Ping Antwort von zwei Rechnern?

Neptuns · 21.01.2005

Hi
Ich pinge einen Rechner im Internet mit z.b. ping www.gibtsnicht.com

Auflösen tut der Ping Befehl die Adresse mit IP A und Antworten bekomme ich von IP B und C. Was steckt dahinter? :help:

Neptuns · 21.01.2005

Kanns nicht mehr editieren...

Nachtrag :
Mal die Befehlsausgabe:
Ping www.gibts-nicht.com [zzz.123.456.789] mit 32 Bytes Daten
Antwort von xxx.yyy.123.456 : Zielnetz nicht erreichbar
Antwort von xxx.yyy.123.789 : Zielnetz nicht erreichbar
Antwort von xxx.yyy.123.456 : Zielnetz nicht erreichbar
Antwort von xxx.yyy.123.789 : Zielnetz nicht erreichbar

Dabei ist www.gibts-nicht.com [zzz.123.456.789] per Http erreichbar. Wer/Was antwortet da?

Stachel · 21.01.2005

lasst mich raten? 127.0.0.1?

Neptuns · 21.01.2005

nein. ein realer Webserver im INet. Nur Ip usw. geändert. Die ist denk ich auch erstma unwichtig da es mir darum geht wie das Netz funktioniert bzw. wer (ich nehme mal an das die Firewalls/Proxy/Router :help:

) antwortet. Also wäre für eine Erklärung dankbar.

foo.bar · 21.01.2005

Hallo,

ich kann mir nur vorstellen, dass da ein Router auf dem Weg (moeglicherweise in einem Firewallkonzept) http weiterleitet, ping-Anfragen aber mit "destination net unreachable" (icmp ype 3 code 0) beantwortet, was jedoch eher ungewoehnlich ist. Evtl. sind da auch unterschiedliche DNAT Regeln, und die fuer ping verweist auf ein nicht erreichbares Netz. Dennoch, IMO sehr ungewoehnlich.

Was das mit "2 hosts antworten", was du oben erwaehntest, soll, weiss ich nicht. Gib doch mal den konkreten Host, oder ist das ein Geheimnis?

Stachel schrieb:
lasst mich raten? 127.0.0.1?

Bloedsinn!

Gruss,

foo.bar

ps: www.gibtsnicht.com wird durch ns1.jhf.net (authoritativer Nameserver der domain) als 217.146.136.20 aufgeloest...

Stachel · 21.01.2005

hätt ja sein können. sorry

Neptuns · 21.01.2005

foo.bar schrieb:
ps: www.gibtsnicht.com wird durch ns1.jhf.net (authoritativer Nameserver der domain) als 217.146.136.20 aufgeloest...

Mist hätte ich doch www.welche-url-auch-immer.com nehmen sollen.

Ein Firewallkonzept ist sehr wahrscheinlich. Bin da zufällig draufgestoßen als ich mich über die Firma informierte.
Fakt ist das ich sowas noch nicht gesehen habe.
a) ping wxw.ist-doch-egal.com wird aufgelöst in IP A
b) Antworten bekomme ich Abwechselnt von IP B und IP C mit Antwort "Zielnetz nicht erreichbar"
c) HTTP Zugriff auf die Seite funktioniert

Bedeuten die Antworten von IP B und IP C das es 2 Wege zum Webserver gibt für den Falle eines Angriffes? :weiss: Mich würde der Sinn einer solchen Konfiguration interessieren. Möchte erstmal keine URL dazu posten. Keine Ahnung ob das O.K ist. Nicht das hier dann jeder 3. loszieht und die Seite untersucht

foo.bar · 22.01.2005

2 Wege, hoechstwahrscheinlich ja, aber wohl nicht fuer den Falle eines Angriffs. Eher wahrscheinlich ist ein Failover oder Loadbalancing/-sharing Setup. Die 3 IPs gehoeren alle dem selben? Was sagt "tracreoute -I", was "traceroute"? Ohne die IPs kann ich jetzt nur noch spekulieren (was nicht heisst, dass ich das Setup mit IP unbedingt genau beschreiben koennte...

).

Nach wie vor finde ich aber "net unreachable" interessant. Das kann naemlich nur bedeuten, dass diese ICMP Meldung aktiv als Fake von dem Router generiert wird oder dass da auf dem Router tatsaechlich keine Route fuer die IP(A) (oder wenn DNAT konfiguriert ist fuer das neue Ziel) konfiguriert ist. Sehr seltsam das...

