ping d'un site et IP bloquée

hello,

j’ai une petite question, si je ping un site et que le serveur bloque mon IP, est-ce que ça compte quand même comme une requête ?

par exemple, dans un cas de DoS, si je bloque l’IP qui attaque, le serveur va renvoyer NULL, mais si j’envoie 50.000 requêtes, il va renvoyer 50.000 NULL ou autre ? comment ça se passe ? je n’arrive pas à bien comprendre.

Cordialement, Machou

Ça dépend de la règle configurée sur le serveur. En général ça sera du drop, c’est-à-dire que la requête ICMP n’aura tout simplement pas de réponse. Donc les 50k requêtes ICMP seront ignorées, et le serveur n’aura pas à notifier d’une erreur^* 50k fois.

^* : si tant est que ICMP le permet, chose dont je ne suis pas sûr. Mais dans le principe, c’est le concept du drop que de ne rien répondre, ce qui peut être le comportement voulu pour ne pas risquer une attaque DDoS trop simple, quelque soit le protocole.

si tant est que ICMP le permet

Le pare-feu prévaut sur ICMP : si tu as décidé de purement et simplement dropper les paquets, tu n’auras strictement aucune réponse en retour.

Certes, et heureusement ! Ce que je voulais préciser, c’est que je ne sais pas si ICMP permet de retourner une erreur ou un rejet en premier lieu. (indépendamment de la question du pare-feu)

Désolé, j’avais mal compris.

Packet Filter (BSD) est documenté tel que :

a TCP RST packet is returned for blocked TCP packets and an ICMP Unreachable packet is returned for all others

Oui, mais je ne comprends pas, car dans tous les cas, il doit bien faire une requête pour savoir que c’est l’IP xxx.xxx.xxx.xxx à bloquer non ?

Qu’entends-tu par "requête" ?

Si tu fais allusion à la résolution de nom vers adresse IP, normalement, elle est assurée par un autre serveur. Si tu ping www.google.fr, un serveur extérieur te retournera l’adresse IP qui correspond au nom www.google.fr avant que tu ne lui envoies, via son adresse, des paquets ICMP de ping (c’est pareil pour TCP ou UDP d’ailleurs). Et c’est seulement à ce moment que ce serveur pourra te répondre ou non.

C’est les serveurs DNS sources ?

Admettons, j’envoie 50.000 requêtes ping en même temps, sur le domaine google.com, mais que google.com a bloquer l’ip, qui me répond du coup ? vu que ça va me renvoyer null, mais ça fait une requête quand même, c’est ça que je ne comprends pas. désolé :/

vu que ça va me renvoyer null

Il n’y a pas de "null" : le serveur te répond dans un délai imparti ou ça part en timeout (= tu n’as rien reçu).

C’est les serveurs DNS sources ?

Pas compris la question. Si tu tapes ping -c50000 www.google.fr, www.google.fr n’est résolu qu’une fois en une adresse IP à laquelle tu envoies ensuite ces 50 000 requêtes de ping.

Admettons, j’envoie 50.000 requêtes ping en même temps, sur le domaine google.com, mais que google.com a bloquer l’ip, qui me répond du coup ?

Ca dépend comment tu es bloqué (la politique du firewall) :

• si les paquets sont droppés : tu n’auras aucune réponse, tes 50 000 requêtes partiront en timeout parce qu’à chaque fois tu attends une réponse que tu n’obtiens jamais
• si les paquets sont bloqués mais qu’on t’en informe en retour (mode poli) : tu auras 50 000 paquets ICMP Unreachable packet

Yes, mais du coup, les 50.000 requêtes que je reçois en timeout, faut bien qu’a un moment donné, le serveur cible, repère l’ip qui est bloquée, donc il doit faire une requête dans sa base de données (du firewall par exemple), donc ça fait une requête quand même ? ou alors c’est bloqué en amont du serveur peut être ?

Désolé pour mon incompétence lol