Neden bu IP adresini izleyebiliyorum, ping işlemi yapamıyorum?


21

Bir IP adresim var ve izini sürdürebiliyorum, ancak ping yapamıyorum.

Görüyorsun, izleyebilirim 43.224.226.50:

dele-MBP:~ ll$ traceroute 43.224.226.50
traceroute to 43.224.226.50 (43.224.226.50), 64 hops max, 52 byte packets
 1  router.asus.com (192.168.2.1)  2.082 ms  1.039 ms  0.924 ms
 2  100.64.0.1 (100.64.0.1)  3.648 ms  3.795 ms  3.955 ms
 3  118.112.212.225 (118.112.212.225)  4.252 ms  4.569 ms  4.168 ms
 4  171.208.203.73 (171.208.203.73)  6.378 ms
    171.208.198.25 (171.208.198.25)  6.943 ms
    171.208.203.61 (171.208.203.61)  7.055 ms
 5  202.97.36.225 (202.97.36.225)  38.149 ms
    202.97.36.221 (202.97.36.221)  39.949 ms
    202.97.36.225 (202.97.36.225)  40.780 ms
 6  202.97.90.158 (202.97.90.158)  37.894 ms
    202.97.94.146 (202.97.94.146)  39.885 ms  39.354 ms
 7  202.97.38.166 (202.97.38.166)  45.324 ms
    202.97.39.149 (202.97.39.149)  40.097 ms
    202.97.94.77 (202.97.94.77)  40.580 ms
 8  202.97.51.118 (202.97.51.118)  374.218 ms
    202.97.27.238 (202.97.27.238)  187.573 ms
    202.97.86.138 (202.97.86.138)  197.524 ms
 9  218.30.53.190 (218.30.53.190)  201.597 ms
    218.30.54.190 (218.30.54.190)  194.194 ms
    218.30.53.190 (218.30.53.190)  204.027 ms
10  182.54.129.91 (182.54.129.91)  220.026 ms  282.360 ms
    et-11-1-5.r01.laxus01.us.bb.bgp.net (182.54.129.38)  185.700 ms
11  182.54.129.91 (182.54.129.91)  229.700 ms  508.509 ms  266.683 ms
12  * 212.95.128.2 (212.95.128.2)  565.161 ms *
13  43.224.226.50 (43.224.226.50)  200.531 ms  201.911 ms  191.566 ms

Ama ping yapamam:

dele-MBP:~ ll$ ping 43.224.226.50
PING 43.224.226.50 (43.224.226.50): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
Request timeout for icmp_seq 4
Request timeout for icmp_seq 5
Request timeout for icmp_seq 6
Request timeout for icmp_seq 7
Request timeout for icmp_seq 8
Request timeout for icmp_seq 9
Request timeout for icmp_seq 10
Request timeout for icmp_seq 11

ICMP'de yasak varsa, tracerouteya da çalışmamalısınız. Bunun nedeni ne?

Sunucunun güvenlik duvarının durdurulduğunu kontrol ettim.


Ping için zaman aşımı fazla kısıtlayıcı olabilir ve daha yumuşak zaman sınırları göz önüne alındığında başarılı olmuş olabilir mi? Traceroute bazı düğümler için 500 ms'den fazla verdi.
vsz

Herhangi bir cevap size yardımcı oldu mu? Eğer öyleyse, cevabı kabul etmelisin ki soru sonsuza kadar ortaya çıkmayacak, bir cevap arayacaksın. Alternatif olarak, kendi cevabınızı sağlayabilir ve kabul edebilirsiniz.
Ron Maupin

Yanıtlar:


39

Burada benzer bir soru üzerine Luke Savage mükemmel bir şekilde açıkladı:

Traceroute bir protokol değildir, bir uygulamadır ve kullanılan protokoller kullandığınız uygulamaya bağlıdır. Öncelikle bu ICMP'dir.

İki ana uygulama vardır:

tracert - tracert, atlama noktalarını son hedef adresle eşlemek için artan TTL alanı olan ICMP paketlerini kullanan bir Windows uygulamasıdır.

traceroute - traceroute, ağ aygıtları dahil olmak üzere çoğu Linux tabanlı sistemde ve Cisco aygıtlarında kullanılabilen bir * nix uygulamasıdır. Bu, atlama noktalarını son hedefle eşleştirmek için artan TTL alanına sahip UDP paketlerini kullanır.

Bunların arasındaki fark, bazı ağların artık varsayılan olarak ICMP'yi engellediğinden, bir Windows makinesinden hem PING hem de tracert başarısız olacağından, Linux aygıtındaki traceroute'un hala çalışabileceğini bilmek faydalıdır.