Gruesse,

foo.bar

Neptuns · 22.01.2005

Hab leider nur tracert zur Verfügung. Und tracert wxw.xxxxxxxxxxxx.com (IP A) endet an IP B mit der Fehlermeldung "Zielnetz nicht erreichbar"

Edit : Interessant ist noch das es eine .net und eine .com Domain mit selbem Inhalt gibt. Tracert auf wxw.xxxxxxxxxxxx.com wird zu Routenverfolgung zu wxw.xxxxxxxxxxxx.net

TCM- · 22.01.2005

Neptuns schrieb:
Edit : Interessant ist noch das es eine .net und eine .com Domain mit selbem Inhalt gibt. Tracert auf wxw.xxxxxxxxxxxx.com wird zu Routenverfolgung zu wxw.xxxxxxxxxxxx.net

dann ist der www der .com-domain ein CNAME auf den der .net-domain. dass pakete einer verbindung unterschiedliche wege nehmen koennen, ist ganz normal. der "state" existiert ja nicht auf den routern, die dazwischen liegen, sondern auf den beiden rechnern der verbindung. dass sich dann aber trotzdem mal ein router unterwegs einmischt, wenn er meint, dass diese art von paket ihm nicht gefaellt, ist auch normal.

das zurueckhalten des domainnamens und der ip-adressen ist im uebrigen bloedsinn. es verhindert nur, dass sich das mal jemand genauer ansehen kann. so raten wir alle rum mit den spaerlichen infos, die wir vorgeworfen kriegen und keiner wird richtig schlau.

Möchte erstmal keine URL dazu posten. Keine Ahnung ob das O.K ist. Nicht das hier dann jeder 3. loszieht und die Seite untersucht

und wenn schon? wenn es oeffentlich zugaenglich ist und du kein vpn dahin hast oder was auch immer, warum dann nicht die daten posten? wenn andere losziehen und potentiell bloedsinn dort veranstalten, fuehlst du dich dann verantwortlich oder wie? versteh ich nicht.

Neptuns · 22.01.2005

Danke für eure Erklärungen!
Nun gut ihr habt ja Recht ohne URL ist nur Spekulation möglich. Es handelt sich dabei um den Webserver der Firma aus diesem Beitrag.

@Mod
wenn das nicht OK ist dann löschen

TCM- · 22.01.2005

und siehe da:

Code:

$ dig www.baytsp.com
[...]
www.baytsp.com.         1D IN CNAME     www.baytsp.net.

zum einen und

Code:

$ ping www.baytsp.com
PING www.baytsp.net (216.133.204.228): 56 data bytes
36 bytes from 209-101-18-202.pao-e100.cust.gw.epoch.net (209.101.18.202): Communication prohibited for icmp_seq=0
36 bytes from 209-101-18-202.pao-e100.cust.gw.epoch.net (209.101.18.202): Communication prohibited for icmp_seq=1
36 bytes from 209-101-18-158.pao-e100.cust.gw.epoch.net (209.101.18.158): Communication prohibited for icmp_seq=2
36 bytes from 209-101-18-202.pao-e100.cust.gw.epoch.net (209.101.18.202): Communication prohibited for icmp_seq=3
36 bytes from 209-101-18-202.pao-e100.cust.gw.epoch.net (209.101.18.202): Communication prohibited for icmp_seq=5
36 bytes from 209-101-18-158.pao-e100.cust.gw.epoch.net (209.101.18.158): Communication prohibited for icmp_seq=6
36 bytes from 209-101-18-158.pao-e100.cust.gw.epoch.net (209.101.18.158): Communication prohibited for icmp_seq=8

zum anderen. die hops davor verbieten also kommunikation per icmp mit dem ziel. das ist schon ein unterschied zu "net/port unreachable".

edit: und wieso sollte das nicht ok sein, sich fremde netze und konfigs anzuschauen? versteh ich immer noch nicht.

Neptuns · 22.01.2005

TCM- schrieb:
... die hops davor verbieten also kommunikation per icmp mit dem ziel. das ist schon ein unterschied zu "net/port unreachable".

net/port unreachable => tja das spuckt Windows halt aus :weiss:

Nur um zu sehen ob ich es verstanden habe.
Es existieren also 2 Firewalls mit IP B(209.101.18.202) und IP C(209.101.18.158) die Anfragen per ICMP zum Webserver blocken/nicht erlauben. HTTP ist aber erlaubt. Warum antworten dann 2 verschiedene IPs. Warum 2 Wege. Redundanz? Welches Konzept steckt dahinter? Warum macht man sowas? Ist dies z.b eine Schutzmaßnahme gegen einen DDOS

Und das mit dem CName da werd ich glaub ich mal was lesen müssen

Danke aber erstmal für die Hilfe!

Und das mit dem Posten von URLs in solchen Fällen ist in manchen Foren nicht erwünscht, daher war ich da wahrscheinlich ein wenig übervorsichtig.

Ping Antwort von zwei Rechnern?

Neptuns

Neptuns

Stachel

Neptuns

foo.bar

Stachel

Neptuns

foo.bar

Neptuns

TCM-

Neptuns

TCM-

Neptuns

Ping Antwort von zwei Rechnern?

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums