这是一个创建于 3032 天前的主题,其中的信息可能已经有所发展或是发生改变。
我维护的服务器习惯性不让 ping ,除了能够看响应时间和连通性外,开不开放有没影响?例如收录、 SEO 之类的
 |
1
iVanilla 2016-08-03 16:08:54 +08:00
除了不同地区测速和网络优化之外,最好不要开,以免被不怀好意 /别有用心的人利用,比如轰炸机起飞等。
|
 |
2
notgod 2016-08-03 16:13:59 +08:00
测试的时候 需要开下
其他时候最好不要开 很多 NMAP 类的扫描工具 首先就是 ping 来判断是否 alive 然后在 scan 如果安全做的比较好 开着也没事 SEO 和收录那些都无影响的 Ping 只是网络的测试延时而已 如果你开了监控 需要开 不然一直报警 |
 |
4
lyragosa 2016-08-03 16:15:04 +08:00
给 ping
因为有一些监控软件需要 |
|
5
iVanilla 2016-08-03 16:21:34 +08:00
@lslqtz 轰炸机就是攻击工具,如果没使用 CDN 的话, ping 就可以得出真实 IP ,这样的话以后上 CDN 也没用了(防攻击)。
|
 |
6
realpg 2016-08-03 16:30:21 +08:00
不给。无意义,无必要。
|
 |
7
lzhr 2016-08-03 17:45:22 +08:00
ping www.baidu.com 看看
|
|
8
lzhr 2016-08-03 17:46:47 +08:00
还可以 ping www.v2ex.com 看看结果
|
 |
9
reus 2016-08-03 18:14:11 +08:00
不用 PHP 就什么事都没有。
|
 |
10
cxbig 2016-08-03 18:17:45 +08:00
我司所有线上服务器 ping 肯定是关闭的
|
|
15
iVanilla 2016-08-03 20:14:33 +08:00
|
 |
16
guozixi 2016-08-03 20:23:16 +08:00 via Android
测试期间开启,过后为了安全,关闭
|
 |
19
BlueMeow 2016-08-03 20:57:52 +08:00
@iVanilla CDN 理论上可以隐藏,但实际上... 有时候遇到攻击或者流量用完的时候, CDN 不想给你服务了,就直接把 CNAME 指向真实 IP 了。
|
 |
21
billlee 2016-08-03 21:15:38 +08:00
@iVanilla ping 也是先调用 DNS 把主机名解析成 IP 的,然后才发 ICMP echo 的。如果只要解析主机名, nslookup/dig 才是最快的方式。
|
 |
22
eriale 2016-08-03 21:23:27 +08:00
AWS 的 EC2 默认就把 ping 关了
|
 |
27
lty1993 2016-08-04 01:30:42 +08:00 via iPad  1
从来不关 icmp 的路过, icmp 还有很多消息很有用啊,比如 refuse 之类的。 IPv6 靠 ICMP 做 Layer 2 和 Layer 3 的地址转换。
|
 |
28
raysonx 2016-08-04 02:18:36 +08:00 via iPad
习惯开,当然前提是限制好 icmp 包的响应速率
|
 |
30
lslqtz 2016-08-04 05:00:20 +08:00
@iVanilla
C:\Users\lslqtz>ping test.acg.pink 正在 Ping test.acg.pink [121.41.*.*] 具有 32 字节的数据: 请求超时。 请求超时。 请求超时。 请求超时。 121.41.*.* 的 Ping 统计信息: 数据包: 已发送 = 4 ,已接收 = 0 ,丢失 = 4 (100% 丢失), C:\Users\lslqtz> 什么叫还要 nslookup ? |
 |
31
DesignerSkyline 2016-08-04 05:27:00 +08:00 via iPad
@iVanilla 谁说 windows 没有了, powershell 不就有吗
|
 |
32
ZE3kr 2016-08-04 06:14:42 +08:00 via iPhone
|
 |
33
datocp 2016-08-04 07:22:49 +08:00 via Android
ping 能不能防安全真不好说,一般有 limit hashlimit 做速率匹配。
但是在 ipv6 防火墙特定的 icmp 回应会用来确定 mtu 值还是封包?所以 ping 到底是干什么用的不清楚。 |
|
35
iVanilla 2016-08-04 10:11:05 +08:00
@lslqtz 我没说禁 ping 就能防止攻击,只是很多脚本小子喜欢先 ping 获取 IP 然后攻击网站,如果是黑客的话也不会用这么 low 的方式,甚至用 CDN 也不一定能防止攻击,至于 nslookup 不是我提起的。
@DesignerSkyline 无法将“ dig ”项识别为 cmdlet 、函数、脚本文件或可运行程序的名称。请检查名称的拼 写,如果包括路径,请确保路径正确,然后重试。 所在位置 行:1 字符: 4 + dig <<<< + CategoryInfo : ObjectNotFound: (dig:String) [], CommandNotFound Exception + FullyQualifiedErrorId : CommandNotFoundException @hansnow 对,你比我懂,你们都比我懂,满意了吧,我又不是计算机相关专业的,呵呵。 |
|
37
lslqtz 2016-08-04 10:12:11 +08:00
其次 dig 是 Linux 下的程序。
C:\Users\lslqtz>dig v2ex.com ; <<>> DiG 9.10-P2 <<>> v2ex.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20879 ;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;v2ex.com. IN A ;; ANSWER SECTION: v2ex.com. 60 IN A 120.52.13.12 v2ex.com. 60 IN A 14.152.44.136 v2ex.com. 60 IN A 14.152.44.135 v2ex.com. 60 IN A 14.152.44.137 v2ex.com. 60 IN A 59.173.16.210 ;; Query time: 32 msec ;; SERVER: 119.29.29.29#53(119.29.29.29) ;; WHEN: Thu Aug 04 10:11:58 中国标准时间 2016 ;; MSG SIZE rcvd: 117 C:\Users\lslqtz> |
|
38
iVanilla 2016-08-04 10:14:26 +08:00
|
 |
39
jeremaihloo 2016-08-04 10:21:59 +08:00
@iVanilla 兄弟,这个坛子就这样,没必要争论了
|
|
40
lslqtz 2016-08-04 10:23:02 +08:00
@iVanilla 所以轰炸机就是攻击工具,如果没使用 CDN 的话, ping 就可以得出真实 IP ,这样的话以后上 CDN 也没用了(防攻击)
轰炸机和禁 ping 有什么关系。。 我需要强调的是, CDN 可以隐藏真实 IP 。 第二,禁 ping 不会隐藏真实 IP ,仍然可以 ping 通,上面已提供结果,我不是要和你强调 ping 是唯一获得网站 IP 的方式,而是说禁止 ping 不能使 ping 得不到网站 IP ,而是禁 ping 没有防攻击作用,只不过会显示响应超时罢了。 第三,轰炸机不是用 ping 来攻击的,也不是用 ping 来获得网站 IP 的,有域名的情况下除非不解析,轰炸机等工具仍然会使用其他方式而不是使用 ping 来检测。 第四,检验轰炸效果时,不止可以使用 icmp ping ,还可以使用已开放的端口进行 tcp ping/udp ping ,例如 80 。 C:\Users\lslqtz>tcping test.acg.pink 80 Probing 121.41.*.*:80/tcp - Port is open - time=14.587ms Probing 121.41.*.*:80/tcp - Port is open - time=12.313ms Probing 121.41.*.*:80/tcp - Port is open - time=13.556ms Probing 121.41.*.*:80/tcp - Port is open - time=13.752ms Ping statistics for 121.41.*.*:80 4 probes sent. 4 successful, 0 failed. Approximate trip times in milli-seconds: Minimum = 12.313ms, Maximum = 14.587ms, Average = 13.552ms C:\Users\lslqtz> 实际上, icmp 发送过大的包时,大部分服务器会选择不响应。 其次,大部分脚本小子是直接用攻击器攻击,然后看站死没死的。 |
