V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Liang
V2EX  ›  DevOps

你们的服务器都给 ping 吗?

  •  
  •   Liang · 2016-08-03 16:03:41 +08:00 · 11090 次点击
    这是一个创建于 3036 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我维护的服务器习惯性不让 ping ,除了能够看响应时间和连通性外,开不开放有没影响?例如收录、 SEO 之类的
    84 条回复    2016-09-13 23:00:27 +08:00
    iVanilla
        1
    iVanilla  
       2016-08-03 16:08:54 +08:00
    除了不同地区测速和网络优化之外,最好不要开,以免被不怀好意 /别有用心的人利用,比如轰炸机起飞等。
    notgod
        2
    notgod  
       2016-08-03 16:13:59 +08:00
    测试的时候 需要开下
    其他时候最好不要开 很多 NMAP 类的扫描工具 首先就是 ping 来判断是否 alive 然后在 scan
    如果安全做的比较好 开着也没事

    SEO 和收录那些都无影响的
    Ping 只是网络的测试延时而已
    如果你开了监控 需要开 不然一直报警
    lslqtz
        3
    lslqtz  
       2016-08-03 16:14:34 +08:00
    已开。
    @iVanilla 什么意思? udpping 或者 tcpping 也可以啊。。
    lyragosa
        4
    lyragosa  
       2016-08-03 16:15:04 +08:00
    给 ping
    因为有一些监控软件需要
    iVanilla
        5
    iVanilla  
       2016-08-03 16:21:34 +08:00
    @lslqtz 轰炸机就是攻击工具,如果没使用 CDN 的话, ping 就可以得出真实 IP ,这样的话以后上 CDN 也没用了(防攻击)。
    realpg
        6
    realpg  
       2016-08-03 16:30:21 +08:00
    不给。无意义,无必要。
    lzhr
        7
    lzhr  
       2016-08-03 17:45:22 +08:00
    ping www.baidu.com 看看
    lzhr
        8
    lzhr  
       2016-08-03 17:46:47 +08:00
    还可以 ping www.v2ex.com 看看结果
    reus
        9
    reus  
       2016-08-03 18:14:11 +08:00
    不用 PHP 就什么事都没有。
    cxbig
        10
    cxbig  
       2016-08-03 18:17:45 +08:00
    我司所有线上服务器 ping 肯定是关闭的
    kaner
        11
    kaner  
       2016-08-03 18:21:34 +08:00
    @iVanilla
    不使用 CDN ,就算你不响应 ping 也是能得到 IP 的。建议你先去了解一下。
    RIcter
        12
    RIcter  
       2016-08-03 18:22:49 +08:00
    @iVanilla ....nslookup
    BlueMeow
        13
    BlueMeow  
       2016-08-03 18:23:23 +08:00
    @iVanilla ping 也是先调用 DNS 解析的啊。直接用 nslookup 或者 dig 就可以得到 IP 了
    twoconk
        14
    twoconk  
       2016-08-03 19:07:40 +08:00
    @reus 不用 PHP 怎么理解?
    iVanilla
        15
    iVanilla  
       2016-08-03 20:14:33 +08:00
    @kaner ping 是得到 IP 最快的方式,我并没有说 ping 是唯一获得网站 IP 的方式。
    @RIcter @BlueMeow 用 CDN 之后 nslookup 还能否得到真实 IP ?我没试过。
    guozixi
        16
    guozixi  
       2016-08-03 20:23:16 +08:00 via Android
    测试期间开启,过后为了安全,关闭
    nsgit
        17
    nsgit  
       2016-08-03 20:24:43 +08:00
    @iVanilla 建议阅读《计算机网络》 谢谢
    iVanilla
        18
    iVanilla  
       2016-08-03 20:25:46 +08:00
    @nsgit 之前草草看过 pdf 版,不过我不是专门学计算机的,所以就没继续看了。
    BlueMeow
        19
    BlueMeow  
       2016-08-03 20:57:52 +08:00
    @iVanilla CDN 理论上可以隐藏,但实际上... 有时候遇到攻击或者流量用完的时候, CDN 不想给你服务了,就直接把 CNAME 指向真实 IP 了。
    iVanilla
        20
    iVanilla  
       2016-08-03 21:01:24 +08:00
    @BlueMeow 嗯,这个我是知道的。
    billlee
        21
    billlee  
       2016-08-03 21:15:38 +08:00
    @iVanilla ping 也是先调用 DNS 把主机名解析成 IP 的,然后才发 ICMP echo 的。如果只要解析主机名, nslookup/dig 才是最快的方式。
    eriale
        22
    eriale  
       2016-08-03 21:23:27 +08:00
    AWS 的 EC2 默认就把 ping 关了
    iVanilla
        23
    iVanilla  
       2016-08-03 21:24:45 +08:00
    @billlee 如果是打字的话, ping 比 nslookup 用时间短。(哈哈开玩笑的)
    skydiver
        24
    skydiver  
       2016-08-03 21:27:40 +08:00
    @iVanilla dig 不是更短
    iVanilla
        25
    iVanilla  
       2016-08-03 21:45:12 +08:00
    @skydiver Windows 没这命令。
    imydou
        26
    imydou  
       2016-08-03 23:19:53 +08:00
    @eriale aws 是安全组没开放 ping 端口
    lty1993
        27
    lty1993  
       2016-08-04 01:30:42 +08:00 via iPad   ❤️ 1
    从来不关 icmp 的路过, icmp 还有很多消息很有用啊,比如 refuse 之类的。 IPv6 靠 ICMP 做 Layer 2 和 Layer 3 的地址转换。
    raysonx
        28
    raysonx  
       2016-08-04 02:18:36 +08:00 via iPad
    习惯开,当然前提是限制好 icmp 包的响应速率
    lslqtz
        29
    lslqtz  
       2016-08-04 04:49:46 +08:00 via iPhone
    @iVanilla 防 ping 能防攻击第一次见。。
    如果防 ping 能隐藏 ip 访客全没了好伐?
    lslqtz
        30
    lslqtz  
       2016-08-04 05:00:20 +08:00
    @iVanilla
    C:\Users\lslqtz>ping test.acg.pink

