ICMP składa się z dużej kolekcji poleceń. Wykluczenie wszystkich z nich spowoduje dziwne uszkodzenie sieci.
ICMP pozwala na działanie takich funkcji jak „traceroute” i „ping” (żądanie echa ICMP). Ta część jest więc bardzo przydatna do normalnej diagnostyki. Służy również do przesyłania informacji zwrotnych po uruchomieniu serwera DNS (portu nieosiągalnego), który we współczesnym serwerze DNS może faktycznie pomóc wybrać inny komputer, który będzie szybciej wyszukiwał.
ICMP służy do wykrywania ścieżki MTU. Możliwe, że twój system operacyjny ustawia „DF” (nie fragmentuj) na wysyłanych pakietach TCP. Oczekuje, że otrzyma z powrotem pakiet „wymaganej fragmentacji” ICMP, jeśli coś wzdłuż ścieżki nie obsłuży tego rozmiaru pakietu. Jeśli zablokujesz cały ICMP, twoja maszyna będzie musiała użyć innych mechanizmów rezerwowych, które w zasadzie wykorzystują limit czasu do wykrycia „czarnej dziury” PMTU i nigdy nie będą poprawnie optymalizowane.
Prawdopodobnie istnieje jeszcze kilka dobrych powodów, aby włączyć większość ICMP.
Teraz jako twoje pytanie, dlaczego wyłączyć:
Przyczyny wyłączenia części ICMP to:
- Ochrona przed robakami w starym stylu, które korzystały z żądania echa ICMP (inaczej ping), aby sprawdzić, czy host żyje, zanim spróbuje go zaatakować. W dzisiejszych czasach nowoczesny robak i tak go wypróbowuje, przez co przestaje być skuteczny.
- Ukrywanie infrastruktury. Jeśli chcesz to zrobić, zablokuj go na skraju sieci. Nie na każdym komputerze. To po prostu spowoduje, że administrator wyciągnie wszystkie włosy z głowy z frustracji, gdy coś pójdzie nie tak i zawiodą wszystkie zwykłe narzędzia analizy. (W tym przypadku: Amazon może zablokować go na krawędzi chmury).
- Ataki typu „odmowa usługi” na podstawie ICMP. Traktuj je tak samo jak inne ataki DOS: Limit prędkości.
- Jedyny prawidłowy: jeśli jesteś w niebezpiecznej sieci, możesz chcieć zablokować lub wyłączyć polecenie zmiany routera. Obfix: używaj swoich serwerów w bezpiecznej sieci.
Zauważ, że istnieją instrukcje „hartowania serwerów”, które zalecają blokowanie ICMP. Mylą się (lub przynajmniej nie są wystarczająco szczegółowe). Należą do tej samej kategorii, co „bezpieczeństwo” sieci bezprzewodowej poprzez filtrowanie adresów MAC lub ukrywanie identyfikatora SSID.