|
41
lslqtz 2016-08-04 10:27:40 +08:00
|
 |
42
daydaysay 2016-08-04 10:29:49 +08:00 via iPhone
ping 工具,就是走的 icmp 协议。不存在 ping 端口这一说法。关掉并不能隐藏 IP 什么,只能判定这个服务器并不响应 icmp 包,或者处于关机状态。安全不安全。自己体会。我是不会关的,掩耳盗铃而已。
|
|
43
iVanilla 2016-08-04 10:32:02 +08:00
@lslqtz 如果我知道了某网站真实 IP ,那么即使他挂上 CDN 来隐藏 IP ,攻击时并没有经过 CDN 的线路,所以可以直接攻击源站;
如果我开始不知道某网站真实 IP ,而且他用了 CDN 隐藏了 IP ,那我就不能直接获取到他的 IP ,但如果 CDN 防护效果不太好,或者我攻击带宽足够大的话, CDN 还是防不住攻击的。 即使禁 ping ,也有其他获取 IP 的方式,比如让他的服务器发邮件等。 当然有些 CDN 的防护效果不理想,如图:  |
|
44
lslqtz 2016-08-04 10:35:47 +08:00
@iVanilla 要用 CDN ,就在一开始就用,泄露源站 IP 是防护不当,但是,这和防 ping 有什么关系?
而且,被攻击后换个 IP 照样可以解决。 其次,百度云加速不是防护效果不好,而是几乎就不防护,大家都在用 cloudflare 。 cardhw 是卡硬网吧,和他们的人部分有认识。 攻击带宽足够大的话,不知道你听说没听说 CDN 有缓存? |
 |
45
BOYPT 2016-08-04 10:40:30 +08:00
觉得此贴都降低 v 站的平均技术水平了……
|
|
46
iVanilla 2016-08-04 10:42:02 +08:00
@lslqtz 禁 ping 只是一种简单得不能再简单而且效果不好的防护方式而已。
如果我攻击的是静态资源, CDN 有缓存,攻击这些自然不好使,但如果我攻击的是动态资源呢?尤其是需要大量数据库访问的,效果更明显。 没错,因为卡硬的钱总之前跟我有私仇,他攻击过我的网站,我只是以牙还牙而已。 |
|
47
lslqtz 2016-08-04 10:45:55 +08:00
|
 |
49
9hills 2016-08-04 11:14:04 +08:00
|
 |
50
080james 2016-08-04 11:26:59 +08:00
禁 ping 只是一种简单得不能再简单而且效果不好的防护方式而已。
同意! |
|
52
DesignerSkyline 2016-08-04 11:32:31 +08:00
@iVanilla 我的错,确实没有 dig ,不过有一个更好用的命令: Resolve-DnsName
 |
 |
53
ytmsdy 2016-08-04 11:48:55 +08:00
ping 还是要给的,包括监控,还有日程的维护。都是用得到的
|
|
54
iVanilla 2016-08-04 12:25:23 +08:00
@9hills OK ,我前面表述有误, ping 可能不是最快的,但却是最方便的方式之一。
@lslqtz 短期的缓存可以,但如果攻击的是像表单提交这样的页面(最好是 post ),缓存并无作用( curl/ab/siege 这些是可以发 post 请求的)。 @DesignerSkyline 涨姿势了 |
 |
55
jhdxr 2016-08-04 13:23:52 +08:00
@iVanilla 如果你想表达的只是『我知道一个域名,如何最快的知道它对应的(某个) a 记录的 ip 是多少, ping 是最快的方式』这个意思,那我并不反驳。但是你犯了一个根本性的错误,就是这个转换,只是个简单的 DNS 解析而已,和被 ping 的服务器是否允许被 ping 无关。