    正在 Ping test.acg.pink [121.41.*.*] 具有 32 字节的数据:
    请求超时。
    请求超时。
    请求超时。
    请求超时。

    121.41.*.* 的 Ping 统计信息:
    数据包: 已发送 = 4 ,已接收 = 0 ,丢失 = 4 (100% 丢失),

    C:\Users\lslqtz>
    什么叫还要 nslookup ?
    DesignerSkyline
        31
    DesignerSkyline  
       2016-08-04 05:27:00 +08:00 via iPad
    @iVanilla 谁说 windows 没有了, powershell 不就有吗
    ZE3kr
        32
    ZE3kr  
       2016-08-04 06:14:42 +08:00 via iPhone
    @eriale @imydou aws 一部分服务就把 ping 关了,包括 america standard 的 s3 , ses 等,其他一些可用区开 ping 了,当时我没 ping 通还被吓到了。
    datocp
        33
    datocp  
       2016-08-04 07:22:49 +08:00 via Android
    ping 能不能防安全真不好说,一般有 limit hashlimit 做速率匹配。
    但是在 ipv6 防火墙特定的 icmp 回应会用来确定 mtu 值还是封包?所以 ping 到底是干什么用的不清楚。
    hansnow
        34
    hansnow  
       2016-08-04 09:47:54 +08:00
    @iVanilla 你在这楼里回的帖子越多,越觉得你啥都不懂,满嘴跑火车
    iVanilla
        35
    iVanilla  
       2016-08-04 10:11:05 +08:00
    @lslqtz 我没说禁 ping 就能防止攻击,只是很多脚本小子喜欢先 ping 获取 IP 然后攻击网站,如果是黑客的话也不会用这么 low 的方式,甚至用 CDN 也不一定能防止攻击,至于 nslookup 不是我提起的。

