Ping на рабочем месте говорит Destination Unreachable

Question

Я пинг работающего сайта с моего ЦМДА и я получаю это:

ping site.com 

Pinging site.com [x.x.x.x] with 32 bytes of data: 
Reply from x.x.x.x: Destination host unreachable. 
Reply from x.x.x.x: Destination host unreachable. 
Reply from x.x.x.x: Destination host unreachable. 
Reply from x.x.x.x: Destination host unreachable. 

Ping statistics for x.x.x.x: 
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 

Я цензура IP и домена по понятным причинам. Сайт доступен из моего браузера на этом компьютере.

Мой вопрос в том, как и почему они это сделают?

Answer 1

ping - это запрос команды ICMP, который компании/организации могут блокировать с использованием своего брандмауэра по соображениям и целям безопасности. Это не имеет никакого отношения к доступности веб-сайта с помощью браузера.

Они получают ваш запрос и не предпринимают никаких действий; поэтому он говорит, что destination host is unreachable!

Таким образом, даже если вы можете посетить веб-сайт организации в веб-браузере, ваш запрос ping может быть заблокирован по вышеуказанной причине.

Answer 2

Следующим этапом диагностики является traceroute. Чтобы получить еще более жесткое ядро, используйте более сложный инструмент, например nmap или hping2, который позволяет отправлять различные пакеты.

Предполагая, что ничего странного не происходит, какой-то промежуточный узел (или даже хост-получатель) отказывается от вашего эхо-пакета ICMP и отвечает с недостижимым адресом ICMP.

Это сбивает с толку, потому что это не проблема. Однако одна большая причина заключается в том, что некоторые маршрутизаторы, даже высокопроизводительные, имеют ограничения на типы ошибок ICMP, которые они могут генерировать, а иногда администратор настраивает их так раздражающе. Другим распространенным проявлением той же проблемы являются промежуточные маршрутизаторы, которые отбрасывают пакеты TCP с RST, делая порты выглядят закрытыми, а не просто заблокированными брандмауэром.

Если вы в своей сети, попросите администратора переключить его на менее запутанное сообщение, например, административно запрещено.

Если вы все еще хотите выполнить ping, рассмотрите возможность использования утилиты ping, использующей альтернативный тип пакета, такой как hping2, как указано выше.

Учитывая сказанное выше, блокировка пинга в значительной степени является мерой безопасности в стиле TSA. На практике это чрезвычайно раздражает тех, кто пытается устранить неполадки на сайте, но на самом деле он не предотвращает пинг с использованием другого типа пакета. Гипотетически, это может победить самые тусклые сканеры вверх/вниз, но если порт 80 открыт, любое реальное сканирование все равно найдет его.

В качестве альтернативного объяснения, возможно, что хост действительно недоступен с использованием текущей таблицы маршрутизации, и браузер находит его другим способом. Например, ваша сеть может не иметь маршрута по умолчанию в Интернете, но браузер использует прокси-сервер, у которого есть доступ. Такая конфигурация используется некоторыми сайтами, как правило, для предотвращения вредоносных программ или хакеров в вашей сети от возможности тривиально вызывать.