Qual é o objetivo de usar um pacote de ping grande?

38

Ao analisar alguns logs de tráfego, notei um nó executando ping em seu gateway com um tamanho de pacote de ping grande, variando de 700 bytes a 1 MB. É um ping constante do nó ao gateway e o tamanho por ping é bastante alto. Alguém sabe por que isso pode estar acontecendo ou se há um benefício (possivelmente para fins de teste) em manipular o tamanho do PING?

troubleshooting icmp injetor
fonte

Respostas:

48

É para garantir que o caminho percorrido possa manipular o pacote grande, nem todas as rotas tenham o mesmo MTU . Ter uma boa MTU também impedirá a fragmentação de IP.

catraca arrepiante
fonte
2
O uso de um quadro jumbo não valida adequadamente se um quadro jumbo funcionará. A maioria dos roteadores simplesmente fragmentará um quadro maior se sua MTU for menor (embora alguns roteadores tenham opções para descartar nesta instância). Um ping usando o sinalizador não fragmentar é mais apropriado, pois abrange TODAS as instâncias em que há uma interface com uma MTU menor que o pacote enviado.
MaQleod
11
@MaQleod ou verifica a sinalização de fragmentação necessária na resposta.
Ratchet freak
11
Há cerca de 10 anos, tive que depurar o MTU padrão do Windows, porque a conexão nunca funcionava em locais específicos. Isso foi detectável alterando o tamanho do pacote de ping do valor padrão para o maior. O Afaik 1500 foi demais e 1.400 permitiram a operação normal (ADSL na Finlândia).
Juha Untinen
PPPoE (usado muitas vezes com DSL) adiciona um cabeçalho 8 byte, de modo que o MTU para ligações PPPoE é tipicamente 1492.
LawrenceC
@MaQleod É claramente declarado nos padrões que a decisão de fragmentar pacotes muito grandes não deve ser tomada pelos roteadores. No IPv4, o remetente decide se o pacote deve ser fragmentado ou se um erro deve ser retornado ao remetente. No IPv6, um roteador nunca fragmenta um pacote, sempre é enviado um erro ao remetente se um pacote for muito grande.
kasperd
46

O único benefício de usar uma grande carga em um ping é testar a estabilidade da linha. Se uma linha flutuar ou ficar offline com uma carga alta, mas não com uma carga pequena, um ping padrão com apenas 32 bytes não detectará o problema.

LPChip
fonte
5
Eu gostaria de poder aceitar as duas respostas, pois uma complementa a outra. Obrigado.
injector
18
Está bem. Este comentário é uma recompensa suficiente para mim. :)
LPChip
9
Além disso, quando eu trabalhava anteriormente para um ISP, ocasionalmente usamos tamanhos de pacotes maiores para ajudar a solucionar problemas de perda de pacotes em que nosso sistema de QoS eliminava inadvertidamente os maiores pacotes quando a linha estava saturada.
Thebluefish
17

Ninguém mencionou o PING OF DEATH ??

Um ping da morte é um tipo de ataque em um computador que envolve o envio de um ping malformado ou mal-intencionado para um computador. Uma mensagem de ping formada corretamente tem geralmente 56 bytes de tamanho ou 84 bytes quando o cabeçalho do protocolo Internet [IP] é considerado. Historicamente, muitos sistemas de computador não podiam lidar adequadamente com um pacote de ping maior que o tamanho máximo do pacote IPv4. Pacotes maiores podem travar o computador de destino .

Geralmente, o envio de um pacote de ping de 65.536 bytes viola o Protocolo da Internet, conforme documentado na RFC 791, mas um pacote desse tamanho pode ser enviado se estiver fragmentado; quando o computador de destino remontar o pacote, pode ocorrer um estouro de buffer, o que geralmente causa uma falha no sistema.

Não acho que seja tão difundido como costumava ser, mas se você deseja um objetivo de um grande pacote de ping, bem, o DDoS é um deles.

