Woher weiß Ping, dass meine Pakete gefiltert werden?

Ich bin Kunde eines irischen ISP, eircom, der begonnen hat, die Piratenbucht zu zensieren .

Wenn ich versuche zu 194.71.107.15pingen, welches die IP-Adresse von thepiratebay.com ist, erhalte ich diese Ausgabe:

PING 194.71.107.15 (194.71.107.15) 56(84) bytes of data.
From 159.134.124.176 icmp_seq=1 Packet filtered
From 159.134.124.176 icmp_seq=2 Packet filtered
From 159.134.124.176 icmp_seq=3 Packet filtered

Woher weiß Ping, dass es gefiltert ist? Wie kann ich mehr darüber erfahren, wie es gefiltert wird? Mein ping / nmap foo ist schwach.

Ping bestimmt seine gedruckte Nachricht in Abhängigkeit von der ICMP-Steuernachricht, die es als Antwort auf eine Echoanforderung empfängt.

Ich könnte mir vorstellen, dass das Filtergerät, mit dem Eircom den Zugriff auf The Pirate Bay blockiert, entweder ICMP-Nachrichten vom Typ 3, Code 9 (Netzwerk administrativ verboten) oder Typ 3, Code 10 (Host administrativ verboten) als Antwort auf generiert Datenverkehr wird an die IP-Adresse von The Pirate Bay geleitet.

Zur Bestätigung würde ich vorschlagen, eine Paketerfassung (mit Wireshark oder ähnlichem) durchzuführen und die ICMP-Antwortpakete zu betrachten, die Sie von 159.134.124.176 zurückerhalten.

Nach dem Anschauen

ping.c aus dem iputils-ping-Paket von Debian Etch sehe ich:

 
 / *
 *
 * pr_icmph -
 * Drucken Sie einen beschreibenden String über einen ICMP-Header.
 * /
void pr_icmph (__ u8 type, __u8 code, __u32 info, struct icmphdr * icp)
{

...
                case ICMP_PKT_FILTERED:
                        printf ("Paket gefiltert \ n");
                        brechen;
...

Es sieht so aus, als würde iptables reject dies der Antwort hinzufügen, siehe

http://tomoyo.sourceforge.jp/cgi-bin/lxr/source/net/ipv4/netfilter/ipt_REJECT.c

und suchen Sie nach "ICMP_PKT_FILTERED", obwohl dies möglicherweise nicht der einzige Fall ist, der eine Ping-Antwort mit einer solchen Nachricht auslösen würde.

Das bedeutet, dass das Gerät 159.134.124.176 ICMP-Pakete (Ping) blockiert und Ihnen diese Informationen zurückgibt. Die möglichen ICMP-Antworten sind in diesem Wiki-Artikel aufgeführt .

ping empfängt ein ICMP_DEST_UNREACH und abhängig von der Art des zurückgegebenen icmp-Pakets weiß ping, dass es gefiltert ist.

Ich denke, es bedeutet, dass 159.134.124.176 nicht zulässt, dass Ihre Pings 194.71.107.15 erreichen, dh, es filtert (mindestens) ICMP. Wenn ich das Gleiche tue, bekomme ich:

\# ping 194.71.107.15
PING 194.71.107.15 (194.71.107.15) 56(84) bytes of data.
64 bytes from 194.71.107.15: icmp_seq=1 ttl=50 time=43.0 ms
64 bytes from 194.71.107.15: icmp_seq=2 ttl=50 time=42.0 ms
64 bytes from 194.71.107.15: icmp_seq=3 ttl=50 time=42.1 ms

... und ein schnelles WHOIS sagt mir, dass 159.134.124.176 tatsächlich im Besitz von Eircom ist.

Die Grundidee (und hoffentlich kann mir jemand helfen, einige Details zu ergänzen, da ich kein Linux-Experte bin) ist, dass Ihr Ping eine ICMP-Echoanforderung sendet, aber nicht die Standard-Echoantwort vom Zielhost zurückerhält. Stattdessen wurde es von 159.134.124.176 beantwortet, wahrscheinlich mit einer nicht erreichbaren ICMP-Zielantwort. Dies und die Tatsache, dass 159.134.124.176 nicht das ursprüngliche Ziel ist, impliziert, dass die Pakete gefiltert werden.