Frage:
Ist das Pingen einer Website im Wesentlichen dasselbe wie das Besuchen der Website über einen Browser?
oats58459
2016-07-07 15:00:27 UTC
view on stackexchange narkive permalink

Ich habe die Domain-Informationen einer Website ( poaulpos.net ) auf who.is angesehen, mit denen Chrome bei jedem Besuch eine Verbindung herstellt Ein spezifischer alter Tech Times-Artikel über Thunderstrike 2, einen Mac-Firmware-Angriff ("Thunderstrike 2 ist der neueste Albtraum von Mac-Besitzern"). Ich habe Little Snitch, eine anwendungsbasierte Firewall, und habe sie blockiert, als Chrome zum ersten Mal versuchte, eine Verbindung herzustellen.

Meine Frage ist sehr einfach: Klicken Sie auf die Registerkarte Diagnose eines who.is-Eintrags, der automatisch ausgeführt wird ein Ping und eine Traceroute auf der Website. Ist das mehr oder weniger so, als würde man die Website besuchen, indem man den Hostnamen in den Browser eingibt und ihn laden lässt?

Die betreffende Website wurde erst gestern registriert und die Kontaktinformationen sind durch Whoisguard geschützt. Ich bin ziemlich paranoid. Ich bin misstrauisch gegenüber der Website und mache mir Sorgen, wenn ich auf meinem Laptop etwas Bösartiges hätte zulassen können, indem ich versucht hätte, die Website über die Registerkarte who.is-Diagnose zu erreichen.

Wenn Sie sich infizieren könnten, indem Sie einfach eine Website über who.is überprüfen, wäre die Gesellschaft in großen Schwierigkeiten.
Als Bonus wird das Pingen einer Website nirgendwo protokolliert.Viele Serverfarmen haben einen Firewall-Block an ICMP-Ports
@usr-local-ΕΨΗΕΛΩΝ aber ... ICMP hat nicht das Konzept von Ports.
und es gibt kein "Ping einer Website"
@MadWard, erinnern Sie sich an TXT-Aufzeichnung XSS?
Ja, @DmitryNarkevich Sie sind richtig.Ich sagte diese Aussage, weil ich ein paar Sätze im Sinn hatte.Einer ist der "Block-ICMP-Port" einer Firewall und der andere ist "Port 9".Ich erinnere mich nicht, woher dieser Port 9 kommt
Oh, und die Firewall, die ich oben erwähnt habe, war eine wirklich billige Firewall ...
Aber ... Sie haben den Server * nicht * gepingt: Sie haben gefragt, wer den Server in Ihrem Namen anpingen soll.
Beachten Sie, dass das * Telnetting * an Port 80 eines Webservers dem Anzeigen über einen Browser viel ähnlicher ist, da dies genau die Art von Verbindung ist, die Ihr Browser herstellt.Natürlich beinhaltet eine einfache Telnet-Sitzung nicht das Rendern oder Verarbeiten von etwas, wie es ein Browser tun würde, selbst wenn Sie mehrere HTTP-GET-Anforderungen ausgeben.
Es wäre klarer, den Kontext zum Fragentitel hinzuzufügen, z. B. die Frage "Trägt das Pingen einer Website das Sicherheitsrisiko eines Besuchs einer Website im Browser?"Es gibt viele Möglichkeiten, den Titel zu interpretieren (z. B. Verfügbarkeitsprüfung, Firewall-Penetration usw.).
Eine Sache, die ich zu diesen (sehr guten) Kommentaren hinzufügen möchte: Ich habe einmal mit jemandem zusammengearbeitet, der das Pingen eines Webservers bedeutete, dass er betriebsbereit war;es tut nicht.Nur weil ein Gerät auf einen Ping reagiert, bedeutet dies nicht, dass es betriebsbereit ist oder was auch immer es bedienen soll.
Zu Ihrer Information: Beim Besuch einer Website werden IPv4 / 6 (Schicht 3) -> TCP (Schicht 4) -> HTTP (S) (Schicht 7) und IPv4 / 6 -> UDP (Schicht 4) -> DNS (Schicht 7) verwendet.Beim Pingen einer Website wird nur ICMP (Layer 3) verwendet.Die verfügbaren Angriffsmethoden sind beim Besuch einer Website größer als beim Pingen eines Servers.Grundsätzlich unterscheiden sich ein Ping / Traceroute und ein Website-Besuch in Ihrem Browser bis hin zu Schicht 3 des OSI-Modells.
Es ist keine sicherheitsrelevante Frage ...
Sechs antworten:
Bubble Hacker
2016-07-07 15:07:40 UTC
view on stackexchange narkive permalink

Sie sind überhaupt nicht gleich.