|
|
57
lslqtz 2016-08-04 13:49:39 +08:00
@DesignerSkyline 涨姿势了
|
|
58
ZE3kr 2016-08-04 16:49:10 +08:00
其实泄露 IP 不是太大的问题,在服务器硬件防火墙(如果有)上限制为 CDN 服务的 IP 就好了。
|
|
59
iVanilla 2016-08-04 16:56:52 +08:00
|
|
60
ZE3kr 2016-08-04 17:01:20 +08:00 via iPhone
@iVanilla 国外的一些 VPS 没防火墙,我用过的 AWS 、 Google Cloud 、和 OVH VPS 都能配置的,后两个感觉都比国内便宜。
|
|
62
ZE3kr 2016-08-04 17:07:30 +08:00
@iVanilla 国内的 VPS 还是少吧, BAT 提供的计算实例很多都是直接上云了,已经不是 VPS 了(然而稳定性还是堪忧)。
|
 |
64
webjin1 2016-08-04 19:06:32 +08:00 via Android
你以为禁 ping 了,别人就以为你没使用服务器,或者服务器挂了。有些黑客打你是一直打的,即使 isp 给你空路由了.他还是会一直打你这个 ip
|
|
65
jhdxr 2016-08-04 19:36:04 +08:00
@iVanilla 你还是没明白我的意思,我说的是, ping 可以查到 ip ,和服务器是否禁 ping 没有任何关系。你服务器禁 ping 了人家照样可以通过 ping 去获得你的 ip ,所以你一开始说的理由并不成立。
|
|
67
ZE3kr 2016-08-04 20:01:44 +08:00
|
|
68
iVanilla 2016-08-04 20:31:35 +08:00
|
 |
69
lxy 2016-08-04 21:35:43 +08:00
@iVanilla 30 楼已经给出结果了。禁 ping 依然可以得到 IP ,只是 ping 的结果不回应罢了。说了这么久,你连这点还没搞清楚,真是……
|
 |
71
salmon5 2016-08-04 21:55:58 +08:00
禁止 icmp ping 是很不友好的行为。
任何访问服务的对象都没法便捷的知道延迟。 开启 icmp ping 的危害那是十几年前的事情。 |
 |
72
limhiaoing 2016-08-04 22:13:36 +08:00
给
|
 |
73
Technetiumer 2016-08-04 22:23:06 +08:00
@iVanilla
Chrome F12 就能看 IP |
 |
74
jimzhong 2016-08-04 22:25:29 +08:00
我是开启 ping 的,并没有遇到什么问题。
|
|
75
iVanilla 2016-08-04 22:30:00 +08:00
@Technetiumer firebug 也能看,这是获取 IP 的另一种方式,但用 CDN 的话,看到的是 CDN 的 IP 。
|
 |
76
leeyiw 2016-08-04 23:13:50 +08:00
感觉禁 ping 是百害无一利。劝 LZ 还是不要禁。另外,感觉这个楼被歪到各种安全防护工具好不好使这个问题上了。
|
|
77
jhdxr 2016-08-05 00:01:36 +08:00
|
 |
78
leakless 2016-08-05 00:05:48 +08:00
整个帖子被某个人瞬间拉低整体智商...
|
 |
79
e1eph4nt 2016-08-05 01:04:57 +08:00
围观
|
 |
80
weisdong 2016-08-05 10:01:10 +08:00
貌似国内知名互联网公司都是给 ping 的,只有一些小流量网站才禁 ping 。
|
 |
81
xiamx 2016-08-05 10:37:56 +08:00
|
 |
82
Shura 2016-08-05 18:15:21 +08:00
iVanilla :我又不是科班生,干嘛去看《计算机网络》,真浪费时间,我按我感觉来猜想不可以吗?你们反对我的都是无理取闹!
|
|
83
iVanilla 2016-08-05 20:53:48 +08:00
我已 blocked 了楼上某些人。
|
 |
84
dennyzhang 2016-09-13 23:00:27 +08:00
|
Select Language