    @DesignerSkyline 无法将“ dig ”项识别为 cmdlet 、函数、脚本文件或可运行程序的名称。请检查名称的拼
    写,如果包括路径,请确保路径正确,然后重试。
    所在位置 行:1 字符: 4
    + dig <<<<
    + CategoryInfo : ObjectNotFound: (dig:String) [], CommandNotFound
    Exception
    + FullyQualifiedErrorId : CommandNotFoundException

    @hansnow 对,你比我懂,你们都比我懂,满意了吧,我又不是计算机相关专业的,呵呵。
    lslqtz
        36
    lslqtz  
       2016-08-04 10:11:37 +08:00
    @iVanilla 那么上面我列出了,禁止 ping 仍然能获取 IP 。
    lslqtz
        37
    lslqtz  
       2016-08-04 10:12:11 +08:00
    其次 dig 是 Linux 下的程序。
    C:\Users\lslqtz>dig v2ex.com

    ; <<>> DiG 9.10-P2 <<>> v2ex.com
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20879
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 4096
    ;; QUESTION SECTION:
    ;v2ex.com. IN A

    ;; ANSWER SECTION:
    v2ex.com. 60 IN A 120.52.13.12
    v2ex.com. 60 IN A 14.152.44.136
    v2ex.com. 60 IN A 14.152.44.135
    v2ex.com. 60 IN A 14.152.44.137
    v2ex.com. 60 IN A 59.173.16.210

    ;; Query time: 32 msec
    ;; SERVER: 119.29.29.29#53(119.29.29.29)
    ;; WHEN: Thu Aug 04 10:11:58 中国标准时间 2016
    ;; MSG SIZE rcvd: 117


    C:\Users\lslqtz>
    iVanilla
        38
    iVanilla  
       2016-08-04 10:14:26 +08:00
    @lslqtz 你没看我上面的回复啊,那我再重复一说遍好了。

    ping 是得到 IP 最快的方式,我并没有说 ping 是唯一获得网站 IP 的方式。
    jeremaihloo
        39
    jeremaihloo  
       2016-08-04 10:21:59 +08:00
    @iVanilla 兄弟,这个坛子就这样,没必要争论了
    lslqtz
        40
    lslqtz  
       2016-08-04 10:23:02 +08:00
    @iVanilla 所以轰炸机就是攻击工具,如果没使用 CDN 的话, ping 就可以得出真实 IP ,这样的话以后上 CDN 也没用了(防攻击)
    轰炸机和禁 ping 有什么关系。。
    我需要强调的是, CDN 可以隐藏真实 IP 。
    第二,禁 ping 不会隐藏真实 IP ,仍然可以 ping 通,上面已提供结果,我不是要和你强调 ping 是唯一获得网站 IP 的方式,而是说禁止 ping 不能使 ping 得不到网站 IP ,而是禁 ping 没有防攻击作用,只不过会显示响应超时罢了。
    第三,轰炸机不是用 ping 来攻击的,也不是用 ping 来获得网站 IP 的,有域名的情况下除非不解析,轰炸机等工具仍然会使用其他方式而不是使用 ping 来检测。
    第四,检验轰炸效果时,不止可以使用 icmp ping ,还可以使用已开放的端口进行 tcp ping/udp ping ,例如 80 。
    C:\Users\lslqtz>tcping test.acg.pink 80

    Probing 121.41.*.*:80/tcp - Port is open - time=14.587ms
    Probing 121.41.*.*:80/tcp - Port is open - time=12.313ms
    Probing 121.41.*.*:80/tcp - Port is open - time=13.556ms
    Probing 121.41.*.*:80/tcp - Port is open - time=13.752ms

    Ping statistics for 121.41.*.*:80
    4 probes sent.
    4 successful, 0 failed.
    Approximate trip times in milli-seconds:
    Minimum = 12.313ms, Maximum = 14.587ms, Average = 13.552ms

