Quel est le but d'utiliser un grand paquet de ping?

38

Lors de l'analyse de certains journaux de trafic, j'ai remarqué qu'un nœud envoyait une commande ping à sa passerelle avec une taille de paquet importante, allant de 700 octets à 1 Mo. C'est un ping constant de nœud à passerelle et la taille par ping est plutôt élevée. Est-ce que quelqu'un sait pourquoi cela pourrait se produire ou s'il y a un avantage (éventuellement à des fins de test) à manipuler la taille de PING?

troubleshooting icmp injecteur
la source

Réponses:

48

Cela permet de s'assurer que le chemin emprunté peut traiter le gros paquet, car tous les itinéraires n'ont pas toujours le même MTU . Avoir un bon MTU empêchera également la fragmentation IP.

monstre à cliquet
la source
2
L'utilisation d'une trame géante ne permet pas de confirmer de manière adéquate qu'une trame géante fonctionnera. La plupart des routeurs vont simplement fragmenter une trame plus grande si sa MTU est inférieure (bien que certains routeurs aient des options à ignorer dans ce cas). Un ping utilisant l'indicateur Don't fragment est plus approprié car il couvre TOUTES les instances dans lesquelles il existe une interface avec un MTU plus petit que le paquet envoyé.
MaQleod
1
@MaQleod ou il vérifie l'indicateur de fragmentation nécessaire dans la réponse.
Monstre à cliquet
1
Il y a une dizaine d'années, j'ai dû déboguer le MTU par défaut de Windows, car la connexion ne fonctionnait jamais à des endroits spécifiques. Cela était détectable en changeant la taille du paquet ping de la valeur par défaut à une plus grande. Plus de 1500 était trop, et 1400 permettaient un fonctionnement normal (ADSL en Finlande).
Juha Untinen
PPPoE (utilisé souvent avec DSL) ajoute un en-tête de 8 octets; le MTU pour les connexions PPPoE est généralement de 1492.
LawrenceC
@MaQleod Il est clairement indiqué dans les normes que la décision de fragmenter les paquets trop volumineux ne doit pas être prise par les routeurs. Dans IPv4, l'expéditeur décide si le paquet doit être fragmenté ou si une erreur doit être renvoyée à l'expéditeur. Dans IPv6, un routeur ne fragmente jamais un paquet, une erreur est toujours envoyée à l'expéditeur si un paquet est trop volumineux.
Kasperd
46

Le seul avantage d’une charge importante sur un ping est de tester la stabilité de la ligne. Si une ligne fluctue ou est déconnectée avec une charge élevée, mais pas avec une charge faible, un ping standard de 32 octets seulement ne détectera pas le problème.

LPChip
la source
5
J'aurais aimé pouvoir accepter les deux réponses, l'une complétant l'autre. Merci.
injecteur
18
Ça va. Ce commentaire est une récompense suffisante pour moi. :)
LPChip
9
De plus, lorsque je travaillais précédemment pour un fournisseur de services Internet, nous utilisions parfois des paquets plus volumineux pour aider à résoudre les problèmes de perte de paquets lorsque notre système QoS rejetait par inadvertance les plus gros paquets lorsque la ligne était saturée.
Thebluefish
17

Personne n'a mentionné le PING OF DEATH ??

Un ping de mort est un type d’attaque sur un ordinateur qui consiste à envoyer un ping mal formé ou malicieux à un ordinateur. Un message ping correctement formé a généralement une taille de 56 octets ou de 84 octets lorsque l'en-tête Internet Protocol [IP] est pris en compte. Historiquement, de nombreux systèmes informatiques ne pouvaient pas gérer correctement un paquet ping d'une taille supérieure à la taille maximale du paquet IPv4. Des paquets plus volumineux peuvent planter l'ordinateur cible .

En règle générale, l'envoi d'un paquet ping de 65 536 octets constitue une violation du protocole Internet décrit dans la RFC 791, mais un paquet de cette taille peut être envoyé s'il est fragmenté. Lorsque l'ordinateur cible réassemble le paquet, un buffer overflow peut se produire, ce qui provoque souvent une panne du système.

Je ne pense pas que ce soit un système répandu, mais si vous voulez utiliser un gros paquet de requêtes ping, eh bien, le DDoS en est un.

