¿Cuál es el propósito de usar un paquete ping grande?

38

Al analizar algunos registros de tráfico, noté un nodo haciendo ping a su puerta de enlace con un gran tamaño de paquete de ping, que van desde 700 bytes a 1 MB. Es un ping constante desde el nodo a la puerta de enlace y el tamaño por ping es bastante alto. ¿Alguien sabe por qué esto podría estar sucediendo o si hay un beneficio (posiblemente con fines de prueba) para manipular el tamaño de PING?

troubleshooting icmp inyector
fuente

Respuestas:

48

Es para garantizar que la ruta tomada pueda manejar el paquete grande, no todas las rutas tienen la misma MTU en todo momento. Tener una buena MTU también evitará la fragmentación de IP.

monstruo de trinquete
fuente
2
El uso de un marco gigante no valida adecuadamente que un marco gigante funcione. La mayoría de los enrutadores simplemente fragmentarán una trama más grande si su MTU es menor (aunque algunos enrutadores tienen opciones para descartar en este caso). Un ping que utiliza el indicador de no fragmentar es más apropiado ya que cubre TODAS las instancias en las que hay una interfaz con una MTU más pequeña que el paquete enviado.
MaQleod
1
@MaQleod o comprueba el indicador de fragmentación necesaria en la respuesta.
ratchet freak
1
Hace unos 10 años, tuve que depurar la MTU predeterminada de Windows, porque la conexión nunca funcionó en lugares específicos. Esto fue detectable al cambiar el tamaño del paquete de ping del valor predeterminado a los más grandes. Afaik 1500 era demasiado, y 1400 permitió el funcionamiento normal (ADSL en Finlandia).
Juha Untinen
PPPoE (usado a menudo con DSL) agrega un encabezado de 8 bytes, por lo que la MTU para conexiones PPPoE es típicamente 1492.
LawrenceC
@MaQleod Está claramente establecido en los estándares, que la decisión sobre si fragmentar paquetes que eran demasiado grandes no debe ser tomada por los enrutadores. En IPv4, el remitente decide si el paquete se fragmentará o si se devolverá un error al remitente. En IPv6, un enrutador nunca fragmenta un paquete, siempre se envía un error al remitente si el paquete es demasiado grande.
kasperd
46

El único beneficio de usar una gran carga en un ping es probar la estabilidad de la línea. Si una línea fluctúa o se desconecta con una carga alta, pero no con una carga pequeña, un ping estándar con solo 32 bytes no detectará el problema.

LPChip
fuente
55
Desearía poder aceptar ambas respuestas, ya que una complementa a la otra. Gracias.
inyector
18
Está bien. Este comentario es suficiente recompensa para mí. :)
LPChip
99
Para agregar a esto, cuando anteriormente trabajaba para un ISP, ocasionalmente usábamos tamaños de paquetes más grandes para ayudar a solucionar problemas de pérdida de paquetes en los que nuestro sistema QoS dejaba caer involuntariamente los paquetes más grandes cuando la línea estaba saturada.
Thebluefish
17

Nadie mencionó el PING DE LA MUERTE ?

Un ping de muerte es un tipo de ataque en una computadora que implica enviar un ping malformado o malicioso a una computadora. Un mensaje de ping formado correctamente suele tener un tamaño de 56 bytes o 84 bytes cuando se considera el encabezado del Protocolo de Internet [IP]. Históricamente, muchos sistemas informáticos no podían manejar correctamente un paquete de ping más grande que el tamaño máximo de paquete IPv4. Los paquetes más grandes podrían bloquear la computadora de destino .

En general, el envío de un paquete de ping de 65.536 bytes viola el Protocolo de Internet como se documenta en RFC 791, pero se puede enviar un paquete de tal tamaño si está fragmentado; cuando la computadora de destino vuelve a ensamblar el paquete, puede producirse un desbordamiento del búfer, que a menudo causa un bloqueo del sistema.

No creo que esté tan extendido como solía ser, pero si quieres un paquete de ping grande, bueno, DDoS es uno.