2
peki neden sunucu IP'm izleyebiliyor ama ping yapamıyor?
244boy,

10
Paylaşılan çıktınızdan , Unix veya gnu tabanlı bir işletim sistemi kullandığınızı düşünmemi sağlayan tracerouteve komut kullandığınızı görebiliyorum tracert. Cevap olarak ben Unix tabanlı sistemler kullanmadığınızı görebilirsiniz sözü ICMPiçin traceroute. Başka bir deyişle, çünkü PINGkullanıyor ICMP(Sana ulaşmak çalıştığınız sistem tarafından engellenir düşünüyorum) ve traceroute kullanıyor UDPait bir çoğaltıcı yöntemiyle paketlerini TTL(Sana ulaşmak çalıştığınız sistemde de engellenmez düşünüyorum) alanında PINGbaşarısız ama Traceroutebaşarılı.
naïveRSA

4
244boy gibi biri bir iyileştirme önerdiğinde, yazınıza yeni bir yorum eklemek yerine, yazınızı düzenlemek daha iyi olur; böylece yanıtı okuyan gelecekteki insanlar tam yanıtı almak için tüm yorumları okumak zorunda kalmazlar.
Keeta - Monica

naïveRSA Açıkçası @, tracerouteolduğu kullanarak o bile, ICMP gönderme yani o beklediğini ve değerlendirir, UDP TTL exceededyolda atlama gelen mesajlar. TümpingICMP echo
ICMP'leri

17

@ NaïveRSA'nın yanıtına eklemek için , yolda filtreleme / güvenlik duvarı varsa, bir ICMP "yankı yanıtı" (ping) paketinin engellendiği, ancak bir ICMP'nin "zaman aşımına uğradığı " ( iz ) paketine izin verilen bir durum da olabilir. . Bu sadece ICMP (Windows) kullanılsa bile aynı sonuçları verir.

Her iki durumda da (UDP veya ICMP kullanan gönderen) hata iletişimi ICMP olacaktır (yani, ping veya tracer * paketine yanıt veren düğüm).


6

Bakalım ne oldu?

Konumuma en azından, ben her iki kendisine ulaşabilmesi için 8.8.8.8, iyi bir örnek yapar tracerouteve ping.

Öncelikle ping 8.8.8.8ne olacağını görmeye çalışalım :

$ tcpdump -n host 8.8.8.8 or icmp
15:36:51.045994 IP 10.4.27.179 > 8.8.8.8: ICMP echo request, id 7215, seq 0, length 64
15:36:51.062458 IP 8.8.8.8 > 10.4.27.179: ICMP echo reply, id 7215, seq 0, length 64
15:36:52.048350 IP 10.4.27.179 > 8.8.8.8: ICMP echo request, id 7215, seq 1, length 64
15:36:52.073657 IP 8.8.8.8 > 10.4.27.179: ICMP echo reply, id 7215, seq 1, length 64

Bu yüzden pingbir ICMP yankı isteği gönderir ve bir ICMP yankı yanıtı bekler.

Şimdi traceroute -n 8.8.8.8:

