Qual è lo scopo di utilizzare un pacchetto ping di grandi dimensioni?

38

Durante l'analisi di alcuni registri del traffico, ho notato un nodo che eseguiva il ping del gateway con una dimensione del pacchetto di ping di grandi dimensioni, compresa tra 700 byte e 1 MB. È un ping costante da nodo a gateway e la dimensione per ping è piuttosto elevata. Qualcuno sa perché questo potrebbe accadere o se c'è un vantaggio (possibilmente a scopo di test) nel manipolare la dimensione del PING?

troubleshooting icmp

— iniettore
fonte

48

È per garantire che il percorso intrapreso possa gestire il pacchetto di grandi dimensioni, non tutti i percorsi hanno lo stesso MTU in tutto. Avere un buon MTU previene anche la frammentazione dell'IP.

— maniaco del cricchetto
fonte

2

L'uso di un frame jumbo non convalida adeguatamente che un frame jumbo funzioni. La maggior parte dei router frammenterà semplicemente un frame più grande se il suo MTU è inferiore (anche se alcuni router hanno opzioni da scartare in questo caso). Un ping che utilizza il flag non frammentare è più appropriato in quanto copre TUTTE le istanze in cui è presente un'interfaccia con un MTU più piccolo rispetto al pacchetto inviato.

— MaQleod,

1

@MaQleod oppure controlla il flag di frammentazione necessario nella risposta.

— Cricchetto strano

1

Circa 10 anni fa, ho dovuto eseguire il debug dell'MTU predefinito di Windows, perché la connessione non ha mai funzionato in luoghi specifici. Ciò è stato rilevato modificando la dimensione del pacchetto ping dal valore predefinito a valori maggiori. Afaik 1500 era troppo e 1400 consentivano il normale funzionamento (ADSL in Finlandia).

— Juha Untinen,

PPPoE (usato spesso con DSL) aggiunge un'intestazione di 8 byte, quindi l'MTU per le connessioni PPPoE è in genere 1492.

— LawrenceC

@MaQleod È chiaramente affermato negli standard che la decisione se frammentare pacchetti troppo grandi non deve essere presa dai router. In IPv4 il mittente decide se il pacchetto deve essere frammentato o se un errore deve essere restituito al mittente. In IPv6 un router non frammenta mai un pacchetto, un errore viene sempre inviato al mittente se un pacchetto è troppo grande.

— Kasperd,

46

L'unico vantaggio dell'utilizzo di un grosso carico su un ping è testare la stabilità della linea. Se una linea fluttua o diventa offline con un carico elevato, ma non con un carico ridotto, un ping standard con solo 32 byte non rileverà il problema.

— LPChip
fonte

5

Vorrei poter accettare entrambe le risposte, poiché una integra l'altra. Grazie.

— iniettore il

18

Va bene. Questo commento è abbastanza di una ricompensa per me. :)

— LPChip

9

Inoltre, quando in precedenza ho lavorato per un ISP, di tanto in tanto usavamo pacchetti di dimensioni maggiori per aiutare a risolvere i problemi di perdita di pacchetti in cui il nostro sistema QoS faceva cadere involontariamente i pacchetti più grandi quando la linea era saturata.

— Thebluefish

17

Nessuno ha menzionato il PING OF DEATH ??

Un ping of death è un tipo di attacco a un computer che comporta l'invio di un ping malformato o comunque dannoso a un computer. Un messaggio ping correttamente formato ha in genere una dimensione di 56 byte o 84 byte quando viene considerata l'intestazione del protocollo Internet [IP]. Storicamente, molti sistemi informatici non sono stati in grado di gestire correttamente un pacchetto ping più grande della dimensione massima del pacchetto IPv4. Pacchetti più grandi potrebbero causare l'arresto anomalo del computer di destinazione .

Generalmente, l'invio di un pacchetto ping da 65.536 byte viola il protocollo Internet come documentato in RFC 791, ma un pacchetto di tali dimensioni può essere inviato se frammentato; quando il computer di destinazione riassembla il pacchetto, può verificarsi un overflow del buffer, che spesso causa un arresto anomalo del sistema.

Non credo sia molto diffuso come una volta, ma se si desidera uno scopo di un pacchetto ping di grandi dimensioni, DDoS è uno di questi.

