Apa tujuan menggunakan paket ping besar?

38

Saat menganalisis beberapa traffic log, saya perhatikan sebuah node melakukan ping gateway dengan ukuran paket ping yang besar, mulai dari 700 byte hingga 1 MB. Ini ping konstan dari node ke gateway dan ukuran per ping agak tinggi. Adakah yang tahu mengapa ini mungkin terjadi atau jika ada manfaat (mungkin untuk tujuan pengujian) untuk memanipulasi ukuran PING?

troubleshooting icmp penyuntik
sumber

Jawaban:

48

Ini untuk memastikan bahwa jalur yang diambil dapat menangani paket besar, tidak semua rute memiliki MTU yang sama . Memiliki MTU yang baik juga akan mencegah fragmentasi IP.

ratchet freak
sumber
2
Menggunakan bingkai jumbo tidak cukup memvalidasi bahwa kerangka jumbo akan berfungsi. Sebagian besar router hanya akan memfragmentasi frame yang lebih besar jika MTU-nya lebih rendah (meskipun beberapa router memiliki opsi untuk dibuang dalam hal ini). Ping menggunakan flag jangan fragmen lebih tepat karena mencakup SEMUA contoh di mana ada antarmuka dengan MTU lebih kecil dari paket yang dikirim.
MaQleod
1
@ MaQleod atau memeriksa bendera fragmentasi yang diperlukan dalam balasan.
ratchet freak
1
Sekitar 10 tahun yang lalu, saya harus men-debug MTU default Windows, karena koneksi tidak pernah bekerja ke tempat-tempat tertentu. Ini terdeteksi dengan mengubah ukuran paket ping dari nilai default ke yang lebih besar. Afaik 1500 terlalu banyak, dan 1400 memungkinkan pengoperasian normal (ADSL di Finlandia).
Juha Untinen
PPPoE (sering digunakan dengan DSL) menambahkan header 8 byte, sehingga MTU untuk koneksi PPPoE biasanya 1492.
LawrenceC
@ MaQleod Cukup jelas dinyatakan dalam standar, bahwa keputusan tentang apakah akan memecah paket yang terlalu besar, tidak akan dibuat oleh router. Dalam IPv4 pengirim memutuskan apakah paket tersebut akan terfragmentasi atau jika kesalahan dikembalikan ke pengirim. Dalam IPv6 router tidak pernah memecah-mecah paket, kesalahan selalu dikirim ke pengirim jika paket terlalu besar.
kasperd
46

Satu-satunya manfaat menggunakan beban besar pada ping adalah untuk menguji stabilitas saluran. Jika garis berfluktuasi atau menjadi offline dengan beban tinggi, tetapi tidak dengan beban kecil, ping standar dengan hanya 32 byte tidak akan mendeteksi masalah.

LPChip
sumber
5
Saya berharap saya bisa menerima kedua jawaban, karena yang satu melengkapi yang lain. Terima kasih.
injektor
18
Tidak masalah. Komentar ini cukup untuk hadiah bagi saya. :)
LPChip
9
Untuk menambah ini, ketika saya sebelumnya bekerja untuk ISP kami kadang-kadang akan menggunakan ukuran paket yang lebih besar untuk membantu memecahkan masalah packet loss di mana sistem QoS kami secara tidak sengaja menjatuhkan paket terbesar ketika saluran jenuh.
Thebluefish
17

Tidak ada yang menyebut PING OF DEATH ??

Ping kematian adalah jenis serangan pada komputer yang melibatkan pengiriman ping yang salah atau berbahaya ke komputer. Pesan ping yang terbentuk dengan benar biasanya berukuran 56 byte, atau 84 byte saat header Internet Protocol [IP] dipertimbangkan. Secara historis, banyak sistem komputer tidak dapat menangani paket ping dengan lebih baik dari ukuran paket IPv4 maksimum. Paket yang lebih besar dapat merusak komputer target .

Umumnya, mengirim paket ping 65.536 byte melanggar Protokol Internet seperti yang didokumentasikan dalam RFC 791, tetapi paket dengan ukuran seperti itu dapat dikirim jika terfragmentasi; ketika komputer target memasang kembali paket, buffer overflow dapat terjadi, yang sering menyebabkan sistem crash.

Saya tidak berpikir itu tersebar luas seperti dulu, tetapi jika Anda ingin tujuan paket ping besar, well, DDoS adalah salah satunya.

