Wie weiß Ping, dass meine Pakete gefiltert sind?

Ich bin Kunde eines irischen ISP, Eircom, der begonnen hat, die Piratenbucht zu zensieren.

Wenn ich versuche, 194.71.107.15 zu pingen, was die IP-Adresse von thepiratebay.com ist, bekomme ich diese Ausgabe:

PING 194.71.107.15 (194.71.107.15) 56(84) bytes of data.
From 159.134.124.176 icmp_seq=1 Packet filtered
From 159.134.124.176 icmp_seq=2 Packet filtered
From 159.134.124.176 icmp_seq=3 Packet filtered

Wie weiß Ping, dass es gefiltert ist? Wie kann ich mehr darüber erfahren, wie gefiltert wird? Mein Ping/nmap Foo ist schwach.

18

6 Antworten

Nach dem Anschauen

ping.c von ibutils-ping Debian-Paket, sehe ich:

 
 /*
 *
 * pr_icmph --
 *      Print a descriptive string about an ICMP header.
 */
void pr_icmph(__u8 type, __u8 code, __u32 info, struct icmphdr *icp)
{

...
                case ICMP_PKT_FILTERED:
                        printf("Packet filtered\n");
                        break;
...

Es sieht so aus als ob iptables reject dies in der Antwort hinzufügt, siehe

http://tomoyo.sourceforge.jp/cgi -bin/lxr/source/net/ipv4/netfilter/ipt_REJECT.c

und suchen nach "ICMP_PKT_FILTERED", obwohl es nicht der einzige Fall sein könnte, der eine Ping-Antwort mit einer solchen Nachricht machen würde.

27
hinzugefügt
Bestimmt.
hinzugefügt der Autor Warren Blanchet, Quelle
+1 für das Quellentauchen.
hinzugefügt der Autor user2010136, Quelle
Eine andere Sache, die dies verursachen kann, sind "private" Pakete (unter Verwendung einer privaten/internen IP), die es zur Welt schaffen. Ich habe das gesehen, als eine VPN-Verbindung abbrach und Pakete, die zu 10.11.12.13 gingen, "paketgefilterte" Antworten von einem externen System erhielten, an die sie niemals zuvor gegangen sein sollten. Siehe auch de.wikipedia.org/wiki/IP_address#IPv4_private_addresses
hinzugefügt der Autor Doktor J, Quelle

Ping bestimmt seine gedruckte Nachricht in Abhängigkeit von der ICMP-Kontrollnachricht , die sie als Antwort erhält zu einer Echo-Anfrage.

Ich würde mir vorstellen, dass jedes Filtergerät, das Eircom benutzt, um den Zugang zu The Pirate Bay zu blockieren, entweder ICMP Type 3, Code 9 (Netzwerk administrativ verboten) oder Type 3, Code 10 (Host administrativ verboten) Nachrichten erzeugt Verkehr, der auf die IP-Adresse von The Pirate Bay gerichtet ist.

Zur Bestätigung würde ich vorschlagen, eine Paketerfassung auszuführen (unter Verwendung von Wireshark oder ähnlichem) und die ICMP-Antwortpakete zu betrachten, die Sie haben erhalten von 159.134.124.176 zurück.

12
hinzugefügt

Das bedeutet, dass das Gerät 159.134.124.176 ICMP (Ping) -Pakete blockiert und Ihnen mit diesen Informationen antwortet. Die möglichen ICMP-Antworten finden Sie in diesem Wiki-Artikel .

4
hinzugefügt

Die Grundidee (und hoffentlich kann jemand mir helfen, einige Details zu ergänzen, da ich kein Linux-Experte bin) ist, dass Ihr Ping eine ICMP-Echo-Anfrage sendet, aber die Standard-Echo-Antwort nicht vom Ziel-Host zurückbekommt. Stattdessen wurde es von 159.134.124.176 beantwortet, wahrscheinlich mit einer Form von ICMP-Ziel unerreichbar Antwort. Das und die Tatsache, dass 159.134.124.176 nicht das ursprüngliche Ziel ist, impliziert, dass die Pakete gefiltert werden.

1
hinzugefügt

ping empfängt einen ICMP_DEST_UNREACH und je nach Typ des zurückgegebenen ICMP-Pakets weiß ping, dass es gefiltert ist.

1
hinzugefügt

Ich denke, es bedeutet, dass 159.134.124.176 es Ihren Pings nicht erlaubt, 194.71.107.15 zu erreichen, d. H. Es filtert (zumindest) ICMP. Wenn ich dasselbe mache, bekomme ich:

\# ping 194.71.107.15
PING 194.71.107.15 (194.71.107.15) 56(84) bytes of data.
64 bytes from 194.71.107.15: icmp_seq=1 ttl=50 time=43.0 ms
64 bytes from 194.71.107.15: icmp_seq=2 ttl=50 time=42.0 ms
64 bytes from 194.71.107.15: icmp_seq=3 ttl=50 time=42.1 ms

... und ein schnelles WHOIS sagt mir, dass 159.134.124.176 tatsächlich etwas von Eircom ist.

1
hinzugefügt
Die Frage war "wie" ping weiß, ich denke der Autor ist sich bewusst, dass ICMP gefiltert wird. Er denkt wahrscheinlich, dass gefiltert bedeutet, den schwarzen Lochstil zu filtern, wobei nichts zurück gegeben wird, und das die Frage nach dem "magischen" Ping aufwarf, wissend, was der Fall ist.
hinzugefügt der Autor raoof, Quelle