큰 핑 패킷을 사용하는 목적은 무엇입니까?

38

일부 트래픽 로그를 분석하는 동안 700 바이트에서 1MB까지 큰 핑 패킷 크기로 게이트웨이가 핑을하는 노드를 발견했습니다. 노드에서 게이트웨이까지 일정한 핑이며 핑당 크기가 다소 높습니다. 왜 이런 일이 발생하는지 또는 PING 크기를 조작하는 데 이점이 있는지 (테스트 목적으로) 있는지 아는 사람이 있습니까?

troubleshooting icmp

— 주사기
소스

48

모든 경로가 전체적으로 동일한 MTU 를 갖는 것은 아니라는 것이 경로가 큰 패킷을 처리 할 수 있도록하는 것 입니다. MTU가 양호하면 IP 조각화가 방지됩니다.

— 래칫 괴물
소스

2

점보 프레임을 사용한다고해서 점보 프레임이 작동하는지 적절하게 검증 할 수는 없습니다. MTU가 낮 으면 대부분의 라우터는 단순히 더 큰 프레임을 조각화합니다 (일부 라우터에는이 경우 폐기 옵션이 있음). Do n't Fragment 플래그를 사용하는 Ping은 전송 된 패킷보다 MTU가 더 작은 인터페이스가있는 모든 인스턴스를 다루므로 더 적합합니다.

— MaQleod

1

@MaQleod 또는 응답에서 조각화 필요 플래그를 확인합니다.

— ratchet freak

1

약 10 년 전에 연결이 특정 위치로 작동하지 않았기 때문에 Windows의 기본 MTU를 디버깅해야했습니다. 이는 핑 패킷 크기를 기본값에서 더 큰 값으로 변경하여 감지 할 수있었습니다. Afaik 1500은 너무 많았으며 1400은 정상적인 작동을 허용했습니다 (핀란드의 ADSL).

— Juha Untinen

PPPoE (DSL과 함께 자주 사용)는 8 바이트 헤더를 추가하므로 PPPoE 연결의 MTU는 일반적으로 1492입니다.

— LawrenceC

@MaQleod 너무 큰 패킷을 조각화할지에 대한 결정은 라우터에 의해 이루어지지 않아야한다는 것이 표준에 명확히 명시되어 있습니다. IPv4에서 보낸 사람은 패킷을 조각화 할 것인지 또는 보낸 사람에게 오류를 반환 할 것인지 결정합니다. IPv6에서 라우터는 패킷을 조각화하지 않으며 패킷이 너무 크면 항상 보낸 사람에게 오류가 전송됩니다.

— kasperd

46

핑에 큰 부하를 사용하는 것의 유일한 이점은 라인의 안정성을 테스트하는 것입니다. 부하가 크지 않고 부하가 높을 때 회선이 변동하거나 오프라인이되면 32 바이트의 표준 핑은 문제를 감지하지 못합니다.

— LPChip
소스

5

하나가 다른 것을 보충하기 때문에 두 가지 대답을 모두 받아 들일 수 있기를 바랍니다. 고맙습니다.

— 인젝터

18

괜찮아. 이 의견은 저에게 충분한 보상입니다. :)

— LPChip

9

이에 더하여, 이전에 ISP에서 일할 때 QoS 시스템이 실수로 가장 큰 패킷을 떨어 뜨렸을 때 패킷 손실 문제를 해결하기 위해 때때로 더 큰 패킷 크기를 사용하는 경우가있었습니다.

— Thebluefish

17

아무도 PING OF DEATH를 언급하지 않았습니다 ??

ping of death는 컴퓨터에 잘못된 형식의 핑을 보내는 컴퓨터에 대한 일종의 공격입니다. 올바르게 구성된 핑 메시지의 크기는 일반적으로 56 바이트 또는 인터넷 프로토콜 (IP) 헤더를 고려할 때 84 바이트입니다. 과거에는 많은 컴퓨터 시스템이 최대 IPv4 패킷 크기보다 큰 핑 패킷을 제대로 처리하지 못했습니다. 큰 패킷은 대상 컴퓨터와 충돌 할 수 있습니다 .

일반적으로 65,536 바이트 핑 패킷을 보내는 것은 RFC 791에 설명 된대로 인터넷 프로토콜을 위반하지만 그러한 크기의 패킷은 조각난 경우 보낼 수 있습니다. 대상 컴퓨터가 패킷을 다시 어셈블하면 버퍼 오버 플로우가 발생하여 시스템 충돌이 발생할 수 있습니다.

예전에는 널리 퍼져 있다고 생각하지는 않지만 큰 핑 패킷의 목적을 원한다면 DDoS 가 하나입니다.