MDMoore313
fonte
2
Ah, o velho ataque Ping of Death (PoD). Os sistemas operacionais mais modernos não são mais vulneráveis ​​a esse tipo de ataque. Além disso, a maioria dos dispositivos de rede modernos não são mais vulneráveis ​​a esse tipo de ataque. Note-se que o cenário original em que baseei minha pergunta era que um único nó interno fazia ping no gateway.
injector
É verdade, e mencionei que não é tão difundido como costumava ser; no entanto, se você acha que todos os equipamentos de rede são impermeáveis ​​a ele, ou que ainda não são usados ​​maliciosamente, você está enganado .
MDMoore313
11
Você está fazendo referência a um post do Yahoo Answers; portanto, deve ser verdade? Podemos concordar em discordar. Meu comentário ainda permanece. Saúde e fique bem.
injector
4
Os sistemas atuais ainda estão vulneráveis ​​a esse tipo geral de ataque: o ICMP ECHO REQUEST pode causar uma condição de negação de serviço no Juniper SSG20 . A vulnerabilidade no ICMPv6 pode permitir a negação de serviço (Windows Vista-8, Server 2008 e 2012) .
Daniel Beck
O nome Ping of Death é enganoso, porque a vulnerabilidade está na maneira como o último fragmento é tratado, e isso nem lhe diz que tipo de pacote é, pois está no primeiro fragmento. Se um host estiver vulnerável, você poderá atacá-lo com qualquer tipo de pacote, desde que você envie um último fragmento corrompido. Além disso, isso não tem nada a ver com um ataque DDoS. Você não precisa de um ataque distribuído, quando tudo o que você quer fazer é enviar um único pacote corrompido. Finalmente, você não pode atingir 1 MB com pacotes fragmentados. O limite é de 128 KB na teoria ou 65,5 KB na prática.
kasperd
5

Apenas para oferecer outra possibilidade (improvável) - não tenho nenhum contexto sobre quem está gerando o log e não sei com que frequência você vê esses pings, mas porque pode colocar o que quiser no ICMP / pacotes de ping, ocasionalmente são usados ​​um canal de comunicação secreto, ou seja, um túnel ICMP / ping . Presumivelmente, você verá pings grandes e frequentes saindo de (e possivelmente retornando a) um determinado nó, se alguém estiver usando um túnel de ping por algum motivo.

Paulo
fonte
11
PING constante do nó ao GW, em um intervalo de 4-6 segundos.
injector
2
Eu imagino que esse caso em particular não seja um túnel de ping (4-6 segundos seria uma latência bastante longa e, aparentemente, eles não estão recebendo pings), acho que as outras respostas são melhores, mas achei que deixaria isso sugestão aqui para posteridade, caso alguém no futuro fique intrigado com algum comportamento de ping bizarro e não saiba sobre túneis de ping.
Paulo
2
forma uma comunicação @ Paulo pode ser útil para spyware (por exemplo, key loggers enviar os dados registrados)
catraca aberração
@ratchetfreak Bom ponto. Provavelmente spyware ou outro malware também não se importaria com um intervalo de envio de 5 segundos. Suponho que a questão é se os pings são direcionados ao gateway ou apenas terminando lá.
Paul
@Paul, foi um constante PING para o GW especificamente.
injector
0

Um roteador ruim, mesmo com fio, pode falhar em pings grandes e ter sucesso em pequenos, até ser reiniciado, para que possa ser usado para problemas de depuração como este

A perda de pacotes pode ser resultado de uma conexão ruim e nem sempre pode ser detectada com um ping normal.

ping 208.67.222.222 -l 40096 -n 20 ou no linux é -s 40096

Isso faz ping em um servidor especial que permite grande tráfego de ping e procura perda de pacotes na linha. Eu tinha perdido pacotes em uma linha com fio que impedia que algum tráfego fosse de ida e volta.

Jonathan
fonte
Por que o voto negativo?
Jonathan