— MDMoore313
fonte

2

Ah, il vecchio attacco di Ping of Death (PoD). La maggior parte dei sistemi operativi moderni non è più vulnerabile a questo tipo di attacco. Inoltre, la maggior parte dei moderni dispositivi di rete non sono più vulnerabili a questo tipo di attacco. Da notare, lo scenario originale su cui ho basato la mia domanda, era che un singolo nodo interno eseguiva il ping del suo gateway.

— iniettore

È vero, e ho detto che non è così diffuso come una volta, tuttavia se pensi che ogni singolo pezzo di attrezzatura di rete sia impermeabile o che non sia ancora usato maliziosamente, ti sbagli purtroppo .

— MDMoore313,

1

Stai facendo riferimento a un post di Yahoo Answers - quindi deve essere vero? Possiamo convenire che non concordiamo. Il mio commento è ancora valido. Saluti ed essere bene.

— iniettore

4

I sistemi attuali sono ancora vulnerabili a questo tipo generale di attacco: ICMP ECHO REQUEST può causare una condizione di negazione del servizio su Juniper SSG20 , una vulnerabilità in ICMPv6 potrebbe consentire Denial of Service (Windows Vista-8, Server 2008 e 2012) .

— Daniel Beck

Il nome Ping of Death è fuorviante, perché la vulnerabilità sta nel modo in cui viene gestito l'ultimo frammento e questo non ti dice nemmeno che tipo di pacchetto è, dal momento che si trova nel primo frammento. Se un host è vulnerabile, è possibile attaccarlo con qualsiasi tipo di pacchetto, purché si invii un ultimo frammento danneggiato. Inoltre, questo non ha nulla a che fare con un attacco DDoS. Non hai bisogno di un attacco distribuito, quando tutto ciò che vuoi fare è inviare un singolo pacchetto danneggiato. Infine, non è possibile raggiungere 1 MB con pacchetti frammentati. Il limite è di 128 KB in teoria o 65,5 KB in pratica.

— Kasperd,

5

Solo per offrire un'altra (improbabile) possibilità: non ho alcun contesto su chi stia generando il registro e non so con che frequenza vedi questi ping, ma perché puoi mettere tutto ciò che vuoi nell'ICMP / pacchetti di ping, vengono occasionalmente utilizzati un canale di comunicazione nascosto, ovvero un tunnel ICMP / ping . Presumibilmente vedresti frequenti ping di grandi dimensioni che escono da (e probabilmente ritornano a) un dato nodo, se qualcuno sta usando un tunnel di ping per qualche motivo.

— Paolo
fonte

1

PING costante dal nodo a GW, su un intervallo di 4-6 secondi.

— iniettore il

2

Immagino che questo caso particolare non sia un ping ping (4-6 secondi sarebbe una latenza piuttosto lunga e apparentemente non ricevono alcun ping), penso che le altre risposte siano migliori, ma ho pensato che avrei lasciato questo suggerimento qui per i posteri, nel caso in cui qualcuno in futuro sia perplesso da un bizzarro comportamento di ping e non sia a conoscenza dei tunnel di ping.

— Paul

2

La comunicazione unidirezionale @paul può essere utile per spyware (ad esempio keylogger che inviano i dati registrati)

— maniaco del cricchetto

@ratchetfreak Un buon punto. Probabilmente anche spyware o altro malware non dispiacerebbe un intervallo di invio di 5 secondi. Suppongo che la domanda sia se i ping sono indirizzati al gateway o finiscano lì.

— Paul,

@Paul è stato un PING costante per il GW in particolare.

— iniettore il

0

Un router danneggiato, anche cablato, può fallire su ping di grandi dimensioni e riuscire su quelli piccoli, fino al riavvio, quindi può essere utilizzato per problemi di debug come questo

La perdita di pacchetti può essere il risultato di una cattiva connessione e non può essere sempre rilevata con un normale ping.

ping 208.67.222.222 -l 40096 -n 20 o su Linux è -s 40096

Questo esegue il ping di un server speciale che consente un traffico ping elevato e cerca la perdita di pacchetti sulla linea. Avevo avuto la perdita di pacchetti su una linea cablata che ha impedito un po 'di traffico andata e ritorno.

— Jonathan
fonte

Perché il downvote?

— Jonathan,