    C:\Users\lslqtz>
    实际上, icmp 发送过大的包时,大部分服务器会选择不响应。
    其次,大部分脚本小子是直接用攻击器攻击,然后看站死没死的。
    lslqtz
        41
    lslqtz  
       2016-08-04 10:27:40 +08:00
    @DesignerSkyline Windows 下没有 dig 命令的。。
    看错成 nslookup 了?
    nslookup 不是 cmd 都可以的嘛。。
    我的 dig 是自己加进去的
    daydaysay
        42
    daydaysay  
       2016-08-04 10:29:49 +08:00 via iPhone
    ping 工具,就是走的 icmp 协议。不存在 ping 端口这一说法。关掉并不能隐藏 IP 什么,只能判定这个服务器并不响应 icmp 包,或者处于关机状态。安全不安全。自己体会。我是不会关的,掩耳盗铃而已。
    iVanilla
        43
    iVanilla  
       2016-08-04 10:32:02 +08:00
    @lslqtz 如果我知道了某网站真实 IP ,那么即使他挂上 CDN 来隐藏 IP ,攻击时并没有经过 CDN 的线路,所以可以直接攻击源站;
    如果我开始不知道某网站真实 IP ,而且他用了 CDN 隐藏了 IP ,那我就不能直接获取到他的 IP ,但如果 CDN 防护效果不太好,或者我攻击带宽足够大的话, CDN 还是防不住攻击的。
    即使禁 ping ,也有其他获取 IP 的方式,比如让他的服务器发邮件等。

    当然有些 CDN 的防护效果不理想,如图:
    lslqtz
        44
    lslqtz  
       2016-08-04 10:35:47 +08:00
    @iVanilla 要用 CDN ,就在一开始就用,泄露源站 IP 是防护不当,但是,这和防 ping 有什么关系?
    而且,被攻击后换个 IP 照样可以解决。
    其次,百度云加速不是防护效果不好,而是几乎就不防护,大家都在用 cloudflare 。
    cardhw 是卡硬网吧,和他们的人部分有认识。
    攻击带宽足够大的话,不知道你听说没听说 CDN 有缓存?
    BOYPT
        45
    BOYPT  
       2016-08-04 10:40:30 +08:00
    觉得此贴都降低 v 站的平均技术水平了……
    iVanilla
        46
    iVanilla  
       2016-08-04 10:42:02 +08:00
    @lslqtz 禁 ping 只是一种简单得不能再简单而且效果不好的防护方式而已。
    如果我攻击的是静态资源, CDN 有缓存,攻击这些自然不好使,但如果我攻击的是动态资源呢?尤其是需要大量数据库访问的,效果更明显。

    没错,因为卡硬的钱总之前跟我有私仇,他攻击过我的网站,我只是以牙还牙而已。
    lslqtz
        47
    lslqtz  
       2016-08-04 10:45:55 +08:00
    @iVanilla 加参攻击。。
    然而服务器也可以做好缓存啊。。而且 cdn 可选忽略参数~
    私仇么,我想起来我之前站被打过。后面我换了高防。。
    iVanilla
        48
    iVanilla  
       2016-08-04 10:54:03 +08:00
    @lslqtz 经常更新的动态资源并不适合缓存。

