Was ist der Zweck der Verwendung eines großen Ping-Pakets?

38

Bei der Analyse einiger Verkehrsprotokolle ist mir aufgefallen, dass ein Knoten sein Gateway mit einer großen Ping-Paketgröße von 700 Byte bis 1 MB anpingt. Es ist ein konstanter Ping vom Knoten zum Gateway und die Größe pro Ping ist ziemlich hoch. Weiß jemand, warum dies passieren könnte oder ob die Manipulation der PING-Größe (möglicherweise zu Testzwecken) von Vorteil ist?

troubleshooting icmp Injektor
quelle

Antworten:

48

Es soll sichergestellt werden, dass der genommene Pfad das große Paket verarbeiten kann, nicht alle Routen haben durchgehend die gleiche MTU . Eine gute MTU verhindert auch eine IP-Fragmentierung.

Ratschenfreak
quelle
2
Die Verwendung eines Jumbo-Frames bestätigt nicht ausreichend, dass ein Jumbo-Frame funktioniert. Die meisten Router fragmentieren einfach einen größeren Frame, wenn die MTU niedriger ist (obwohl einige Router in diesem Fall Optionen zum Verwerfen haben). Ein Ping mit dem Flag "Nicht fragmentieren" ist geeigneter, da es ALLE Fälle abdeckt, in denen eine Schnittstelle mit einer kleineren MTU als das gesendete Paket vorhanden ist.
MaQleod
1
@MaQleod oder es überprüft das Fragmentierungsflag in der Antwort.
Ratschenfreak
1
Vor 10 Jahren musste ich die Standard-MTU von Windows debuggen, da die Verbindung zu bestimmten Orten nie funktionierte. Dies wurde festgestellt, indem die Größe des Ping-Pakets vom Standardwert auf einen größeren Wert geändert wurde. Afaik 1500 war zu viel und 1400 erlaubten den normalen Betrieb (ADSL in Finnland).
Juha Untinen
PPPoE (wird häufig mit DSL verwendet) fügt einen 8-Byte-Header hinzu, sodass die MTU für PPPoE-Verbindungen normalerweise 1492 ist.
LawrenceC,
@MaQleod In den Standards ist ganz klar festgelegt, dass die Entscheidung, ob zu große Pakete fragmentiert werden sollen, nicht von Routern getroffen werden darf. In IPv4 entscheidet der Absender, ob das Paket fragmentiert werden soll oder ob ein Fehler an den Absender zurückgegeben werden soll. In IPv6 fragmentiert ein Router niemals ein Paket. Wenn ein Paket zu groß ist, wird immer ein Fehler an den Absender gesendet.
Kasperd
46

Der einzige Vorteil der Verwendung einer großen Last auf einem Ping besteht darin, die Stabilität der Leitung zu testen. Wenn eine Leitung schwankt oder mit einer hohen Last offline geht, aber nicht mit einer kleinen Last, erkennt ein Standard-Ping mit nur 32 Byte das Problem nicht.

LPChip
quelle
5
Ich wünschte, ich könnte beide Antworten akzeptieren, da eine die andere ergänzt. Vielen Dank.
Injektor
18
Es ist in Ordnung. Dieser Kommentar ist für mich eine Belohnung genug. :)
LPChip
9
Wenn ich zuvor für einen ISP gearbeitet habe, haben wir gelegentlich größere Pakete verwendet, um Probleme mit Paketverlusten zu beheben, bei denen unser QoS-System versehentlich die größten Pakete verwarf, als die Leitung voll war.
Thebluefish
17

Niemand erwähnte den PING OF DEATH ?

Ein Ping des Todes ist eine Art Angriff auf einen Computer, bei dem ein fehlerhafter oder auf andere Weise böswilliger Ping an einen Computer gesendet wird. Eine korrekt gebildete Ping-Nachricht hat normalerweise eine Größe von 56 Byte oder 84 Byte, wenn der Internet Protocol [IP] -Header berücksichtigt wird. In der Vergangenheit konnten viele Computersysteme ein Ping-Paket, das größer als die maximale IPv4-Paketgröße war, nicht ordnungsgemäß verarbeiten. Größere Pakete könnten den Zielcomputer zum Absturz bringen .

Im Allgemeinen verstößt das Senden eines 65.536-Byte-Ping-Pakets gegen das in RFC 791 dokumentierte Internetprotokoll. Ein Paket dieser Größe kann jedoch gesendet werden, wenn es fragmentiert ist. Wenn der Zielcomputer das Paket erneut zusammensetzt, kann ein Pufferüberlauf auftreten, der häufig zu einem Systemabsturz führt.

Ich glaube nicht , es ist ein weit verbreitetes , wie es früher, aber wenn Sie einen Zweck eines großen Ping - Paket wollen, na ja, DDoS ist eins.