Eine Ping-Anfrage ist ein ICMP -Paket, das standardmäßig null sendet Code> Daten, um zu überprüfen, ob der Host aktiv ist (Sie können die gesendeten Parameter ändern (lesen Sie mehr hier).)

Wenn Sie eine Website im Browser besuchen, sind Sie Verwenden Sie das HTTP -Protokoll, das Daten anfordert, und Sie haben hier ein CLIENT / SERVER -Einrichtung (Daten werden dem Client vom Server auf eine Anforderung zugestellt, die im HTTP-Protokoll gesendet wird ).

In beiden Fällen gibt es keinen Traceback für Sie und, wenn Sie nicht derjenige sind, der die Anfrage sendet, sondern der Dienst ( poaulpos.net ), den Sie verwenden Daher kein Sicherheitsrisiko für Sie.

"... kein Sicherheitsrisiko für Sie, es sei denn, der Dienst ist schrecklich implementiert und die Website auf seine Lücken zugeschnitten."
`... um zu überprüfen, ob der Host aktiv ist ...` Aber es sagt Ihnen ** nicht **, ob der Host nicht verfügbar ist.
@user2338816 Tatsächlich ist dies nach Kontext der Fall.Wenn Sie überprüfen möchten, ob der Server ausgefallen ist, freuen Sie sich wahrscheinlich darauf, einen Dienst zu verwenden, der mehr als nur eine Nullanforderung empfängt und eine leere Antwort zurückgibt.Wenn Sie einen Server anpingen, der das nicht einmal kann, ist der Server für nichts erreichbar.
@ViniciusPires Nicht wahr.Es ist durchaus möglich - und in der Tat relativ häufig -, Hosts so einzurichten, dass sie auf einige Dienste reagieren, nicht jedoch auf ICMP.
@reirab Und deshalb ist Ping nicht das EINZIGE Tool, mit dem festgestellt wird, ob ein Server ausfällt :)
@ViniciusPires vereinbart.Ich war nur nicht einverstanden mit Ihrer Behauptung, dass ein Server für nichts erreichbar ist, wenn er nicht auf ICMP-Echoanfragen reagiert.Dies ist wahrscheinlich der Fall, wenn Sie den Server selbst einrichten und wissen, dass er so eingerichtet ist, dass er auf ICMP-Echoanforderungen reagiert, jedoch nicht wie in dieser Frage, wenn Sie den Webserver eines anderen anpingen.
@reirab Entschuldigung, ich habe Ihr Argument zuerst nicht verstanden, Sie haben Recht.Als ich es noch einmal las, missbrauchte ich den Begriff "sicher", ich meinte "wahrscheinlich".Mein Fehler.
Eine Serverschnittstelle ist möglicherweise aktiv und reagiert auf Pings. Ein Ping erhält jedoch möglicherweise keine Antwort.Der Ping erreicht möglicherweise nie den Server, da jedes zwischengeschaltete Netzwerkgerät ICMP blockieren kann.Es ist nur so, dass nur das Empfangen einer Antwort etwas über den Status der Schnittstelle aussagt, während das Nichtempfangen einer Antwort eine Reihe möglicher Interpretationen haben kann.Ohne guten Netzwerkhintergrund wird es einfach schwierig.Ich würde nur eine Antwortbearbeitung vorschlagen, um die Interpretation "Keine Antwort" zu erweitern.
CaffeineAddiction
2016-07-07 19:19:55 UTC
view on stackexchange narkive permalink

Ist das mehr oder weniger so, als würde man die Website besuchen, indem man den Hostnamen in den Browser eingibt und ihn laden lässt?

Kurze Antwort, nein ... es ist nicht einmal nah.

Wenn Sie whois ausführen, suchen Sie nach einer IP oder den öffentlich registrierten Informationen einer Domain. In vielen Fällen kommuniziert die whois -Anforderung nicht einmal mit dem Zielserver. Vielmehr werden whois -Datenbanken hauptsächlich von Registraren und Registern betrieben. Die IANA-Abteilung von ICANN verwaltet die zentrale Registrierung für alle Arten von Internetressourcen und verweist auf den whois -Server der zuständigen (Unter-) Registrierung sowie auf die Kontaktdaten dieser Registrierung.

Das Programm, das Sie ausführen, führt auch einen Ping gegen den Server aus. In den meisten Fällen verwendet der Standard-Ping-Befehl ICMP oder das Internet Control Message Protocol. Dies ist jedoch nicht immer der Fall bei Programmen, die den Status eines Servers überprüfen. Das von Ihnen verwendete Tool führt möglicherweise stattdessen einen Port-Scan durch, um die Verfügbarkeit der Ports 80 und 443 zu überprüfen. NMAP ist ein Beispiel für ein anderes Tool mit dieser Funktionalität.

