешает большой пинг трафик, и ищет потери пакетов на линии. У меня была потеря пакета на проводной линии, которая препятствовала тому, чтобы некоторый трафик пошел туда и обратно.

Джонатан
источник
Почему отрицательный голос?
Джонатан