Frage Wie weiß Ping, dass meine Pakete gefiltert sind?


Ich bin Kunde eines irischen ISP, Eircom, die begonnen hat zu zensieren die Piratenbucht.

Wenn ich versuche zu pingen 194.71.107.15 Welches ist die IP-Adresse von thepiratebay.com, bekomme ich diese Ausgabe:

PING 194.71.107.15 (194.71.107.15) 56(84) bytes of data.
From 159.134.124.176 icmp_seq=1 Packet filtered
From 159.134.124.176 icmp_seq=2 Packet filtered
From 159.134.124.176 icmp_seq=3 Packet filtered

Wie weiß Ping, dass es gefiltert ist? Wie kann ich mehr darüber erfahren, wie gefiltert wird? Mein Ping / nmap Foo ist schwach.


19
2017-09-01 14:23


Ursprung




Antworten:


Ping bestimmt seine gedruckte Nachricht abhängig von der ICMP-Steuerungsnachricht Es empfängt als Antwort auf eine Echo-Anfrage.

Ich würde mir vorstellen, dass jedes Filtergerät, das Eircom benutzt, um den Zugang zu The Pirate Bay zu blockieren, entweder ICMP Type 3, Code 9 (Netzwerk administrativ verboten) oder Type 3, Code 10 (Host administrativ verboten) Nachrichten erzeugt Verkehr, der auf die IP-Adresse von The Pirate Bay gerichtet ist.

Um das zu bestätigen, würde ich vorschlagen, eine Paketerfassung auszuführen (unter Verwendung von Wireshark oder ähnlich) und die ICMP-Antwortpakete betrachten, die Sie von 159.134.124.176 zurück erhalten.


13
2017-09-01 14:48





Nach dem Anschauen

ping.c von ibutils-ping Debian-Paket, sehe ich:

 
 / *
 *
 * pr_icmph -
 * Drucken Sie eine beschreibende Zeichenfolge über einen ICMP-Header.
 * /
void pr_icmph (__ u8 typ, __u8 code, __u32 info, struct icmphdr * icp)
{

...
                Fall ICMP_PKT_FILTERED:
                        printf ("Paket gefiltert \ n");
                        brechen;
...

Es sieht so aus als ob iptables reject dies in der Antwort hinzufügt, siehe

http://tomoyo.sourceforge.jp/cgi-bin/lxr/source/net/ipv4/netfilter/ipt_REJECT.c

und suchen nach "ICMP_PKT_FILTERED", obwohl es nicht der einzige Fall sein könnte, der eine Ping-Antwort mit einer solchen Nachricht machen würde.


27
2017-09-01 14:39



+1 für das Quellentauchen. - RainyRat
Bestimmt. - squillman
Eine andere Sache, die dies verursachen kann, sind "private" Pakete (unter Verwendung einer privaten / internen IP), die es zur Welt schaffen. Ich habe das gesehen, als eine VPN-Verbindung abbrach und Pakete, die zu 10.11.12.13 gingen, "paketgefilterte" Antworten von einem externen System erhielten, an die sie niemals zuvor gegangen sein sollten. Siehe auch en.wikipedia.org/wiki/IP_address#IPv4_private_addresses - fencepost


Das bedeutet, dass das Gerät 159.134.124.176 ICMP (Ping) -Pakete blockiert und Ihnen mit diesen Informationen antwortet. Die möglichen ICMP-Antworten sind in aufgelistet Dieser Wiki-Artikel.


4
2017-09-01 14:38





ping empfängt einen ICMP_DEST_UNREACH und je nach Typ des zurückgegebenen ICMP-Pakets weiß ping, dass es gefiltert ist.


1
2017-09-01 14:36





Ich denke, es bedeutet, dass 159.134.124.176 es Ihren Pings nicht erlaubt, 194.71.107.15 zu erreichen, d. H. Es filtert (zumindest) ICMP. Wenn ich dasselbe mache, bekomme ich:

\# ping 194.71.107.15
PING 194.71.107.15 (194.71.107.15) 56(84) bytes of data.
64 bytes from 194.71.107.15: icmp_seq=1 ttl=50 time=43.0 ms
64 bytes from 194.71.107.15: icmp_seq=2 ttl=50 time=42.0 ms
64 bytes from 194.71.107.15: icmp_seq=3 ttl=50 time=42.1 ms

... und ein schnelles WHOIS sagt mir, dass 159.134.124.176 tatsächlich etwas von Eircom ist.


1
2017-09-01 14:36



Die Frage war "wie" ping weiß, ich denke der Autor ist sich bewusst, dass ICMP gefiltert wird. Er denkt wahrscheinlich, dass gefiltert bedeutet, den schwarzen Lochstil zu filtern, wobei nichts zurück gegeben wird, und das die Frage nach dem "magischen" Ping aufwarf, wissend, was der Fall ist. - Karolis T.


Die Grundidee (und hoffentlich kann jemand mir helfen, einige Details zu ergänzen, da ich kein Linux-Experte bin) ist, dass Ihr Ping eine ICMP-Echo-Anfrage sendet, aber die Standard-Echo-Antwort nicht vom Ziel-Host zurückbekommt. Stattdessen wurde es von 159.134.124.176 beantwortet, wahrscheinlich mit einer Form von ICMP-Ziel unerreichbar Antwort. Das und die Tatsache, dass 159.134.124.176 nicht das ursprüngliche Ziel ist, impliziert, dass die Pakete gefiltert werden.


1
2017-09-01 14:38