Nun zum Kern Ihrer Frage ... Wie unterscheiden sich alle oben aufgeführten Dinge vom Besuch der Website selbst? Die Antwort ist, dass alle oben genannten Tools ziemlich simpel sind, eine Nachricht senden und eine Nachricht erhalten, aber nur sehr wenig verarbeiten. Sie sind alle mehr oder weniger dumme Herausforderungs- / Antwortsysteme im Vergleich zum Öffnen eines TLS-Sockets für die Kommunikation über HTTPS.

Wenn Sie Ihren Browser öffnen und zu navigieren https://google.com , die folgenden Dinge passieren:

  • Ihr Browser führt eine DNS -Suche von google.com code durch > in dem Versuch, eine IP-Adresse zu erhalten, mit der eine Verbindung hergestellt werden soll.
  • Sobald eine IP-Adresse erhalten wurde, wird ein TLS -Socket ausgehandelt: TLS Negotiation
  • Nachdem eine sichere Socket-Verbindung hergestellt wurde, sendet der Browser eine HTTP: GET-Anfrage für den / von google.com (normalerweise eine Datei) index.html genannt, kann aber je nach Server auch index.php , index.asp usw. sein.
  • Sobald der HTML-Inhalt von / vom Browser empfangen wurde, versucht er, seinen Inhalt zu laden, damit Sie ihn sehen können. Der HTML-Code kann jedoch Bilder (base64 uri-codiert) und Skripte enthalten ... enthält normalerweise Verweise auf andere Dateien, die ebenfalls heruntergeladen werden müssen. In vielen Fällen kann das Laden einer Seite zu einer großen Anzahl von sekundären Anforderungen führen. Beispielsweise hat das Laden von google.com 12 verschiedene HTTP-Anforderungen verursacht.
  • Nach dem Laden der Seite wird jedes JavaScript interpretiert und der Client Seitencode wird in Ihrem Browser ausgeführt ... Dieser JavaScript-Code oder Flash / Java-Applet-Code ist normalerweise die Hauptursache für die böswilligen Aktivitäten, vor denen Sie Angst haben.

    • Das Laden ist möglich Eine Seite ohne JavaScript mit NoScript könnte jedoch auch die Funktionsweise der Webseite beeinträchtigen. Beispielsweise könnten Sie sich nicht bei Stackexchange anmelden, ohne einen Teil des JavaScript-Inhalts zuzulassen

    Um das Herz Ihrer Frage zu beantworten, nein ... es ist sehr unwahrscheinlich, wenn nicht völlig unmöglich, Ihren Computer durch Ausführen eines Whois oder Ping gegen evil-website-of-doom.com zu infizieren ... aber wenn Sie es anpingen ... erhalten sie Ihre IP-Adresse, was ein Problem sein kann oder nicht ... aber ist eine andere Quest ein vollständig.

    Nun, Sie können Stack Exchange glücklich genug * lesen *, ohne JavaScript zuzulassen.Leider weigert es sich, Sie ohne JS und / oder Cookies anmelden zu lassen (ich vergesse, was ich zulassen musste ...)
    @TobySpeight JS oder Cookie, aber Sie benötigen JS, um sich zu authentifizieren und das Cookie zu erhalten.Sechs in einem halben Dutzend im anderen
    Sie haben "index.aspx", "index.cgi", "index.htm", "default.htm", "default.html" usw. usw. vergessen: D.
    @LightnessRacesinOrbit `etc` hinzugefügt
    Limit
    2016-07-07 15:09:11 UTC
    view on stackexchange narkive permalink

    Das Pingen einer Website und das Anzeigen in einem Browser sind zwei absolut unterschiedliche Prozesse, die insgesamt unterschiedliche Protokolle umfassen. Ping sendet eine ICMP-Anfrage (die Antwort ist nicht böswillig), während das Anzeigen einer Webseite eine Anfrage zum Abrufen der Indexseite (möglicherweise bösartig) der Website sendet.

    In Ihrem Fall brauchen Sie sich keine Sorgen zu machen. Erstens war es eine Anfrage an den Computer, der die Website und nicht die Website selbst hostet. Zweitens wurde die Verbindung von who.is zur Website und nicht von Ihrem Laptop zur Website hergestellt. Die Website konnte Ihre IP-Adresse nicht kennen.

    "Antwort wird nicht bösartig sein" Gibt es eine Möglichkeit, dass ein Webserver auf Pings mit Port-Scans anstelle der protokolldefinierten Ping-Antwort reagiert?
    @JanDvorak Ich könnte mich irren, aber ich denke, Ping funktioniert weit unterhalb der Anwendungsschicht.Der Webserver (Software) reagiert nicht böswillig.Pinging verrät jedoch das Ziel, dass Sie existieren, ja.Die Ping-Antwort selbst sollte nicht böswillig sein können, aber wer / was auch immer den Ping sah, könnte danach anfangen, etwas zu tun.
    Toby Speight
    2016-07-07 18:32:54 UTC
    view on stackexchange narkive permalink

    Sie können eine Website nicht anpingen. Sie können eine Netzwerkschnittstelle anpingen. Dadurch werden ICMP ECHO -Anforderungspakete an diese Schnittstelle gesendet (und die empfangenen Antworten zusammengefasst).

