cmd から作業サイトに ping を実行すると、次のようになります。
ping site.com
Pinging site.com [x.x.x.x] with 32 bytes of data:
Reply from x.x.x.x: Destination host unreachable.
Reply from x.x.x.x: Destination host unreachable.
Reply from x.x.x.x: Destination host unreachable.
Reply from x.x.x.x: Destination host unreachable.
Ping statistics for x.x.x.x:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
明らかな理由から、IP とドメインを検閲しました。このマシンのブラウザからサイトにアクセスできます。
私の質問は、どのように/なぜ彼らはこれを行うのでしょうか?
ping企業/組織がセキュリティ上の理由/目的でファイアウォールを使用してブロックできる ICMP コマンド要求です。ブラウザを使用した Web サイトのアクセシビリティとは関係ありません。
彼らはあなたのリクエストを受け取り、それ以上の行動はとっていません。だからそれは言うdestination host is unreachable!
そのため、Web ブラウザで組織の Web サイトにアクセスできてもping、前述の理由でリクエストがブロックされる可能性があります。
次の診断ステップは traceroute です。さらにハードコアにするには、さまざまなパケットを送信できる nmap や hping2 などのより複雑なツールを使用します。
すぐに使用できる奇妙なことが何も起こっていないと仮定すると、中間ホスト (または宛先ホストでさえも) が ICMP エコー パケットをドロップし、ICMP 宛先到達不能で応答しています。
それは実際の問題ではないので、これは紛らわしいです。ただし、これが発生する大きな理由の 1 つは、ハイエンドのルーターであっても、生成できる ICMP エラーの種類に制限があり、管理者がこのような迷惑な方法で構成する場合があることです。同じ問題のもう 1 つの一般的な症状として、中間ルーターが RST を使用して TCP パケットをドロップし、ポートがファイアウォールによって単にブロックされているのではなく、閉じられているように見えることがあります。
ネットワーク上にある場合は、管理者に、管理上禁止されているなど、混乱の少ないメッセージに切り替えるよう依頼することを検討してください。
それでも ping を実行したい場合は、前述の hping2 などの別のパケット タイプを使用する ping ユーティリティの使用を検討してください。
以上のことから、ping のブロックはほぼ TSA スタイルのセキュリティ対策です。サイトをトラブルシューティングしようとしている人にとっては、実際には非常に面倒ですが、実際には、他のパケット タイプを使用した ping を防ぐことはできません。仮説的には、最も馬鹿げたホスト アップ/ダウン スキャナーを打ち負かす可能性がありますが、ポート 80 が開いている場合でも、実際のスキャンでそれを見つけることができます。
別の説明として、現在のルーティング テーブルを使用して実際にホストに到達できず、ブラウザが別の方法でホストを検出している可能性があります。たとえば、ネットワークにはインターネットへのデフォルト ルートがなくても、ブラウザはアクセスできるプロキシ サーバーを使用している場合があります。この種の構成は一部のサイトで使用されており、通常、ネットワーク上の不正なマルウェアやハッカーが簡単に発信できないようにするために使用されます。