15:41:31.803324 IP 10.4.27.179.44838 > 8.8.8.8.33435: UDP, length 24
15:41:31.815184 IP 10.250.32.2 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.815343 IP 10.4.27.179.44838 > 8.8.8.8.33436: UDP, length 24
15:41:31.819654 IP 10.250.32.2 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.819791 IP 10.4.27.179.44838 > 8.8.8.8.33437: UDP, length 24
15:41:31.824609 IP 10.250.32.2 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.824754 IP 10.4.27.179.44838 > 8.8.8.8.33438: UDP, length 24
15:41:31.830506 IP 64.124.23.161 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.830649 IP 10.4.27.179.44838 > 8.8.8.8.33439: UDP, length 24
15:41:31.834469 IP 64.124.23.161 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.834565 IP 10.4.27.179.44838 > 8.8.8.8.33440: UDP, length 24
15:41:31.840962 IP 64.124.23.161 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.841061 IP 10.4.27.179.44838 > 8.8.8.8.33441: UDP, length 24
15:41:31.847440 IP 64.125.26.21 > 10.4.27.179: ICMP time exceeded in-transit, length 148
15:41:31.847634 IP 10.4.27.179.44838 > 8.8.8.8.33442: UDP, length 24
15:41:31.853664 IP 64.125.26.21 > 10.4.27.179: ICMP time exceeded in-transit, length 148
15:41:31.853761 IP 10.4.27.179.44838 > 8.8.8.8.33443: UDP, length 24
15:41:31.859221 IP 64.125.26.21 > 10.4.27.179: ICMP time exceeded in-transit, length 148
15:41:31.859269 IP 10.4.27.179.44838 > 8.8.8.8.33444: UDP, length 24
15:41:31.864149 IP 64.125.31.15 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.864192 IP 10.4.27.179.44838 > 8.8.8.8.33445: UDP, length 24
15:41:31.870843 IP 64.125.31.15 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.870922 IP 10.4.27.179.44838 > 8.8.8.8.33446: UDP, length 24
15:41:31.876200 IP 64.125.31.15 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.876352 IP 10.4.27.179.44838 > 8.8.8.8.33447: UDP, length 24
15:41:31.882148 IP 64.125.13.111 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.882249 IP 10.4.27.179.44838 > 8.8.8.8.33448: UDP, length 24
15:41:31.890076 IP 64.125.13.111 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.890156 IP 10.4.27.179.44838 > 8.8.8.8.33449: UDP, length 24
15:41:31.896100 IP 64.125.13.111 > 10.4.27.179: ICMP time exceeded in-transit, length 36
15:41:31.896163 IP 10.4.27.179.44838 > 8.8.8.8.33450: UDP, length 24
15:41:31.905037 IP 108.170.242.225 > 10.4.27.179: ICMP time exceeded in-transit, length 60
15:41:31.905235 IP 10.4.27.179.44838 > 8.8.8.8.33451: UDP, length 24
15:41:31.913206 IP 108.170.242.225 > 10.4.27.179: ICMP time exceeded in-transit, length 60
15:41:31.913283 IP 10.4.27.179.44838 > 8.8.8.8.33452: UDP, length 24
15:41:31.923428 IP 108.170.242.241 > 10.4.27.179: ICMP time exceeded in-transit, length 76
15:41:31.923520 IP 10.4.27.179.44838 > 8.8.8.8.33453: UDP, length 24
15:41:31.932266 IP 108.170.237.9 > 10.4.27.179: ICMP time exceeded in-transit, length 60
15:41:31.932441 IP 10.4.27.179.44838 > 8.8.8.8.33454: UDP, length 24
15:41:31.939961 IP 209.85.251.9 > 10.4.27.179: ICMP time exceeded in-transit, length 76
15:41:31.940043 IP 10.4.27.179.44838 > 8.8.8.8.33455: UDP, length 24
15:41:31.947460 IP 108.170.237.21 > 10.4.27.179: ICMP time exceeded in-transit, length 60
15:41:31.947508 IP 10.4.27.179.44838 > 8.8.8.8.33456: UDP, length 24
15:41:31.954824 IP 8.8.8.8 > 10.4.27.179: ICMP 8.8.8.8 udp port 33456 unreachable, length 36
15:41:31.954888 IP 10.4.27.179.44838 > 8.8.8.8.33457: UDP, length 24
15:41:31.963601 IP 8.8.8.8 > 10.4.27.179: ICMP 8.8.8.8 udp port 33457 unreachable, length 36
15:41:31.963671 IP 10.4.27.179.44838 > 8.8.8.8.33458: UDP, length 24
15:41:31.972407 IP 8.8.8.8 > 10.4.27.179: ICMP 8.8.8.8 udp port 33458 unreachable, length 36

Dolayısıyla traceroute, en azından kurduğum uygulama ICMP'yi göndermiyor. Aksine, UDP paketleri gönderir.

Ne (olurdu gerçi verseydim, bu iz görülebilir değilse tcpdumpbir -vayrıntı seviyesini artırmak için) ilk sondalar 1 değerindeki bir TTL olması ve daha sonra daha sonra sondalar için ttl artırır. Bu, ben ve 8.8.8.8 arasındaki yönlendiricilerin bir ICMP ttl hatasını aştırarak yanıtlamasına neden oldu;

Sonunda ttl, 8.8.8.8'e kadar tüm yollara yetecek kadar uzundur ve 8.8.8.8, ICMP portuna erişilemez bir hatayla yanıt verir, çünkü 44838 numaralı UDP portunda dinleme işlemi yoktur. Traceroute, nihai hedefe ulaştığını bilir. .

Burada ve burada bir şey tüm ICMP'yi engelliyorsa , ne ping ne de traceroute işe yaramaz.

Ancak, genellikle nadir de olsa, tüm ICMP’lerin engellenmesi söz konusu değildir. Tüm ICMP'lerin engellenmesi sorunludur: örneğin , bir ICMP parçalanması gereken hataya dayanan MTU keşfi yolunu keser . ICMP paketlerinin bir türü ve bir kodu vardır ve sorumlu şebeke operatörleri, kötüye kullanım potansiyeli oluşturan veya belirli bilgileri ifşa eden yalnızca bazı tür veya kodları seçerek engelleyecektir.