    听说这个钱总得罪了不少人。
    9hills
        49
    9hills  
       2016-08-04 11:14:04 +08:00
    @BOYPT 降低太多了
    @iVanilla 『 ping 是得到 IP 最快的方式』, ping 比直接 dns 解析还快? ping 难道不是先 dns 解析然后发 icmp ?
    080james
        50
    080james  
       2016-08-04 11:26:59 +08:00
    禁 ping 只是一种简单得不能再简单而且效果不好的防护方式而已。
    同意!
    lslqtz
        51
    lslqtz  
       2016-08-04 11:30:24 +08:00
    @iVanilla 缓存十分钟。。没问题吧,有内容就做缓存嘛。
    列表之类的可以在新文章发布后清空缓存啊
    DesignerSkyline
        52
    DesignerSkyline  
       2016-08-04 11:32:31 +08:00
    @iVanilla 我的错,确实没有 dig ,不过有一个更好用的命令: Resolve-DnsName
    ytmsdy
        53
    ytmsdy  
       2016-08-04 11:48:55 +08:00
    ping 还是要给的,包括监控,还有日程的维护。都是用得到的
    iVanilla
        54
    iVanilla  
       2016-08-04 12:25:23 +08:00
    @9hills OK ,我前面表述有误, ping 可能不是最快的,但却是最方便的方式之一。
    @lslqtz 短期的缓存可以,但如果攻击的是像表单提交这样的页面(最好是 post ),缓存并无作用( curl/ab/siege 这些是可以发 post 请求的)。
    @DesignerSkyline 涨姿势了
    jhdxr
        55
    jhdxr  
       2016-08-04 13:23:52 +08:00
    @iVanilla 如果你想表达的只是『我知道一个域名,如何最快的知道它对应的(某个) a 记录的 ip 是多少, ping 是最快的方式』这个意思,那我并不反驳。但是你犯了一个根本性的错误,就是这个转换,只是个简单的 DNS 解析而已,和被 ping 的服务器是否允许被 ping 无关。
    lslqtz
        56
    lslqtz  
       2016-08-04 13:48:46 +08:00
    @iVanilla post 就配合服务器的拦截嘛
    lslqtz
        57
    lslqtz  
       2016-08-04 13:49:39 +08:00
    @DesignerSkyline 涨姿势了
    ZE3kr
        58
    ZE3kr  
       2016-08-04 16:49:10 +08:00
    其实泄露 IP 不是太大的问题,在服务器硬件防火墙(如果有)上限制为 CDN 服务的 IP 就好了。
    iVanilla
        59
    iVanilla  
       2016-08-04 16:56:52 +08:00
    @lslqtz 嗯,用 WAF 是比较好的方式,但有些 WAF 某些方面过滤不严可以绕过。
    @jhdxr 我知道 ping 要查 DNS 才能获得 IP ,禁 ping 也只是堵了一条路而已,我又没说 ping 是唯一获得网站 IP 的方式。
    @ZE3kr 国内大的提供商在这方面做得不错,国外的就不行了——不然也不可能国外同配置同带宽比国内的便宜很多。
    ZE3kr
        60
    ZE3kr  
       2016-08-04 17:01:20 +08:00 via iPhone
    @iVanilla 国外的一些 VPS 没防火墙,我用过的 AWS 、 Google Cloud 、和 OVH VPS 都能配置的,后两个感觉都比国内便宜。
    iVanilla
        61
    iVanilla  
       2016-08-04 17:03:37 +08:00
    @ZE3kr 国内的 VPS 主要是带宽很贵,其他的还行,就是很多 VPS 都会提供一定的防护功能。
    ZE3kr
        62
    ZE3kr  
       2016-08-04 17:07:30 +08:00
    @iVanilla 国内的 VPS 还是少吧, BAT 提供的计算实例很多都是直接上云了,已经不是 VPS 了(然而稳定性还是堪忧)。
    iVanilla
        63
    iVanilla  
       2016-08-04 17:10:19 +08:00
    @ZE3kr 这里的 VPS 包括云 VPS ,提供一定防护功能的一般都是这些。
    稳定性怎么了?
    webjin1
        64
    webjin1  
       2016-08-04 19:06:32 +08:00 via Android
    你以为禁 ping 了,别人就以为你没使用服务器,或者服务器挂了。有些黑客打你是一直打的,即使 isp 给你空路由了.他还是会一直打你这个 ip
    jhdxr
        65
    jhdxr  
       2016-08-04 19:36:04 +08:00
    @iVanilla 你还是没明白我的意思,我说的是, ping 可以查到 ip ,和服务器是否禁 ping 没有任何关系。你服务器禁 ping 了人家照样可以通过 ping 去获得你的 ip ,所以你一开始说的理由并不成立。
    RIcter
        66
    RIcter  
       2016-08-04 19:55:38 +08:00 via iPhone
    @iVanilla 用 CDN 你用 ping 可以么…

    不要自己知道的少还自以为是…
    ZE3kr
        67
    ZE3kr  
       2016-08-04 20:01:44 +08:00
    @iVanilla 用 Ping 查 IP ,只能查一个 IP ,现在网站都不只一个,谁会用 Ping 去查(而且有 hosts 文件的话 Ping 得到的就是 hosts 里面的)。最的好查 IP 的方式:

