我正在从我的cmd ping一个工作站点,我得到了这个:
ping site.com
Pinging site.com [x.x.x.x] with 32 bytes of data:
Reply from x.x.x.x: Destination host unreachable.
Reply from x.x.x.x: Destination host unreachable.
Reply from x.x.x.x: Destination host unreachable.
Reply from x.x.x.x: Destination host unreachable.
Ping statistics for x.x.x.x:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
我出于显而易见的原因审查了IP和域名。该网站可以通过我的浏览器访问该网站。
我的问题是,他们如何/为何会这样做?
答案 0 :(得分:2)
ping是一个ICMP命令请求,出于安全原因/目的,公司/组织可以阻止使用其防火墙。它与网站使用浏览器的可访问性无关。
他们正在接收您的请求,不再采取任何行动;所以它说destination host is unreachable!
即使您可以在网络浏览器上访问该组织的网站,但由于上述原因,您的ping请求可能会被阻止。
答案 1 :(得分:0)
下一个诊断步骤是traceroute。为了获得更多的核心,使用更复杂的工具,如nmap或hping2,可以发送各种数据包。
假设没有任何开箱即用的奇怪事件发生,一些中间主机(甚至是目标主机)正在丢弃您的ICMP echo数据包,并且响应ICMP目标无法访问。
这令人困惑,因为这不是问题所在。然而,这种情况发生的一个重要原因是某些路由器,甚至是高端路由器,对它们可以生成的ICMP错误的种类有限制,有时管理员会以这样烦人的方式配置它。同一问题的另一个常见表现是中间路由器使用RST丢弃TCP数据包,使端口看起来关闭而不是仅仅被防火墙阻止。
如果它在您的网络上,请考虑让管理员将其切换为较少混淆的消息,例如管理上禁止的消息。
如果您仍想ping,请考虑使用使用备用数据包类型的ping实用程序,例如hping2,如上所述。
鉴于上述情况,阻止ping几乎是一种TSA风格的安全措施。对于任何试图对网站进行故障排除的人来说,这在实践中非常烦人,但它实际上并没有阻止使用其他数据包类型进行ping操作。假设它可能会击败最笨的主机上/下扫描仪,但如果端口80打开,任何真正的扫描仍然会找到它。
作为替代解释,使用您当前的路由表实际上可能无法访问主机,并且浏览器正在以其他方式查找它。例如,您的网络可能没有到Internet的默认路由,但浏览器正在使用具有访问权限的代理服务器。某些站点使用这种配置,通常是为了防止网络上的恶意软件或黑客无法轻易呼叫。