MDMoore313
la source
2
Ah, la vieille attaque de la mort (PoD). La plupart des systèmes d'exploitation modernes ne sont plus vulnérables à ce type d'attaque. En outre, la plupart des périphériques réseau modernes ne sont plus vulnérables à ce type d'attaque. Il est à noter que le scénario initial sur lequel je fondais ma question était le suivant: un seul nœud interne envoyait une requête ping à sa passerelle.
injecteur
C'est vrai, et j'ai mentionné qu'il n'était plus aussi répandu qu'auparavant, mais si vous pensez que chaque équipement de réseau est insensible à celui-ci ou qu'il n'est pas encore utilisé à des fins malveillantes, vous vous trompez mal .
MDMoore313
1
Vous faites référence à un post Yahoo Answers, donc ce doit être vrai? Nous pouvons accepter d'être en désaccord. Mon commentaire est toujours valable. Vive et va bien.
injecteur
4
Les systèmes actuels restent vulnérables à ce type d’attaque général: ICMP ECHO REQUEST peut provoquer une condition de déni de service sur le Juniper SSG20 , une vulnérabilité dans ICMPv6 pourrait permettre un déni de service (Windows Vista-8, Server 2008 et 2012) .
Daniel Beck
Le nom Ping of Death est trompeur, car la vulnérabilité réside dans la façon dont le dernier fragment est traité, et cela ne vous dit même pas de quel type de paquet il s'agit, puisqu'il se trouve dans le premier fragment. Si un hôte est vulnérable, vous pouvez l'attaquer avec n'importe quel type de paquet, à condition d'envoyer un dernier fragment corrompu. De plus, cela n’a rien à voir avec une attaque DDoS. Vous n'avez pas besoin d'une attaque distribuée, alors que tout ce que vous voulez faire est d'envoyer un seul paquet corrompu. Enfin, vous ne pouvez pas atteindre 1 Mo avec des paquets fragmentés. La limite est de 128 Ko en théorie ou de 65,5 Ko en pratique.
Kasperd
5

Juste pour offrir une autre possibilité (improbable) - je ne sais pas qui génère le journal et je ne sais pas à quelle fréquence vous voyez ces pings, mais parce que vous pouvez mettre ce que vous voulez dans ICMP / paquets ping, ils sont parfois utilisés un canal de communication caché, à savoir un tunnel ICMP / ping . Vraisemblablement, vous verriez fréquemment des pings de grande taille sortir (et éventuellement retourner) d'un nœud donné, si quelqu'un utilise un tunnel de ping pour une raison quelconque.

Paul
la source
1
PING constant du noeud à GW, sur un intervalle de 4 à 6 secondes.
injecteur
2
J'imagine que ce cas particulier n'est pas un tunnel de ping (4 à 6 secondes seraient une latence assez longue, et apparemment, ils ne reçoivent pas de pings), je pense que les autres réponses sont meilleures, mais j'ai pensé que je laisserais ça suggestion ici pour la postérité, au cas où quelqu'un dans le futur serait intrigué par un comportement de ping bizarre et ne connaisse pas les tunnels de ping.
Paul
2
La communication à sens unique @paul peut être pratique pour les logiciels espions (par exemple, les enregistreurs de frappe qui envoient les données enregistrées)
freak freak
@ratchetfreak Bon point. Probablement les logiciels espions ou autres logiciels malveillants ne s’inquiéteraient pas non plus d’un intervalle d’envoi de 5 secondes. Je suppose que la question est de savoir si les pings visent la passerelle ou finissent juste là.
Paul
@Paul était un PING constant pour le GW en particulier.
injecteur
0

Un mauvais routeur, même câblé, peut échouer sur de grands pings et réussir sur de petits, jusqu'à ce qu'il soit redémarré, il peut donc être utilisé pour des problèmes de débogage comme celui-ci.

La perte de paquets peut résulter d'une mauvaise connexion et ne peut pas toujours être détectée avec un ping normal.

ping 208.67.222.222 -l 40096 -n 20 ou sur linux c'est -s 40096

Ceci envoie une commande ping à un serveur spécial qui autorise un trafic ping important et recherche les pertes de paquets sur la ligne. J'avais eu une perte de paquets sur une ligne câblée qui empêchait une partie du trafic d'aller-retour.

Jonathan
la source
Pourquoi le vote négatif?
Jonathan