Потери ICMP

[maxkst]

Просто любопытно, хотелось бы понять почему так:

Есть некий хостер, пинги до него идут отвратительно

 

Reply from 209.177.108.62: bytes=32 time=3ms TTL=57
Request timed out.
Request timed out.
Request timed out.
Reply from 209.177.108.62: bytes=32 time=4ms TTL=57
Reply from 209.177.108.62: bytes=32 time=3ms TTL=57
Reply from 209.177.108.62: bytes=32 time=3ms TTL=57
Reply from 209.177.108.62: bytes=32 time=4ms TTL=57
Reply from 209.177.108.62: bytes=32 time=4ms TTL=57

Ping statistics for 209.177.108.62:
    Packets: Sent = 103, Received = 65, Lost = 38 (36% loss),
Approximate round trip times in milli-seconds:
    Minimum = 3ms, Maximum = 7ms, Average = 3ms

 

 

Трассировка вообще выдает какую-то дичь непостоянную, с разным количеством прыжков и повтором последней строки.

 6     3 ms     3 ms     3 ms  209.177.111.29
  7     3 ms     3 ms     3 ms  209.177.111.44
  8     *        3 ms     *     whm4.100percenthost.net [209.177.108.62]
  9     4 ms     *        3 ms  whm4.100percenthost.net [209.177.108.62]

Trace complete.

 

Хостеру пофиг, поскольку жалоб от клиентов нет

 

Что тут не так?

[sdy_moscow]

Потому что промежуточные хосты не обязаны отвечать на все запросы ICMP. Более того на большинстве промежуточного железа ICMP ответы если и отправляются, то в самом низком приоритете, поскольку требуют обработки ядром маршрутизатора, а не на ASICах. Так-что потери на промежуточных хостах - это скорее норма, чем аномалия.

[maxkst]

sdy_moscow, речь не идет о промежуточных хостах. 

whm4.100percenthost.net [209.177.108.62] это конечный хост.

[jffulcrum]

С высокой вероятностью у них на входе какой-то IPS/Firewall, и наверняка есть лимитер по PPS 

[maxkst]

Что-то мне подсказывает, что всякие подобные лимитеры никакой особой пользы не приносят, иначе похожая проблема с трассировкой встречалась бы повсеместно.

[rm_]

Quote

жалоб от клиентов нет

Проверьте с помощью httping, есть ли такие же потери при обращении к сайтам на хостинге по HTTP(S).

 

По такому выводу пинга, на какой-либо осознанный лимитер сильно непохоже. Но раз жалоб нет, может и правда TCP не затронут проблемой, что всё же было бы довольно странно.

[neperpbl3]

Соседние узлы из этой же сети 209.177.108.х так же пингуются или иначе?

Edited March 21, 2023 by neperpbl3

[maxkst]

neperpbl3, Соседние узлы так же плохо пингуются, +/- несклько процентов разницы

 

rm_, утилита httping не показывает никаких проблем

 

connected to http://100percenthost.net, seq=99, httpVerb=GET, httpStatus=200, bytes=163, RTT=32.76 ms
connected to http://100percenthost.net, seq=100, httpVerb=GET, httpStatus=200, bytes=163, RTT=29.08 ms

Probes sent: 100
Successful responses: 100
% of requests failed: 0
Min response time: 7.4746ms
Average response time: 32.865466ms
Median response time: 33.6163ms
Max response time: 80.1518ms

[sdy_moscow]

@maxkst Вы не поняли! Еще раз - хосты не обязаны отвечать на пинг в принципе! Там на входе стоит скорее всего балансир какой-то аппаратный, который на ICMP клал с прикладом, на что имеет полное право.

[maxkst]

sdy_moscow, В прошлый раз вы говорили про промежуточные хосты. Теперь говорите про хосты в принципе.

Я так понял, что под промежуточными хостами вы подразумеваете роутеры, которые в принципе могут прекрасно форвардить трафик, игнорируя все, что не требуется для нормального их фунуционирования.

В принципе ICMP по сути и не обязателен до тех пор пока все нормально работает. Но когда начинается траблшутинг - первое, о чем мы вспоминаем - это пинг. 

Самый элементарный мониторинг начального уровня основывается на ICMP. Это вообще нормальная практика для хостера - полностью "забить" на этот протокол?

Есть еще примеры, когда другие хостеры поступают так же?  

[sdy_moscow]

2 часа назад, maxkst сказал:

Я так понял, что под промежуточными хостами вы подразумеваете роутеры, которые в принципе могут прекрасно форвардить трафик, игнорируя все, что не требуется для нормального их фунуционирования.

Совершенно верно. В том числе скрытые форвардеры (лоадбалансеры), которых в трэйсерте можно и не увидеть.

 

2 часа назад, maxkst сказал:

В принципе ICMP по сути и не обязателен до тех пор пока все нормально работает. Но когда начинается траблшутинг - первое, о чем мы вспоминаем - это пинг. 

Самый элементарный мониторинг начального уровня основывается на ICMP. Это вообще нормальная практика для хостера - полностью "забить" на этот протокол?

Есть еще примеры, когда другие хостеры поступают так же?  

В принципе, это "личное дело" хостера. То, что "молодой" админ ищущий проблемы морально к этому не готов и не понимает, что на самом деле за 1 IP могут быть сотни реальных машин - проблемы этого админа, а не хостера.

