你们的服务器都给 ping 吗?

2016-08-03 16:03:41 +08:00
 Liang
我维护的服务器习惯性不让 ping ,除了能够看响应时间和连通性外,开不开放有没影响?例如收录、 SEO 之类的
11120 次点击
所在节点    DevOps
84 条回复
billlee
2016-08-03 21:15:38 +08:00
@iVanilla ping 也是先调用 DNS 把主机名解析成 IP 的,然后才发 ICMP echo 的。如果只要解析主机名, nslookup/dig 才是最快的方式。
eriale
2016-08-03 21:23:27 +08:00
AWS 的 EC2 默认就把 ping 关了
iVanilla
2016-08-03 21:24:45 +08:00
@billlee 如果是打字的话, ping 比 nslookup 用时间短。(哈哈开玩笑的)
skydiver
2016-08-03 21:27:40 +08:00
@iVanilla dig 不是更短
iVanilla
2016-08-03 21:45:12 +08:00
@skydiver Windows 没这命令。
imydou
2016-08-03 23:19:53 +08:00
@eriale aws 是安全组没开放 ping 端口
lty1993
2016-08-04 01:30:42 +08:00
从来不关 icmp 的路过, icmp 还有很多消息很有用啊,比如 refuse 之类的。 IPv6 靠 ICMP 做 Layer 2 和 Layer 3 的地址转换。
raysonx
2016-08-04 02:18:36 +08:00
习惯开,当然前提是限制好 icmp 包的响应速率
lslqtz
2016-08-04 04:49:46 +08:00
@iVanilla 防 ping 能防攻击第一次见。。
如果防 ping 能隐藏 ip 访客全没了好伐?
lslqtz
2016-08-04 05:00:20 +08:00
@iVanilla
C:\Users\lslqtz>ping test.acg.pink

正在 Ping test.acg.pink [121.41.*.*] 具有 32 字节的数据:
请求超时。
请求超时。
请求超时。
请求超时。

121.41.*.* 的 Ping 统计信息:
数据包: 已发送 = 4 ,已接收 = 0 ,丢失 = 4 (100% 丢失),

C:\Users\lslqtz>
什么叫还要 nslookup ?
DesignerSkyline
2016-08-04 05:27:00 +08:00
@iVanilla 谁说 windows 没有了, powershell 不就有吗
ZE3kr
2016-08-04 06:14:42 +08:00
@eriale @imydou aws 一部分服务就把 ping 关了,包括 america standard 的 s3 , ses 等,其他一些可用区开 ping 了,当时我没 ping 通还被吓到了。
datocp
2016-08-04 07:22:49 +08:00
ping 能不能防安全真不好说,一般有 limit hashlimit 做速率匹配。
但是在 ipv6 防火墙特定的 icmp 回应会用来确定 mtu 值还是封包?所以 ping 到底是干什么用的不清楚。
hansnow
2016-08-04 09:47:54 +08:00
@iVanilla 你在这楼里回的帖子越多,越觉得你啥都不懂,满嘴跑火车
iVanilla
2016-08-04 10:11:05 +08:00
@lslqtz 我没说禁 ping 就能防止攻击,只是很多脚本小子喜欢先 ping 获取 IP 然后攻击网站,如果是黑客的话也不会用这么 low 的方式,甚至用 CDN 也不一定能防止攻击,至于 nslookup 不是我提起的。

@DesignerSkyline 无法将“ dig ”项识别为 cmdlet 、函数、脚本文件或可运行程序的名称。请检查名称的拼
写,如果包括路径,请确保路径正确,然后重试。
所在位置 行:1 字符: 4
+ dig <<<<
+ CategoryInfo : ObjectNotFound: (dig:String) [], CommandNotFound
Exception
+ FullyQualifiedErrorId : CommandNotFoundException

@hansnow 对,你比我懂,你们都比我懂,满意了吧,我又不是计算机相关专业的,呵呵。
lslqtz
2016-08-04 10:11:37 +08:00
@iVanilla 那么上面我列出了,禁止 ping 仍然能获取 IP 。
lslqtz
2016-08-04 10:12:11 +08:00
其次 dig 是 Linux 下的程序。
C:\Users\lslqtz>dig v2ex.com

; <<>> DiG 9.10-P2 <<>> v2ex.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20879
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;v2ex.com. IN A

;; ANSWER SECTION:
v2ex.com. 60 IN A 120.52.13.12
v2ex.com. 60 IN A 14.152.44.136
v2ex.com. 60 IN A 14.152.44.135
v2ex.com. 60 IN A 14.152.44.137
v2ex.com. 60 IN A 59.173.16.210

;; Query time: 32 msec
;; SERVER: 119.29.29.29#53(119.29.29.29)
;; WHEN: Thu Aug 04 10:11:58 中国标准时间 2016
;; MSG SIZE rcvd: 117


C:\Users\lslqtz>
iVanilla
2016-08-04 10:14:26 +08:00
@lslqtz 你没看我上面的回复啊,那我再重复一说遍好了。

ping 是得到 IP 最快的方式,我并没有说 ping 是唯一获得网站 IP 的方式。
jeremaihloo
2016-08-04 10:21:59 +08:00
@iVanilla 兄弟,这个坛子就这样,没必要争论了
lslqtz
2016-08-04 10:23:02 +08:00
@iVanilla 所以轰炸机就是攻击工具,如果没使用 CDN 的话, ping 就可以得出真实 IP ,这样的话以后上 CDN 也没用了(防攻击)
轰炸机和禁 ping 有什么关系。。
我需要强调的是, CDN 可以隐藏真实 IP 。
第二,禁 ping 不会隐藏真实 IP ,仍然可以 ping 通,上面已提供结果,我不是要和你强调 ping 是唯一获得网站 IP 的方式,而是说禁止 ping 不能使 ping 得不到网站 IP ,而是禁 ping 没有防攻击作用,只不过会显示响应超时罢了。
第三,轰炸机不是用 ping 来攻击的,也不是用 ping 来获得网站 IP 的,有域名的情况下除非不解析,轰炸机等工具仍然会使用其他方式而不是使用 ping 来检测。
第四,检验轰炸效果时,不止可以使用 icmp ping ,还可以使用已开放的端口进行 tcp ping/udp ping ,例如 80 。
C:\Users\lslqtz>tcping test.acg.pink 80

Probing 121.41.*.*:80/tcp - Port is open - time=14.587ms
Probing 121.41.*.*:80/tcp - Port is open - time=12.313ms
Probing 121.41.*.*:80/tcp - Port is open - time=13.556ms
Probing 121.41.*.*:80/tcp - Port is open - time=13.752ms

Ping statistics for 121.41.*.*:80
4 probes sent.
4 successful, 0 failed.
Approximate trip times in milli-seconds:
Minimum = 12.313ms, Maximum = 14.587ms, Average = 13.552ms

C:\Users\lslqtz>
实际上, icmp 发送过大的包时,大部分服务器会选择不响应。
其次,大部分脚本小子是直接用攻击器攻击,然后看站死没死的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/296852

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX