大きなpingパケットを使用する目的は何ですか？

38

一部のトラフィックログを分析していると、700バイトから1 MBの範囲の大きなpingパケットサイズでゲートウェイがpingを実行していることに気付きました。ノードからゲートウェイへの一定のpingであり、pingごとのサイズはかなり大きくなります。なぜこれが起こっているのか、またはPINGサイズを操作することで（おそらくテスト目的で）利益があるのか誰もが知っていますか？

troubleshooting icmp

— インジェクター
ソース

48

すべてのルートが同じMTUを持っているわけではなく、選択したパスで大きなパケットを処理できるようにするためです。優れたMTUを使用すると、IPフラグメンテーションも防止されます。

— ラチェットフリーク
ソース

2

ジャンボフレームを使用しても、ジャンボフレームが機能することを十分に検証できません。ほとんどのルーターは、MTUが低い場合、より大きなフレームを単純に断片化します（ただし、一部のルーターには、このインスタンスで破棄するオプションがあります）。フラグメント化しないフラグを使用したpingは、送信されたパケットよりも小さいMTUのインターフェイスがあるすべてのインスタンスをカバーするため、より適切です。

— MaQleod 14

1

@MaQleodまたはそれは、返信でフラグメンテーションが必要なフラグをチェックします。

— ラチェットフリーク14

1

約10年前、接続が特定の場所に機能しなかったため、WindowsのデフォルトMTUをデバッグする必要がありました。これは、pingパケットのサイズをデフォルト値からより大きな値に変更することで検出できました。Afaik 1500は多すぎ、1400は通常の動作を許可しました（フィンランドのADSL）。

— ジュハUntinen 14

PPPoE（DSLと頻繁に使用される）は、8バイトのヘッダを付加するので、PPPoE接続のためのMTUは、典型的には、1492である

— LawrenceC

@MaQleod標準では、大きすぎるパケットをフラグメント化するかどうかの決定はルーターによって行われないことが、非常に明確に述べられています。IPv4では、送信者は、パケットをフラグメント化するか、エラーを送信者に返すかを決定します。IPv6では、ルーターがパケットをフラグメント化することはありません。パケットが大きすぎる場合、エラーは常に送信者に送信されます。

— カスペルド14

46

pingで大きな負荷を使用する唯一の利点は、回線の安定性をテストすることです。高負荷で回線が変動したりオフラインになったりしても、負荷が小さい場合ではない場合、32バイトの標準pingでは問題は検出されません。

— LPChip
ソース

5

一方が他方を補足するように、両方の答えを受け入れられることを望みます。ありがとうございました。

— インジェクター14

18

いいんだよ。このコメントは私にとって十分な報酬です。:)

— LPChip 14

9

これに加えて、以前ISPで働いていたときに、回線が飽和状態になったときにQoSシステムが最大のパケットを誤ってドロップしてしまうパケット損失の問題のトラブルシューティングに役立つように、時々大きなパケットサイズを使用します。

— Thebluefish 14

17

誰もPING OF DEATHに言及しなかった??

Ping of Deathとは、コンピューターに対する攻撃の一種で、不正な形式のPingまたは悪意のあるPingをコンピューターに送信することを伴います。正しく形成されたpingメッセージのサイズは通常56バイト、またはインターネットプロトコル[IP]ヘッダーが考慮される場合は84バイトです。歴史的に、多くのコンピューターシステムは、最大IPv4パケットサイズより大きいpingパケットを適切に処理できませんでした。より大きなパケットは、ターゲットコンピュータをクラッシュさせる可能性があります。

一般に、65,536バイトのpingパケットを送信すると、RFC 791に記載されているインターネットプロトコルに違反しますが、断片化されている場合、そのようなサイズのパケットを送信できます。ターゲットコンピュータがパケットを再構成すると、バッファオーバーフローが発生する可能性があり、システムクラッシュを引き起こすことがよくあります。

