maxkst Posted March 21, 2023 · Report post Просто любопытно, хотелось бы понять почему так: Есть некий хостер, пинги до него идут отвратительно Reply from 209.177.108.62: bytes=32 time=3ms TTL=57 Request timed out. Request timed out. Request timed out. Reply from 209.177.108.62: bytes=32 time=4ms TTL=57 Reply from 209.177.108.62: bytes=32 time=3ms TTL=57 Reply from 209.177.108.62: bytes=32 time=3ms TTL=57 Reply from 209.177.108.62: bytes=32 time=4ms TTL=57 Reply from 209.177.108.62: bytes=32 time=4ms TTL=57 Ping statistics for 209.177.108.62: Packets: Sent = 103, Received = 65, Lost = 38 (36% loss), Approximate round trip times in milli-seconds: Minimum = 3ms, Maximum = 7ms, Average = 3ms Трассировка вообще выдает какую-то дичь непостоянную, с разным количеством прыжков и повтором последней строки. 6 3 ms 3 ms 3 ms 209.177.111.29 7 3 ms 3 ms 3 ms 209.177.111.44 8 * 3 ms * whm4.100percenthost.net [209.177.108.62] 9 4 ms * 3 ms whm4.100percenthost.net [209.177.108.62] Trace complete. Хостеру пофиг, поскольку жалоб от клиентов нет Что тут не так? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted March 21, 2023 · Report post Потому что промежуточные хосты не обязаны отвечать на все запросы ICMP. Более того на большинстве промежуточного железа ICMP ответы если и отправляются, то в самом низком приоритете, поскольку требуют обработки ядром маршрутизатора, а не на ASICах. Так-что потери на промежуточных хостах - это скорее норма, чем аномалия. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted March 21, 2023 · Report post sdy_moscow, речь не идет о промежуточных хостах. whm4.100percenthost.net [209.177.108.62] это конечный хост. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted March 21, 2023 · Report post С высокой вероятностью у них на входе какой-то IPS/Firewall, и наверняка есть лимитер по PPS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted March 21, 2023 · Report post Что-то мне подсказывает, что всякие подобные лимитеры никакой особой пользы не приносят, иначе похожая проблема с трассировкой встречалась бы повсеместно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rm_ Posted March 21, 2023 · Report post Quote жалоб от клиентов нет Проверьте с помощью httping, есть ли такие же потери при обращении к сайтам на хостинге по HTTP(S). По такому выводу пинга, на какой-либо осознанный лимитер сильно непохоже. Но раз жалоб нет, может и правда TCP не затронут проблемой, что всё же было бы довольно странно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
neperpbl3 Posted March 21, 2023 (edited) · Report post Соседние узлы из этой же сети 209.177.108.х так же пингуются или иначе? Edited March 21, 2023 by neperpbl3 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted March 21, 2023 · Report post neperpbl3, Соседние узлы так же плохо пингуются, +/- несклько процентов разницы rm_, утилита httping не показывает никаких проблем connected to http://100percenthost.net, seq=99, httpVerb=GET, httpStatus=200, bytes=163, RTT=32.76 ms connected to http://100percenthost.net, seq=100, httpVerb=GET, httpStatus=200, bytes=163, RTT=29.08 ms Probes sent: 100 Successful responses: 100 % of requests failed: 0 Min response time: 7.4746ms Average response time: 32.865466ms Median response time: 33.6163ms Max response time: 80.1518ms Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted March 21, 2023 · Report post @maxkst Вы не поняли! Еще раз - хосты не обязаны отвечать на пинг в принципе! Там на входе стоит скорее всего балансир какой-то аппаратный, который на ICMP клал с прикладом, на что имеет полное право. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted March 21, 2023 · Report post sdy_moscow, В прошлый раз вы говорили про промежуточные хосты. Теперь говорите про хосты в принципе. Я так понял, что под промежуточными хостами вы подразумеваете роутеры, которые в принципе могут прекрасно форвардить трафик, игнорируя все, что не требуется для нормального их фунуционирования. В принципе ICMP по сути и не обязателен до тех пор пока все нормально работает. Но когда начинается траблшутинг - первое, о чем мы вспоминаем - это пинг. Самый элементарный мониторинг начального уровня основывается на ICMP. Это вообще нормальная практика для хостера - полностью "забить" на этот протокол? Есть еще примеры, когда другие хостеры поступают так же? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted March 22, 2023 · Report post 2 часа назад, maxkst сказал: Я так понял, что под промежуточными хостами вы подразумеваете роутеры, которые в принципе могут прекрасно форвардить трафик, игнорируя все, что не требуется для нормального их фунуционирования. Совершенно верно. В том числе скрытые форвардеры (лоадбалансеры), которых в трэйсерте можно и не увидеть. 2 часа назад, maxkst сказал: В принципе ICMP по сути и не обязателен до тех пор пока все нормально работает. Но когда начинается траблшутинг - первое, о чем мы вспоминаем - это пинг. Самый элементарный мониторинг начального уровня основывается на ICMP. Это вообще нормальная практика для хостера - полностью "забить" на этот протокол? Есть еще примеры, когда другие хостеры поступают так же? В принципе, это "личное дело" хостера. То, что "молодой" админ ищущий проблемы морально к этому не готов и не понимает, что на самом деле за 1 IP могут быть сотни реальных машин - проблемы этого админа, а не хостера. Конечно, большинство хостеров старается решать эту проблему балансируя в т.ч. и ICMP, но как говорится: какой хостер - такие и клиенты ;-). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
edo Posted March 22, 2023 · Report post 10 часов назад, maxkst сказал: Хостеру пофиг, поскольку жалоб от клиентов нет интересно, а почему вам тогда не пофиг? btw, какого рода хостер-то? хостинг сайтов, vps, выделенные сервера? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted March 22, 2023 · Report post sdy_moscow, Что такое скрытый форвардер? Разве роутер не обязан уменьшать TTL на единицу, тем самым себя обнаруживая? edo, Я без понятия, что там за хостер, просто заметил, что у них не так как у большинства других, стало любопытно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted March 22, 2023 · Report post 2 часа назад, maxkst сказал: sdy_moscow, Что такое скрытый форвардер? Разве роутер не обязан уменьшать TTL на единицу, тем самым себя обнаруживая? edo, Я без понятия, что там за хостер, просто заметил, что у них не так как у большинства других, стало любопытно. Это когда в ДЦ на уровне ethernet трафик делится на потоки для распределения нагрузки и трафика. Фактически N конечных серверов имеют один и тот-же IP адрес, а трафик распределяется по протоколам и адресу клиента. Если при таком распределении на ICMP ping выделили минимум серверных ресурсов, то он может и потерять часть трафика, на реальную работу, как-вы, я надеюсь, уже понимаете, это не влияет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted March 22, 2023 · Report post On 3/21/2023 at 7:28 PM, sdy_moscow said: Там на входе стоит скорее всего балансир какой-то аппаратный, который на ICMP клал с прикладом, на что имеет полное право. Промежуточные хосты и правда не обязаны отвечать. Конечные хосты - по желанию владельца. В данном случае у человека приодически не отвечает его хост который он бы хотел чтобы он отвечал. Балансеры обычно не лезут выше IP уровня, потому не отличают TCP/UDP/ICMP/GRE и тп, потому ваше предположение несколько странное. Я бы предположил что либо потери где то либо есть какие то рейтлимиты. Потери определить можно по счётчикам для конкретного TCP соединения по которому идёт траффик, правда я не знаю приложений (кроме моего msd) которые позволяют такие счётчики смотреть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted March 22, 2023 · Report post Ivan_83, 30-60% packet loss - странное желание владельца (если это и правда по желанию). Уж лучше бы закрыли ICMP полностью, чем так. Reply from 209.177.108.62: bytes=32 time=3ms TTL=57 Reply from 209.177.108.62: bytes=32 time=4ms TTL=57 Request timed out. Ping statistics for 209.177.108.62: Packets: Sent = 1083, Received = 563, Lost = 520 (48% loss), Approximate round trip times in milli-seconds: Minimum = 3ms, Maximum = 77ms, Average = 3ms Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted March 23, 2023 · Report post Я вот на всех пограничных Cisco ставил rate-limit 64Kbps для ICMP в целом. Соответственно, всем попингуям вместе взятым отводится ровно столько полосы, кончилась - улетают в дроп. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShumBor Posted March 24, 2023 · Report post На фряхе у нас было 200 pps, дальше дроп, не надо нагружать цпу не нужным трафиком. Да и на текущих л3 железках тоже лимит есть, ибо не надо контрол плейн нагружать мусором ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted March 24, 2023 · Report post В некоторых Cisco rate-limit по ICMP прямо "искаропки" включён, начиная с каких-то версий ОС. В ASA точно есть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted March 24, 2023 · Report post 5 hours ago, ShumBor said: На фряхе у нас было 200 pps, дальше дроп, не надо нагружать цпу не нужным трафиком. Это делается не для этого, а для того чтобы amplification для DDoS не создавать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShumBor Posted March 24, 2023 · Report post @Ivan_83 Да это тоже, но тут надо проще объяснить. А то еще спугнем ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted March 24, 2023 · Report post Разве эти лимиты по пакетам не нагружают процессор больше, чем сама обработка запросов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted March 24, 2023 · Report post Ну, на серьезном железе типа ASR это делает ESP. Дальше зависит от платформы. К примеру, в NX-OS надо включать QoS, а цена QoS в TCAM ресурсах такова, что и впрямь может быть дешевле НЕ лимитировать. На самом деле, мусор до таких железок и не должен доходить, отсекаясь пораньше. Что касается софт-роутера - уже на гигагерцовом процессоре классификатор и мелкая очередь едят такие копейки, что не заметишь, если только не гигабит одного ICMP подавать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted March 24, 2023 · Report post 54 minutes ago, Saab95 said: Разве эти лимиты по пакетам не нагружают процессор больше, чем сама обработка запросов? Нет. В случае свичей они скорее всего где то в железе реализованы. В случае софтроутера поддержка лимитов не сильно сложнее ответа ICMP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted March 24, 2023 · Report post ShumBor & jffulcrum, Ваши лимиты вполне адекватные, будь то 200pps или 64k. сложно представить, что одновремено 200 клиентов тестят пингом арендуемые серверы. Другое дело, если хостера долбят ICMP флудом, а хостер не заморачивается с приоритезацией или с BGP blackhole для этого флуда, поэтому и страдает легитимный трафик. Видимо реально сложно понять, где флуд, а где клиент сервак свой пингует. Хотя, с другой стороны, было бы пипец как неприятно, если бы Гугл поставил rate limit на ICMP для 8.8.8.8 :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...