Do czego nadaje się transmisja ICMP?

12

Aby skonfigurować Linuksa tak, aby ignorował transmisje ICMP (w celu ochrony przed atakami SMURF), dodałem następujący wiersz do /etc/sysctl.conf:

net.ipv4.icmp_echo_ignore_broadcasts = 1

Czy ktoś wie, jakie są wady ignorowania transmisji ICMP? Innymi słowy, do czego nadaje się transmisja ICMP?

brahima
źródło
Jeśli mówisz konkretnie o transmisji ICMP, jej wyłączenie powinno być OK. Jedynym wyjątkiem może być sytuacja, gdy Twoje urządzenie jest również routerem. Większość (wszystkich?) Z RFC zaleca, aby większość (wszystkich?) Transmisji rozgłoszeniowych ICMP była dyskretnie odrzucana.
dbasnett

Odpowiedzi:

12

Podana sysctlopcja net.ipv4.icmp_echo_ignore_broadcasts, dotyczy tylko emisji echa ICMP w IPv4 . Komunikaty echa ICMP to komunikaty używane przez narzędzie wiersza polecenia „ping”. Ignorując żądania echa rozgłaszania ICMP , maszyna nie odpowiada, gdy ktoś próbuje pingować adres rozgłoszeniowy (taki jak 255.255.255.255 lub, powiedzmy, 192.168.1.255 w podsieci 192.168.1.0/24), aby znaleźć wszystkie hosty na sieć lub podsieć w tym samym czasie.

Ta konkretna opcja sysctl nie powinna mieć żadnego wpływu na możliwość odpowiedzi na pingi emisji pojedynczej wysyłane bezpośrednio na adres IP emisji pojedynczej komputera. Ponadto ta opcja jest dostępna tylko dla emisji echa ICMP , więc nie powinna mieć żadnego wpływu na wszystkie inne zastosowania ICMP oprócz ech.

Spiff
źródło
1

Echo ICMP jest bardziej znane jako ping, najprostszy sposób ustalenia, czy system sieciowy reaguje.

Ignorując transmisje ICMP, twój system (y) nie będzie odpowiadał na żądania ping i na pierwszy rzut oka pojawi się w dół lub będzie niedostępny dla każdego, kto nie wiedział inaczej.

Jest to jeden ze sposobów ukrycia systemu, ale następnym logicznym krokiem dla określonego intruza byłoby wykonanie skanowania portu.

Ruairi Fullam
źródło
Dziękuję za wyjaśnienie. Czy istnieje inny efekt blokowania emisji niż ignorowanie żądań ping?
brahima
Nie jestem tego świadomy - wszelkie napotkane problemy prawdopodobnie wynikają z dostępności oprogramowania lub urządzeń wymagających tej funkcji. Osobiście nie blokowałbym pingów, od dawna nie słyszałem o atakach typu smurf.
Ruairi Fullam
Przepraszam, ale to absolutnie źle. Ignorowanie emisji nie ignoruje żądań ping. Słowo kluczowe jest emitowane. Ignorowanie ICMP ECHO_REQUEST jest naprawdę denerwujące, a nie poprawą bezpieczeństwa. Chyba że twój pomysł „bezpieczeństwa” łamie cały protokół przeznaczony do zgłaszania błędów itp. Twój komentarz jest jednak poprawny. Może przeredagować odpowiedź? Tylko myśl. Myślę, że masz na myśli to, że zignorowałoby żądania ping na adres rozgłoszeniowy, ale nie tak mówi.
Pryftan