かつてのように広く普及しているとは思いませんが、大きなpingパケットの目的が必要な場合は、DDoS が最適です。

— MDMoore313
ソース

2

ああ、死のPing（PoD）攻撃。最近のほとんどのOSは、このタイプの攻撃に対して脆弱ではありません。また、最新のネットワーキングデバイスのほとんどは、このタイプの攻撃に対して脆弱ではありません。注目に値するのは、私の質問の元になった元のシナリオは、単一の内部ノードがゲートウェイにpingを送信していたということでした。

— インジェクター

確かに、以前ほど広く普及していないと言いましたが、ネットワーク機器のすべての部品が不浸透性であるか、または悪意を持ってまだ使用されていないと思われる場合は、残念ながら誤解されています。

— MDMoore313

1

1つのYahoo Answersポストを参照しているので、それは真実でなければなりませんか？私たちは反対することに同意することができます。私のコメントはまだ有効です。乾杯して元気です。

— インジェクター

4

現在のシステムは、まだ攻撃のこの一般的なタイプに対して脆弱です：ICMPエコー要求は、ジュニパーSSG20にサービス拒否の状態を引き起こす可能性があり、ICMPv6の脆弱性により、サービス拒否（Windows Vistaの-8、Server 2008および2012）可能性があります。

— ダニエルベック

Ping of Deathという名前は誤解を招くものです。なぜなら、脆弱性は最後のフラグメントの処理方法にあり、それが最初のフラグメントにあるため、パケットのタイプもわかりません。ホストが脆弱な場合、破損した最後のフラグメントを送信する限り、任意のタイプのパケットでホストを攻撃できます。また、これはDDoS攻撃とは何の関係もありません。1つの破損したパケットを送信するだけであれば、分散攻撃は必要ありません。最後に、断片化されたパケットで1MBに到達することはできません。制限は理論的には128KB、実際には65.5KBです。

— カスペルド14

5

別の（可能性は低い）可能性を提供するために-私は誰がログを生成しているのかについて何のコンテキストも持っておらず、これらのpingをどのくらいの頻度で見ているのか分かりませんが、ICMP /パケットをpingし、それらは時折、隠れた通信チャネル、つまりICMP / pingトンネルとして使用されます。誰かが何らかの理由でpingトンネルを使用している場合、特定のノードから大規模なpingが頻繁に出て行く（場合によっては戻ってくる）ことがあります。

— ポール
ソース

1

ノードからGWへの一定のPING、4〜6秒間隔。

— インジェクター14

2

この特定のケースはpingトンネルではないことを想像します（4-6秒はかなり長い待ち時間であり、明らかにpingを受信していません）、他の答えは良いと思いますが、私はこれを残すと思いました将来の誰かが奇妙なping動作に戸惑い、pingトンネルについて知らない場合の子孫の提案。

— ポール14

2

@paul片道通信は、スパイウェア（たとえば、ログデータを送信するキーロガー）に便利です

— ラチェットフリーク14

@ratchetfreak良い点。おそらく、スパイウェアやその他のマルウェアも5秒の送信間隔を気にしないでしょう。問題は、pingがゲートウェイに向けられているのか、それとも単にゲートウェイに向けられているのかだと思います。

— ポール14

@Paulは、特にGWへの一定のPINGでした。

— インジェクター14

0

不良なルーターは、配線されていても、再起動されるまで大きなpingで失敗し、小さなpingで成功する可能性があるため、このような問題のデバッグに使用できます

パケット損失は接続不良の結果である可能性があり、通常のpingで常に検出できるとは限りません。

ping 208.67.222.222 -l 40096 -n 20 またはLinuxでは -s 40096

これは、大きなpingトラフィックを許可する特別なサーバーにpingを実行し、回線上のパケット損失を探します。有線回線でパケット損失が発生したため、一部のトラフィックが往復できなくなりました。

— ジョナサン
ソース

なぜ下票なのですか？

— ジョナサン