Como o ping sabe que meus pacotes são filtrados?

20

Sou cliente de um ISP irlandês, a eircom, que começou a censurar a baía dos piratas.

Quando tento 194.71.107.15executar ping, que é o endereço IP do thepiratebay.com, recebo esta saída:

PING 194.71.107.15 (194.71.107.15) 56(84) bytes of data.
From 159.134.124.176 icmp_seq=1 Packet filtered
From 159.134.124.176 icmp_seq=2 Packet filtered
From 159.134.124.176 icmp_seq=3 Packet filtered

Como o ping sabe que é filtrado? Como posso aprender mais sobre como é filtrado. Meu ping / nmap foo é fraco.

— Rory
fonte

14

O ping determina sua mensagem impressa dependendo da mensagem de controle ICMP que recebe em resposta a uma solicitação de eco.

Suponho que eu imagino que qualquer dispositivo de filtragem que a Eircom esteja usando para bloquear o acesso ao The Pirate Bay esteja gerando mensagens ICMP Tipo 3, Código 9 (rede proibida administrativamente) ou Tipo 3, Código 10 (host proibido administrativamente) em resposta a tráfego direcionado para o endereço IP do The Pirate Bay.

Para confirmar, sugiro executar uma captura de pacote (usando Wireshark ou similar) e examinar os pacotes de resposta ICMP que você está recebendo de volta de 159.134.124.176.

— Murali Suriar
fonte

29

Depois de olhar para

ping.c do pacote Debut etch iputils-ping, vejo:

 
 / *
 *
 * pr_icmph -
 * Imprima uma sequência descritiva sobre um cabeçalho ICMP.
 * /
void pr_icmph (__ tipo u8, código __u8, __u32 informações, estrutura icmphdr * icp)
{

...
                caso ICMP_PKT_FILTERED:
                        printf ("Pacote filtrado \ n");
                        quebrar;
...

Parece que o iptables rejeita adiciona isso na resposta, consulte

http://tomoyo.sourceforge.jp/cgi-bin/lxr/source/net/ipv4/netfilter/ipt_REJECT.c

e procure por "ICMP_PKT_FILTERED", embora possa não ser o único caso que faria o ping responder com essa mensagem.

— Karolis T.
fonte

5

+1 para o mergulho de origem.

— RainyRat 01/09/09

11

Definitivamente.

— squillman

Outra coisa que pode causar isso são os pacotes "particulares" (usando um IP privado / interno) que chegam ao mundo. Eu vi isso quando uma conexão VPN caiu e os pacotes de 10.11.12.13 começaram a receber respostas "filtradas por pacotes" de um sistema externo que elas nunca deveriam ter acessado em primeiro lugar. Veja também en.wikipedia.org/wiki/IP_address#IPv4_private_addresses

— fencepost

4

Isso significa que o dispositivo 159.134.124.176 está bloqueando pacotes ICMP (Ping) e respondendo a você com essas informações. As possíveis respostas do ICMP estão listadas neste artigo da Wiki .

— Doug Luxem
fonte

1

o ping recebe um ICMP_DEST_UNREACH e, dependendo do tipo de pacote icmp retornado, o ping retornado sabe que está filtrado.

— rkthkr
fonte

1

Eu acho que isso significa que 159.134.124.176 não está permitindo que seus pings cheguem a 194.71.107.15, ou seja, está filtrando (pelo menos) o ICMP. Quando faço a mesma coisa, recebo:

\# ping 194.71.107.15
PING 194.71.107.15 (194.71.107.15) 56(84) bytes of data.
64 bytes from 194.71.107.15: icmp_seq=1 ttl=50 time=43.0 ms
64 bytes from 194.71.107.15: icmp_seq=2 ttl=50 time=42.0 ms
64 bytes from 194.71.107.15: icmp_seq=3 ttl=50 time=42.1 ms

... e um rápido WHOIS me diz que 159.134.124.176 é realmente algo de propriedade da Eircom.

— RainyRat
fonte

2

A questão era "como" o ping sabe, acho que o autor está ciente de que o ICMP está sendo filtrado. Ele provavelmente pensa que filtrar significa filtrar o estilo de um buraco negro, sem dar retorno e isso levantou a questão sobre o ping "magicamente", sabendo qual é o caso.

— Karolis T.

1

A idéia básica (e espero que alguém possa me ajudar a preencher alguns detalhes, como eu não sou especialista em Linux) é que seu ping está enviando uma solicitação de eco ICMP, mas não está recebendo a resposta de eco padrão do host de destino. Em vez disso, foi respondida por 159.134.124.176, provavelmente com alguma forma de resposta inacessível do destino ICMP. Isso e o fato de que 159.134.124.176 não é o destino original implica que os pacotes são filtrados.

— squillman
fonte