MDMoore313
fuente
2
Ah, el viejo ataque Ping of Death (PoD). La mayoría de los sistemas operativos modernos ya no son vulnerables a este tipo de ataque. Además, la mayoría de los dispositivos de red modernos ya no son vulnerables a este tipo de ataque. Cabe destacar que el escenario original en el que basé mi pregunta fue que un solo nodo interno estaba haciendo ping a su puerta de enlace.
inyector
Es cierto, y mencioné que no está tan extendido como solía estar, sin embargo, si crees que cada pieza de equipo de red es impermeable o que todavía no se usa maliciosamente, estás tristemente equivocado .
MDMoore313
1
Estás haciendo referencia a una publicación de Yahoo Answers, por lo tanto, debe ser cierto. Podemos estar de acuerdo en no estar de acuerdo. Mi comentario sigue en pie. Saludos y estar bien.
inyector
44
Los sistemas actuales siguen siendo vulnerables a este tipo general de ataque: ICMP ECHO REQUEST puede causar una condición de denegación de servicio en el Juniper SSG20 , la vulnerabilidad en ICMPv6 podría permitir la denegación de servicio (Windows Vista-8, Server 2008 y 2012) .
Daniel Beck
El nombre Ping of Death es engañoso, porque la vulnerabilidad está en cómo se maneja el último fragmento, y eso ni siquiera te dice qué tipo de paquete es, ya que está en el primer fragmento. Si un host es vulnerable, puede atacarlo con cualquier tipo de paquete, siempre y cuando envíe un último fragmento dañado. Además, esto no tiene nada que ver con un ataque DDoS. No necesita un ataque distribuido, cuando todo lo que quiere hacer es enviar un solo paquete dañado. Finalmente, no puede alcanzar 1 MB con paquetes fragmentados. El límite es 128 KB en teoría o 65,5 KB en la práctica.
kasperd
5

Solo para ofrecer otra posibilidad (poco probable): no tengo ningún contexto sobre quién está generando el registro, y no sé con qué frecuencia está viendo estos pings, sino porque puede poner lo que quiera en el ICMP / paquetes de ping, ocasionalmente se utilizan un canal de comunicación encubierto, es decir, un túnel ICMP / ping . Presumiblemente vería frecuentes pings de gran tamaño saliendo (y posiblemente regresando a) un nodo dado, si alguien está usando un túnel de ping por alguna razón.

Paul
fuente
1
PING constante de nodo a GW, en un intervalo de 4-6 segundos.
inyector
2
Me imagino que este caso en particular no es un túnel de ping (4-6 segundos sería una latencia bastante larga, y aparentemente no reciben ningún ping), creo que las otras respuestas son mejores, pero pensé que dejaría esto sugerencia aquí para la posteridad, en caso de que alguien en el futuro esté desconcertado por algún comportamiento de ping extraño y no sepa sobre túneles de ping.
Paul
2
La comunicación unidireccional de @paul puede ser útil para el spyware (por ejemplo, los registradores de teclas que envían los datos registrados)
ratchet freak
@ratchetfreak Buen punto. Probablemente al spyware u otro malware tampoco le importaría un intervalo de envío de 5 segundos. Supongo que la pregunta es si los pings están dirigidos a la puerta de enlace o simplemente terminan allí.
Paul
@Paul fue un PING constante para el GW específicamente.
inyector
0

Un enrutador defectuoso, incluso cableado, puede fallar en pings grandes y tener éxito en pequeños, hasta que se reinicie, por lo que puede usarse para problemas de depuración como este

La pérdida de paquetes puede ser el resultado de una mala conexión y no siempre se puede detectar con un ping normal.

ping 208.67.222.222 -l 40096 -n 20 o en Linux es -s 40096

Esto hace sonar un servidor especial que permite un gran tráfico de ping y busca la pérdida de paquetes en la línea. Tuve una pérdida de paquetes en una línea cableada que evitó que parte del tráfico fuera de ida y vuelta.

Jonathan
fuente
¿Por qué el voto negativo?
Jonathan