 

Конечно, большинство хостеров старается решать эту проблему балансируя в т.ч. и ICMP, но как говорится: какой хостер - такие и клиенты ;-).

[edo]

10 часов назад, maxkst сказал:

Хостеру пофиг, поскольку жалоб от клиентов нет

интересно, а почему вам тогда не пофиг?

 

btw, какого рода хостер-то? хостинг сайтов, vps, выделенные сервера?

[maxkst]

sdy_moscow, Что такое скрытый форвардер? Разве роутер не обязан уменьшать TTL на единицу, тем самым себя обнаруживая?

edo, Я без понятия, что там за хостер, просто заметил, что у них не так как у большинства других, стало любопытно. 

 

[sdy_moscow]

2 часа назад, maxkst сказал:

sdy_moscow, Что такое скрытый форвардер? Разве роутер не обязан уменьшать TTL на единицу, тем самым себя обнаруживая?

edo, Я без понятия, что там за хостер, просто заметил, что у них не так как у большинства других, стало любопытно. 

 

Это когда в ДЦ на уровне ethernet трафик делится на потоки для распределения нагрузки и трафика. Фактически N конечных серверов имеют один и тот-же IP адрес, а трафик распределяется по протоколам и адресу клиента. Если при таком распределении на ICMP ping выделили минимум серверных ресурсов, то он может и потерять часть трафика, на реальную работу, как-вы, я надеюсь, уже понимаете, это не влияет.

[Ivan_83]

On 3/21/2023 at 7:28 PM, sdy_moscow said:

Там на входе стоит скорее всего балансир какой-то аппаратный, который на ICMP клал с прикладом, на что имеет полное право.

Промежуточные хосты и правда не обязаны отвечать.

Конечные хосты - по желанию владельца.

В данном случае у человека приодически не отвечает его хост который он бы хотел чтобы он отвечал.

 

Балансеры обычно не лезут выше IP уровня, потому не отличают TCP/UDP/ICMP/GRE и тп, потому ваше предположение несколько странное.

 

Я бы предположил что либо потери где то либо есть какие то рейтлимиты.

Потери определить можно по счётчикам для конкретного TCP соединения по которому идёт траффик, правда я не знаю приложений (кроме моего msd) которые позволяют такие счётчики смотреть.

[maxkst]

Ivan_83, 30-60% packet loss - странное желание владельца (если это и правда по желанию). Уж лучше бы закрыли ICMP полностью, чем так. 

 

Reply from 209.177.108.62: bytes=32 time=3ms TTL=57
Reply from 209.177.108.62: bytes=32 time=4ms TTL=57
Request timed out.

Ping statistics for 209.177.108.62:
    Packets: Sent = 1083, Received = 563, Lost = 520 (48% loss),
Approximate round trip times in milli-seconds:
    Minimum = 3ms, Maximum = 77ms, Average = 3ms

[jffulcrum]

Я вот на всех пограничных Cisco ставил rate-limit 64Kbps для ICMP в целом. Соответственно, всем попингуям вместе взятым отводится ровно столько полосы, кончилась - улетают в дроп.

[ShumBor]

На фряхе у нас было 200 pps, дальше дроп, не надо  нагружать цпу не нужным трафиком.

Да и на текущих л3 железках тоже лимит есть, ибо не надо контрол плейн нагружать мусором )

[jffulcrum]

В некоторых Cisco rate-limit по ICMP прямо "искаропки" включён, начиная с каких-то версий ОС. В ASA точно есть.

[Ivan_83]

5 hours ago, ShumBor said:

На фряхе у нас было 200 pps, дальше дроп, не надо  нагружать цпу не нужным трафиком.

Это делается не для этого, а для того чтобы amplification для DDoS не создавать.

[ShumBor]

@Ivan_83 Да это тоже, но тут надо проще объяснить. А то еще спугнем )

[Saab95]

Разве эти лимиты по пакетам не нагружают процессор больше, чем сама обработка запросов?

[jffulcrum]

Ну, на серьезном железе типа ASR это делает ESP. Дальше зависит от платформы. К примеру, в NX-OS надо включать QoS, а цена QoS в TCAM ресурсах такова, что и впрямь может быть дешевле НЕ лимитировать. На самом деле, мусор до таких железок и не должен доходить, отсекаясь пораньше. Что касается софт-роутера - уже на гигагерцовом процессоре классификатор и мелкая очередь едят такие копейки, что не заметишь, если только не гигабит одного ICMP подавать.

[Ivan_83]

54 minutes ago, Saab95 said:

Разве эти лимиты по пакетам не нагружают процессор больше, чем сама обработка запросов?

Нет.

В случае свичей они скорее всего где то в железе реализованы.

В случае софтроутера поддержка лимитов не сильно сложнее ответа ICMP.

[maxkst]

ShumBor & jffulcrum, Ваши лимиты вполне адекватные, будь то 200pps или 64k. сложно представить, что одновремено 200 клиентов тестят пингом арендуемые серверы.

Другое дело, если хостера долбят ICMP флудом, а хостер не заморачивается с приоритезацией или с BGP blackhole для этого флуда, поэтому и страдает легитимный трафик.

Видимо реально сложно понять, где флуд, а где клиент сервак свой пингует. 

 

Хотя, с другой стороны, было бы пипец как неприятно, если бы Гугл поставил rate limit на ICMP для 8.8.8.8  :-)