MDMoore313
sumber
2
Ah, serangan Ping of Death (PoD). Kebanyakan OS modern tidak lagi rentan terhadap serangan jenis ini. Juga, sebagian besar perangkat jaringan modern tidak lagi rentan terhadap serangan jenis ini. Sebagai catatan, skenario asli yang menjadi dasar pertanyaan saya, adalah bahwa satu simpul internal sedang melakukan ping gateway.
injektor
Benar, dan saya sebutkan itu tidak seluas yang dulu, tetapi jika Anda berpikir setiap bagian dari peralatan jaringan tahan terhadap itu, atau bahwa itu masih tidak digunakan dengan jahat, Anda sayangnya salah .
MDMoore313
1
Anda mereferensikan satu jawaban Yahoo - karena itu pasti benar? Kami dapat setuju untuk tidak setuju. Komentar saya masih berdiri. Ceria dan baik-baik saja.
injektor
4
Sistem saat ini masih rentan terhadap jenis serangan umum ini: ICMP ECHO REQUEST dapat menyebabkan penolakan layanan pada Juniper SSG20 , Kerentanan dalam ICMPv6 dapat memungkinkan Penolakan Layanan (Windows Vista-8, Server 2008 dan 2012) .
Daniel Beck
Nama Ping of Death menyesatkan, karena kerentanannya adalah bagaimana fragmen terakhir ditangani, dan itu bahkan tidak memberi tahu Anda apa jenis paket itu, karena itu ada di fragmen pertama. Jika sebuah host rentan, Anda dapat menyerang paket jenis apa pun, asalkan Anda mengirim fragmen terakhir yang rusak. Juga, ini tidak ada hubungannya dengan serangan DDoS. Anda tidak perlu serangan terdistribusi, ketika semua yang ingin Anda lakukan adalah mengirim satu paket rusak. Akhirnya, Anda tidak dapat mencapai 1MB dengan paket terfragmentasi. Batasnya adalah 128KB dalam teori atau 65.5KB dalam praktiknya.
kasperd
5

Hanya untuk menawarkan kemungkinan lain (tidak mungkin) - Saya tidak memiliki konteks siapa yang menghasilkan log, dan saya tidak tahu seberapa sering Anda melihat ping ini, tetapi karena Anda dapat memasukkan apa pun yang Anda inginkan ke dalam ICMP / paket ping, mereka kadang-kadang digunakan saluran komunikasi rahasia, yaitu terowongan ICMP / ping . Agaknya Anda akan melihat ping berukuran besar sering keluar dari (dan mungkin kembali ke) node yang diberikan, jika seseorang menggunakan terowongan ping karena alasan tertentu.

Paul
sumber
1
PING konstan dari node ke GW, pada interval 4-6 detik.
injektor
2
Saya membayangkan kasus khusus ini bukan terowongan ping (4-6 detik akan cukup lama latensi, dan mereka tampaknya tidak menerima ping), saya pikir jawaban lain lebih baik, tapi saya pikir saya akan meninggalkan ini saran di sini untuk anak cucu, kalau-kalau seseorang di masa depan bingung oleh beberapa perilaku ping aneh dan tidak tahu tentang terowongan ping.
Paul
2
@paul komunikasi satu arah dapat berguna untuk spyware (misalnya penebang kunci mengirim data yang dicatat)
ratchet freak
@ scratchetfreak Poin bagus. Mungkin spyware atau malware lain juga tidak akan keberatan dengan interval pengiriman 5 detik juga. Saya kira pertanyaannya adalah apakah ping ditujukan ke gateway atau hanya berakhir di sana.
Paul
@ Paul itu adalah PING konstan untuk GW khusus.
injektor
0

Perute yang buruk, bahkan kabel, dapat gagal pada ping yang besar dan berhasil pada yang kecil, sampai restart, sehingga dapat digunakan untuk masalah debugging seperti ini

Paket yang hilang mungkin akibat koneksi yang buruk, dan tidak selalu dapat dideteksi dengan ping normal.

ping 208.67.222.222 -l 40096 -n 20 atau di linux itu -s 40096

Ini ping server khusus yang memungkinkan lalu lintas ping besar, dan mencari kehilangan paket di telepon. Saya mengalami kehilangan paket pada saluran kabel yang mencegah beberapa lalu lintas pergi pulang pergi.

Jonathan
sumber
Mengapa downvote?
Jonathan