Örneğin, bazı ana bilgisayarlar bir ICMP yankı isteğine hiç yanıt vermez ve bu nedenle ping çalışmaz. Buradaki fikir, ping'lere cevap vermeyerek, saldırganın ağda hangi ana bilgisayarların bulunduğunu keşfetmesinin daha zor olduğudur. Uygulamada bu sorgulanabilir, çünkü bir konukçuyu araştırmanın başka yolları da var. Örneğin, bir web sunucusu bulmak için bağlantı noktası 80'e bir TCP SYN gönderilebilir.

Ayrıca çoğu ana bilgisayar, işlem dinlemeyen bir bağlantı noktasına bir UDP datagramı veya bir TCP SYN aldıklarında bir ICMP bağlantı noktasını erişilemez hatası göndermez ve bu işlem traceroute'u keser. Yine, fikir bir saldırganın ağı eşleştirmesini zorlaştırmaktır, ancak yine de bu saldırgan için küçük bir hayal kırıklığıdır.

Traceroute bir program olduğundan ve herhangi bir protokol olmadığı için başka problama yöntemleri de vardır. Hepsi yönlendiricileri keşfetmek için TTL'yi artırmaya güvenir, ancak uç noktadan bir yanıt ortaya çıkarmak için az çok şansı olabilecek farklı türde problar gönderilebilir. Örneğin benim man tcpdumplistelerine -Iseçenek ICMP'nin yankı sondalar, ping aynı kullanımı. Ayrıca -TUDP yerine TCP SYN probları kullanmak zorundadır . Bir ev sahibi yanıt verecek biliyorsanız pingo zaman -Içok mantıklı. Ana bilgisayarın belirli bir TCP bağlantı noktasını dinlediğini biliyorsanız, o zaman -Tbelki bağlantı -pnoktasını seçme seçeneğiyle birlikte mantıklı olur .

Ne yazık ki bu seçenekler kök veya özel yetenekler gerektirebilir, bu nedenle UDP adil bir varsayılan yapar. Aslında benzer bir araç, tracepathman sayfasında şöyle söyler:

AÇIKLAMA

Bu yol boyunca MTU'yu keşfeden hedefe giden yolu izler. UDP port portunu veya bazı rasgele portları kullanır. Traceroute'a benzer, yalnızca süper kullanıcı ayrıcalıkları gerektirmez ve fantezi seçeneklerine sahip değildir.


2

TLDR; ping uzak ana bilgisayarda (ICMP bloğunu) bloke edilebilir ama traceroute hala UDP veya TCP / IP (gerçekten herhangi protokolü yönlendirme standart ağını kullanarak kendisine rota bulabilirsiniz; ref /networkengineering//a/36509/ 58968 ). Ping'inizin muhtemelen ana makineye de erişebileceğini unutmayın (belki bir yerde ICMP ping trafiğini engelleyen çok akıllı bir güvenlik duvarınız yoksa), ana bilgisayar yanıt vermez.


0

Traceroute için ICMP yerine UDP kullanan Linux , güvenlik duvarı bu UDP bağlantı noktasını engellemedi


0

Nmap'ı (insecure.org) yükleyebilir ve nDP'yi UDP veya TCP ve herhangi bir portla kullanabilirsiniz. Ping engellenmiş giden ağlarda harika çalışıyor.

Nping - tcp -p 80,443 web sunucusuna ping atmak için

Nping zaman sunucusuna ping yapmak için --udp -p 123

https://nmap.org/book/nping-man.html


0

Sorunuza kısa bir cevap, pingyardımcı programın bazen ağ güvenlik duvarında veya cihazın güvenlik duvarında engellenmiş olan ICMP protokolüne dayanmasıdır. Ağ yöneticilerinin ICMP'yi engellemesinin en yaygın nedeni, bir güvenlik sorunu olduğunu düşündüğü ağın "taranmasını" önlemektir. tracerouteLinux üzerinde yarar bu durumda ağ yöneticileri tarafından engellenmez UDP, bambaşka protokolü kullanılmaktadır. UDP'nin çeşitli kullanımları vardır ve bunun engellenmesi bir çok şeyin ağda kullanılamamasına neden olacaktır. İhtiyaç duyulan ICMP 'kontrol mesajı' pingtipi, bir ICMP paket tipinin engellenmesi anlamına gelen bir protokol alt kümesidir ve bu nedenle bir ağ üzerinde daha az soruna neden olur ve bu nedenle UDP'den daha fazla engellenmesi daha muhtemeldir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.