Perché alcuni server Web non rispondono alle richieste icmp?


8

Qual è lo scopo di bloccare / eliminare il traffico ICMP in entrata su un server Web pubblico? È comune per essere bloccato?

Ho dovuto verificare se un server era accessibile da varie posizioni (testato su vari server situati in diversi stati / paesi). Farei affidamento sul ping come metodo rapido e affidabile per determinare se un server era online / accessibile in rete. Dopo aver ricevuto una risposta su un paio di caselle, ho provato a utilizzare lince per caricare il sito e ha funzionato.


6
Warner lo ha spiegato abbastanza bene. A parte questo, non testare un servizio (ICMP) per determinare se un altro (HTTP) funziona. Immagina che ci sia un bilanciamento del carico di fronte al sito web che ti interessa, che risponde al ping, ma i server web stessi sono tutti configurati male e non servono altro che "Accesso negato". Se ti interessa la disponibilità di HTTP, usa curl. Se ti interessa SMTP, usa uno script per verificare la ricezione della posta. Controlla i codici di ritorno su qualsiasi cosa tu controlli.
mfinni,

Risposte:


14

In questi giorni è abbastanza comune eliminare ICMP, in quanto si tratta di un metodo generico da utilizzare a scopo di negazione del servizio. Un host con larghezza di banda superiore o un multiplo di host che eseguono ripetutamente il ping di un singolo server Web potrebbero utilizzare tutta la sua larghezza di banda.

Altri potrebbero cadere per ridurre la loro impronta su Internet, potenzialmente essere trascurati dal traffico di scansione di massa.

Sebbene sia comune, direi che fornisce poco valore e fa poco per minimizzare DoS e footprint limitando il potenziale diagnostico.


Grazie, il server che stavo testando era un web server che gestisce la società VPN. Considerando il tipo di servizio, eliminare ICMP ha senso.
John Himmelman,

4

A parte la dubbia protezione DoS e il profilo ribassato, c'è un motivo comune ma trascurato che un determinato IP potrebbe non rispondere ai ping: in realtà non è assegnato a un'interfaccia.

Il reindirizzamento (port forwarding) IP / protocollo / tuple delle porte ai vari servizi desiderati offre una maggiore densità di servizio su una rete più piccola.

Ad esempio, supponi che i tuoi percorsi ISP 1.2.3.4/30 siano indirizzati a te. Hai tre scelte:

  • Instradali normalmente. Ti lascia due IP utilizzabili, uno dei quali deve essere il tuo gateway, quindi un singolo host.
  • NAT da IP esterno a IP interno. Ti lascia quattro padroni di casa.
  • Reindirizzare il traffico ai servizi interni secondo necessità. SMTP (TCP 25), DNS (TCP / UDP 53) e il sito Web aziendale (TCP 80.443) potrebbero esistere su un unico indirizzo esterno.

La terza via è sempre più comune. La maggior parte degli amministratori (me compreso), quando lo configura, non si preoccupa di reindirizzare ICMP in modo che cada solo sul firewall.


2

Non c'è nulla di male nel bloccare ICMP di tipo 0 (risposta Eco), ma il blocco di tutto il traffico ICMP interrompe le risposte al client se qualsiasi collegamento nel percorso di risintonizzazione ha un MTU inferiore alla dimensione massima del segmento di invio della connessione TCP. Ciò accade perché il server Web non può più ricevere i pacchetti di codice 4 di tipo 3 ICMP (Destinazione non raggiungibile; Frammentazione necessaria e DF set).

In pratica questo non è un grosso problema perché chiunque abbia bisogno di tunnelizzare il traffico deve anche impostare un meccanismo per gestire la moltitudine di server Web i cui stack TCP sono ostacolati da firewall non configurati correttamente.


1

Aiuta con attacchi denial of service. Nessun vero motivo per richiedere che il sito sia aperto per il ping da parte del pubblico.

Inoltre non fornisce le statistiche per il sito Web; un host o IP potrebbe facilmente rispondere a una farm di server con bilanciamento del carico sul back-end (il ping di un mysite.com non ti dice se tutti i server funzionano correttamente dietro il nome).

Potrebbe essere solo la politica dell'azienda di eliminare il traffico non necessario o consentire solo il reindirizzamento del traffico SSL e della porta 80 verso altri server internamente.

Immagino che l'altra domanda sarebbe: perché preoccuparsi di consentire ai sistemi esterni di eseguire il ping dei server se non ne hanno davvero bisogno?


3
C'è uno scherzo qui da qualche parte .. --- statistiche ping google.com --- 1 pacchetti trasmessi, 1 ricevuto, 0% perdita pacchetti, tempo 0ms rtt min / avg / max / mdev = 52.220 / 52.220 / 52.220 / 0.000 ms --- statistiche ping microsoft.com --- 3 pacchetti trasmessi, 0 ricevuti, perdita pacchetti 100%, tempo 1999ms
Warner
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.