    $ dig v2ex.com +short
    23.251.125.131
    23.251.126.133
    23.251.124.131
    iVanilla
        68
    iVanilla  
       2016-08-04 20:31:35 +08:00
    @jhdxr 禁 ping 你还怎么 ping ?用其他命令 /方式查 IP 的不算。
    @RIcter 对不起,你的表述不清楚,我知道得少又怎么了,看我不爽 Block 就好了嘛。
    @ZE3kr Windows 默认没这命令的。
    lxy
        69
    lxy  
       2016-08-04 21:35:43 +08:00
    @iVanilla 30 楼已经给出结果了。禁 ping 依然可以得到 IP ,只是 ping 的结果不回应罢了。说了这么久,你连这点还没搞清楚,真是……
    iVanilla
        70
    iVanilla  
       2016-08-04 21:37:52 +08:00
    @lxy OK ,我没细看,你们赢了,你们高兴就好。
    salmon5
        71
    salmon5  
       2016-08-04 21:55:58 +08:00
    禁止 icmp ping 是很不友好的行为。
    任何访问服务的对象都没法便捷的知道延迟。
    开启 icmp ping 的危害那是十几年前的事情。
    limhiaoing
        72
    limhiaoing  
       2016-08-04 22:13:36 +08:00
    Technetiumer
        73
    Technetiumer  
       2016-08-04 22:23:06 +08:00
    @iVanilla
    Chrome F12 就能看 IP
    jimzhong
        74
    jimzhong  
       2016-08-04 22:25:29 +08:00
    我是开启 ping 的,并没有遇到什么问题。
    iVanilla
        75
    iVanilla  
       2016-08-04 22:30:00 +08:00
    @Technetiumer firebug 也能看,这是获取 IP 的另一种方式,但用 CDN 的话,看到的是 CDN 的 IP 。
    leeyiw
        76
    leeyiw  
       2016-08-04 23:13:50 +08:00
    感觉禁 ping 是百害无一利。劝 LZ 还是不要禁。另外,感觉这个楼被歪到各种安全防护工具好不好使这个问题上了。
    jhdxr
        77
    jhdxr  
       2016-08-05 00:01:36 +08:00
    @iVanilla 看来你已经明白禁 ping 和能不能通过 ping 获得 ip 之间完全没有联系了。。。

    能力弱不是你的问题,能力弱还这么到处装逼,这就让人呵呵了
    leakless
        78
    leakless  
       2016-08-05 00:05:48 +08:00
    整个帖子被某个人瞬间拉低整体智商...
    e1eph4nt
        79
    e1eph4nt  
       2016-08-05 01:04:57 +08:00
    围观
    weisdong
        80
    weisdong  
       2016-08-05 10:01:10 +08:00
    貌似国内知名互联网公司都是给 ping 的,只有一些小流量网站才禁 ping 。
    xiamx
        81
    xiamx  
       2016-08-05 10:37:56 +08:00
    围观打脸

    @iVanilla “因为我不是科班生,所以就算我说的东西是错的我依然可以瞎 BB ,别人纠正我的时候我就超级不乐意的”
    Shura
        82
    Shura  
       2016-08-05 18:15:21 +08:00
    iVanilla :我又不是科班生,干嘛去看《计算机网络》,真浪费时间,我按我感觉来猜想不可以吗?你们反对我的都是无理取闹!
    iVanilla
        83
    iVanilla  
       2016-08-05 20:53:48 +08:00
    我已 blocked 了楼上某些人。
    dennyzhang
        84
    dennyzhang  
       2016-09-13 23:00:27 +08:00
    @daydaysay 同意。我赞同开 ping 。 这对 trouble shooting 还是很有帮助的。

    没看到很强的负面影响。如果是 DDoS 攻击,关掉 ping 也没太大的意义。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5693 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 08:58 · PVG 16:58 · LAX 00:58 · JFK 03:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.