pingは、パケットがフィルタリングされたことをどのように知るのですか?


20

私は、海賊湾の検閲を開始したアイルランドのISP、eircomの顧客です。

194.71.107.15thepiratebay.comのIPアドレスであるpingを実行しようとすると、次の出力が表示されます。

PING 194.71.107.15 (194.71.107.15) 56(84) bytes of data.
From 159.134.124.176 icmp_seq=1 Packet filtered
From 159.134.124.176 icmp_seq=2 Packet filtered
From 159.134.124.176 icmp_seq=3 Packet filtered

pingは、フィルタリングされていることをどのように認識しますか?フィルター処理方法の詳細を確認するにはどうすればよいですか。私のping / nmap fooは弱いです。

回答:


14

Ping は、エコー要求への応答として受信するICMP制御メッセージに応じて、印刷されるメッセージを決定します。

推測では、EircomがThe Pirate Bayへのアクセスをブロックするために使用しているフィルタリングデバイスはすべて、 The Pirate BayのIPアドレスに向けられたトラフィック。

確認するには、パケットキャプチャを実行して(Wiresharkなどを使用)、159.134.124.176から返されるICMP応答パケットを確認することをお勧めします。


29

見た後

iputils-ping Debian etchパッケージのping.c、私は見ます:

 
 / *
 *
 * pr_icmph-
 * ICMPヘッダーに関する説明文字列を出力します。
 * /
void pr_icmph(__ u8タイプ、__ u8コード、__ u32情報、struct icmphdr * icp)
{

...
                ケースICMP_PKT_FILTERED:
                        printf( "Packet Filtered \ n");
                        ブレーク;
...

iptables rejectはこれを応答に追加するようです。

http://tomoyo.sourceforge.jp/cgi-bin/lxr/source/net/ipv4/netfilter/ipt_REJECT.c

「ICMP_PKT_FILTERED」を検索しますが、そのようなメッセージでping応答を行うのはそれだけではない場合があります。


5
ソースダイビングの場合は+1。
RainyRat

1
間違いなく。
squillman

これを引き起こす可能性のあるもう1つのことは、(プライベート/内部IPを使用する)「プライベート」パケットであり、それが世界に送り出されます。これは、VPN接続がドロップし、10.11.12.13に向かうパケットが外部システムから「パケットフィルター」応答を取得し始めたときに見たことがあります。en.wikipedia.org/wiki/IP_address#IPv4_private_addresses
fencepost


1

pingはICMP_DEST_UNREACHを受け取り、返されたicmpパッケージのタイプに応じて、返されたpingはフィルタリングされていることを認識します。


1

159.134.124.176ではpingが194.71.107.15に到達できない、つまり(少なくとも)ICMPがフィルタリングされていることを意味すると思います。私が同じことをするとき、私は得る:

\# ping 194.71.107.15
PING 194.71.107.15 (194.71.107.15) 56(84) bytes of data.
64 bytes from 194.71.107.15: icmp_seq=1 ttl=50 time=43.0 ms
64 bytes from 194.71.107.15: icmp_seq=2 ttl=50 time=42.0 ms
64 bytes from 194.71.107.15: icmp_seq=3 ttl=50 time=42.1 ms

...そして、迅速なWHOISから、159.134.124.176は確かにEircomが所有するものであることがわかります。


2
質問はpingが「どのように」知っているか、著者はICMPがフィルタリングされていることを知っていると思う 彼はおそらく、フィルターはブラックホールスタイルをフィルターすることを意味し、返されるものは何もないと考え、pingが「魔法のように」何が起こっているのかを疑問視するようになりました。
カロリスT.

1

基本的な考え方(そして、私がLinuxの専門家ではないので、誰かが詳細を記入するのを手伝ってくれることを願っています)は、pingがICMPエコー要求を送信しているが、ターゲットホストから標準のエコー応答を返さないことです。代わりに、おそらく何らかの形式のICMP宛先到達不能応答で159.134.124.176が応答しました。それと、159.134.124.176が元のターゲットではないという事実は、パケットがフィルタリングされることを意味します。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.