MDMoore313
quelle
2
Ah, der alte Ping of Death (PoD) Angriff. Die meisten modernen Betriebssysteme sind für diese Art von Angriffen nicht mehr anfällig. Außerdem sind die meisten modernen Netzwerkgeräte für diese Art von Angriffen nicht mehr anfällig. Das ursprüngliche Szenario, auf das ich meine Frage stützte, war, dass ein einzelner interner Knoten das Gateway anpingte.
Injektor
Es stimmt, und ich erwähnte, dass es nicht mehr so ​​weit verbreitet ist wie früher. Wenn Sie jedoch glauben, dass jedes einzelne Netzwerkgerät undurchlässig ist oder dass es nicht mehr böswillig verwendet wird, irren Sie sich traurig .
MDMoore313
1
Sie verweisen auf einen Yahoo Answers-Beitrag - also muss es wahr sein? Wir können zustimmen, nicht zuzustimmen. Mein Kommentar steht noch. Prost und sei gesund.
Injektor
4
Aktuelle Systeme sind weiterhin für diese allgemeine Art von Angriff anfällig: ICMP ECHO REQUEST kann eine Denial-of-Service-Bedingung für Juniper SSG20 verursachen . Die Sicherheitsanfälligkeit in ICMPv6 kann Denial-of-Service ermöglichen (Windows Vista-8, Server 2008 und 2012) .
Daniel Beck
Der Name Ping of Death ist irreführend, da die Sicherheitsanfälligkeit darin besteht, wie mit dem letzten Fragment umgegangen wird, und das sagt nicht einmal aus, um welchen Pakettyp es sich handelt, da sich das im ersten Fragment befindet. Wenn ein Host anfällig ist, können Sie ihn mit jedem Pakettyp angreifen, solange Sie ein beschädigtes letztes Fragment senden. Dies hat auch nichts mit einem DDoS-Angriff zu tun. Sie benötigen keinen verteilten Angriff, wenn Sie nur ein einziges beschädigtes Paket senden möchten. Schließlich können Sie mit fragmentierten Paketen nicht 1 MB erreichen. Die Grenze liegt theoretisch bei 128 KB oder in der Praxis bei 65,5 KB.
Kasperd
5

Nur um eine andere (unwahrscheinliche) Möglichkeit anzubieten - ich habe keinen Zusammenhang damit, wer das Protokoll erstellt, und ich weiß nicht, wie oft Sie diese Pings sehen, sondern weil Sie alles in den ICMP / einfügen können, was Sie wollen. Bei Ping-Paketen wird gelegentlich ein verdeckter Kommunikationskanal verwendet, dh ein ICMP / Ping-Tunnel . Vermutlich werden häufig große Pings von einem bestimmten Knoten ausgehen (und möglicherweise zu diesem zurückkehren), wenn jemand aus irgendeinem Grund einen Ping-Tunnel verwendet.

Paul
quelle
1
Konstanter PING vom Knoten zum GW in einem Intervall von 4 bis 6 Sekunden.
Injektor
2
Ich stelle mir vor, dass dieser spezielle Fall kein Ping-Tunnel ist (4 bis 6 Sekunden wären ziemlich lange Wartezeiten und sie erhalten anscheinend keine Pings). Ich denke, die anderen Antworten sind besser, aber ich dachte, ich würde das hier lassen Vorschlag hier für die Nachwelt für den Fall, dass jemand in der Zukunft durch ein bizarres Ping-Verhalten verwirrt ist und nichts über Ping-Tunnel weiß.
Paul
2
@ Paul One-Way-Kommunikation kann nützlich sein für Spyware (zum Beispiel Key-Logger, die die protokollierten Daten senden)
Ratschen-Freak
@ratchetfreak Guter Punkt. Wahrscheinlich würde auch Spyware oder andere Malware ein Sendeintervall von 5 Sekunden nicht stören. Ich nehme an, die Frage ist, ob die Pings auf das Gateway gerichtet sind oder nur dort landen.
Paul
@Paul es war ein ständiger PING zum GW spezifisch.
Injektor
0

Ein fehlerhafter Router, auch wenn er verkabelt ist, kann bei großen Pings ausfallen und bei kleinen erfolgreich sein, bis er neu gestartet wird, sodass er zum Debuggen von Problemen wie diesem verwendet werden kann

Paketverlust kann auf eine schlechte Verbindung zurückzuführen sein und kann nicht immer mit einem normalen Ping erkannt werden.

ping 208.67.222.222 -l 40096 -n 20 oder unter Linux ist es -s 40096

Dadurch wird ein spezieller Server angerufen, der großen Ping-Verkehr ermöglicht und nach Paketverlusten in der Leitung sucht. Ich hatte einen Paketverlust auf einer Kabelverbindung, durch den ein Teil des Datenverkehrs nicht umgeleitet werden konnte.

Jonathan
quelle
Warum die Gegenstimme?
Jonathan