    Eine Website (in diesem Zusammenhang) ist ein Server, der HTTP- und / oder HTTPS-Anforderungen beantwortet einen oder mehrere TCP-Ports auf der Schnittstelle (normalerweise Port 80 für HTTP und Port 443 für HTTPS).

    Eine bestimmte Schnittstelle kann auf ICMP ECHO Pakete (sollte es aber). Auf derselben Schnittstelle können eine oder mehrere Websites an ihre TCP-Ports gebunden sein oder nicht. Die beiden sind jedoch völlig unabhängig voneinander.

    Um die Sicherheitsfrage zu beantworten: Ping kann keine böswillige Nutzlast übertragen. Der Server muss genau die von Ihnen gesendeten Nutzdaten zurückgeben, aber selbst wenn dies nicht der Fall ist, interpretieren Sie sie niemals in irgendeiner Weise. Ihr Ping-Programm überprüft möglicherweise , ob die empfangenen Daten mit den gesendeten übereinstimmen, darf jedoch nichts anderes mit dem Inhalt tun (und in den meisten Fällen senden Sie trotzdem eine leere Nutzlast). P. >

    Sie geben eine kleine Menge an Informationen weiter (die Tatsache, dass eine Schnittstelle an der Erreichbarkeit / dem Status einer anderen interessiert ist), aber darüber hinaus nur sehr wenig.

    Ich denke, "sollte" sollte "sollte nicht, in den meisten Situationen" sein.Ping ist nützlich zur Fehlerbehebung bei einer Verbindung zu einem Dienst.Wenn eine Schnittstelle keine extern zugänglichen Dienste bereitstellt, gibt es keinen Grund für Ping.Selbst wenn es einen Dienst gibt, erhöht das Zulassen von Ping Ihr Angriffsprofil: siehe http://security.stackexchange.com/questions/4440/security-risk-of-ping
    @Dew - Meinungen gehen auseinander, wie aus der von Ihnen verlinkten Frage hervorgeht.Ich stimme Ihnen nicht ganz zu (Ping kann gegen Schnittstellen nützlich sein, die immer nur Initiatoren sind), aber am Ende ist es ein Urteil, das auf Informationen basiert - und je mehr desto besser, also danke!
    "Ping kann keine böswillige Nutzlast tragen" - aber: Ping des Todes.(Obwohl ich denke, dass es keine Ping-Antwort des Todes gibt ... 9
    @Hagen - ein guter Punkt, aber Ping-of-Death bedeutet normalerweise fehlerhafte Pakete - streng genommen nicht die * Nutzlast *.Wenn Sie ein System haben, das für solche Angriffe anfällig ist, möchten Sie es wirklich nicht ins öffentliche Internet stellen ...
    Wenn wir uns nicht mit der Terminologie von Website und Schnittstelle befassen wollen ... :-) "* Sie können eine Netzwerkschnittstelle anpingen *" Ein ICMP-Paket adressiert keine Schnittstelle, sondern eine IP-Adresse.Ich weiß nicht, welche spezifische Schnittstelle ich erreiche, wenn ich "8.8.8.8" wegen des Anycast-Routings pinge.Wo Sie landen, hängt von den Routing-Entscheidungen ab, nicht von der von Ihnen angegebenen Schnittstelle, da Sie keine Schnittstelle angeben können (höchstens können Sie eine ausgehende Schnittstelle mit der IPv6-Notation `:: 1% lo` angeben).
    Sjoerd
    2016-07-07 15:04:05 UTC
    view on stackexchange narkive permalink

    Nein. Ich würde sagen, dass das Ausführen von Ping oder Traceroute auf einer Domain kein Sicherheitsrisiko darstellt. Darüber hinaus erfolgt der Ping von who.is und nicht von Ihrem Computer.

    EnviableOne
    2016-07-11 20:57:41 UTC
    view on stackexchange narkive permalink

    Ping ist nichts anderes als das Laden der Website, da es sich um ein vollständig separates Protokoll handelt, das möglicherweise sogar blockiert wird. Ich würde etwas verwenden, das eine Dummy-HTTP-Anfrage oder das gute alte Telnet ausführt: 80

    Diese geben Ihnen mehr Informationen über den Webserver als ein Ping.

    das beantwortet die Frage nicht wirklich


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...