我正在从我的 cmd ping 一个工作站点,我得到了这个:
ping site.com
Pinging site.com [x.x.x.x] with 32 bytes of data:
Reply from x.x.x.x: Destination host unreachable.
Reply from x.x.x.x: Destination host unreachable.
Reply from x.x.x.x: Destination host unreachable.
Reply from x.x.x.x: Destination host unreachable.
Ping statistics for x.x.x.x:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
出于显而易见的原因,我已经审查了 IP 和域。可以通过我在这台机器上的浏览器访问该站点。
我的问题是,他们如何/为什么要这样做?
ping是一个 ICMP 命令请求,公司/组织可以出于安全原因/目的使用其防火墙阻止该命令请求。它与网站使用浏览器的可访问性无关。
他们正在收到您的请求,并且没有进一步采取任何行动;所以它说destination host is unreachable!
因此,即使您可以在网络浏览器上访问该组织的网站,您的ping请求也可能由于上述原因而被阻止。
下一个诊断步骤是 traceroute。要获得更硬核,请使用更复杂的工具,如 nmap 或 hping2,它可以让您发送各种数据包。
假设没有任何开箱即用的奇怪情况发生,一些中间主机(甚至目标主机)正在丢弃您的 ICMP 回显数据包并以无法访问的 ICMP 目标进行响应。
这令人困惑,因为这不是真正的问题。然而,发生这种情况的一个重要原因是某些路由器,甚至是高端路由器,对它们可以生成的 ICMP 错误种类有限制,有时管理员会以这种令人讨厌的方式对其进行配置。同一问题的另一个常见表现是中间路由器丢弃带有 RST 的 TCP 数据包,使端口看起来是关闭的,而不是仅仅被防火墙阻止。
如果它在您的网络上,请考虑要求管理员将其切换为不太容易混淆的消息,例如管理上禁止的消息。
如果您仍想 ping,请考虑使用使用备用数据包类型(如 hping2)的 ping 实用程序,如上所述。
鉴于上述情况,阻止 ping 几乎是一种 TSA 风格的安全措施。对于任何试图对站点进行故障排除的人来说,这在实践中非常烦人,但它实际上并不能阻止使用其他数据包类型进行 ping。假设,它可能会击败最愚蠢的主机启动/关闭扫描仪,但如果端口 80 是开放的,任何真正的扫描仍然会找到它。
作为另一种解释,有可能使用您当前的路由表实际上无法访问主机,并且浏览器正在以其他方式找到它。例如,您的网络可能没有到 Internet 的默认路由,但浏览器正在使用代理服务器,该代理服务器确实可以访问。某些站点使用这种配置,通常是为了防止网络上的流氓恶意软件或黑客能够轻而易举地调用。