— MDMoore313
소스

2

아, 죽음의 핑 (PoD) 공격. 대부분의 최신 OS는 더 이상 이러한 유형의 공격에 취약하지 않습니다. 또한 대부분의 최신 네트워킹 장치는 더 이상 이러한 유형의 공격에 취약하지 않습니다. 참고로, 내 질문에 근거한 원래 시나리오는 단일 내부 노드가 게이트웨이를 핑하고 있다는 것입니다.

— 인젝터

사실, 전과 같이 널리 보급되지는 않았지만 모든 단일 네트워킹 장비가 불 침투하다고 생각하거나 여전히 악의적으로 사용되지 않는다고 생각하면 슬프게도 잘못 입니다.

— MDMoore313

1

당신은 하나의 야후 답변을 참조하고 있습니다-그것은 사실입니까? 우리는 동의하지 않을 수 있습니다. 내 의견은 여전히 유효합니다. 환호하고 잘 지내십시오.

— 인젝터

4

현재 시스템은 여전히 이러한 일반적인 유형의 공격에 취약합니다. ICMP ECHO REQUEST는 Juniper SSG20 에서 서비스 거부 조건을 유발할 수 있습니다. ICMPv6의 취약점으로 인한 서비스 거부가 발생할 수 있습니다 (Windows Vista-8, Server 2008 및 2012) .

— 다니엘 벡

Ping of Death라는 이름은 마지막 조각이 처리되는 방식에 취약점이 있기 때문에 오해의 소지가 있습니다. 첫 번째 조각에 있기 때문에 어떤 종류의 패킷인지 알려주지 않습니다. 호스트가 취약한 경우 손상된 마지막 조각을 보내는 한 모든 유형의 패킷으로 호스트를 공격 할 수 있습니다. 또한 이것은 DDoS 공격과 관련이 없습니다. 하나의 손상된 패킷을 전송하기 만하면 분산 공격이 필요하지 않습니다. 마지막으로 조각난 패킷으로는 1MB에 도달 할 수 없습니다. 제한은 이론적으로 128KB이거나 실제로는 65.5KB입니다.

— kasperd

5

다른 가능성을 제공하기 위해-로그를 생성하는 사람에 대한 컨텍스트가 없으며 얼마나 자주 이러한 핑을 보는지 모르겠지만 ICMP /에 원하는 것을 넣을 수 있기 때문에 패킷을 핑 (Ping)하는 패킷은 때때로 은밀한 통신 채널, 즉 ICMP / 핑 터널로 사용 됩니다. 아마도 누군가 어떤 이유로 핑 터널을 사용하고 있다면 주어진 노드에서 빈번한 대규모 핑이 나오고 아마도 그 노드로 돌아 오는 것을 볼 수있을 것입니다.

— 폴
소스

1

4-6 초 간격으로 노드에서 GW로 일정한 PING.

— 인젝터

2

나는이 특별한 경우가 핑 터널이 아니라고 생각합니다 (4-6 초는 꽤 긴 대기 시간이며 분명히 핑을받지 못합니다). 다른 답변이 더 낫다고 생각하지만, 나는 이것을 떠날 것이라고 생각했습니다. 장래에 누군가가 기괴한 핑 동작에 의아해 핑 터널에 대해 모른다면 후손을위한 제안입니다.

— Paul

2

@paul 편도 통신은 스파이웨어 (예 : 기록 된 데이터를 보내는 키 로거)에 유용 할 수 있습니다.

— ratchet freak

@ratchetfreak 좋은 지적입니다. 아마도 스파이웨어 나 다른 맬웨어도 5 초의 전송 간격을 신경 쓰지 않을 것입니다. 문제는 핑이 게이트웨이를 목표로하는지 아니면 그냥 끝나는지를 가정합니다.

— Paul

@Paul은 GW에 대한 지속적인 PING이었습니다.

— 인젝터

0

유선으로도 잘못된 라우터는 큰 핑에서 실패하고 다시 시작할 때까지 작은 핑에서 성공할 수 있으므로 이와 같은 문제 를 디버깅 하는 데 사용할 수 있습니다

패킷 손실은 연결 상태가 나빠서 발생할 수 있으며 정상적인 Ping으로 항상 감지되는 것은 아닙니다.

ping 208.67.222.222 -l 40096 -n 20 또는 리눅스에서는 -s 40096

이것은 큰 핑 트래픽을 허용하고 회선에서 패킷 손실을 찾는 특수 서버를 핑합니다. 유선으로 패킷 손실이 발생하여 일부 트래픽이 왕복하지 못했습니다.

— 홍옥
소스

왜 공감해야합니까?

— 조나단