Для чого корисна трансляція ICMP?

12

Щоб налаштувати Linux на ігнорування трансляцій ICMP (для захисту від атак SMURF), я додав наступний рядок до /etc/sysctl.conf:

net.ipv4.icmp_echo_ignore_broadcasts = 1

Хтось знає, які недоліки ігнорування трансляцій ICMP? Іншими словами, для чого корисний мовлення ICMP?

— брахіма
джерело

Якщо ви говорите конкретно про трансляцію ICMP, то його вимкнення повинно бути в порядку. Єдиним винятком може бути, якщо у вашій коробці також є маршрутизатор. Більшість (усіх?) Рекомендацій RFC рекомендують більшість (усіх?) Трафіку трансляції ICMP беззвучно відкидати.

— dbasnett

12

sysctlВаріант ви посилання, net.ipv4.icmp_echo_ignore_broadcastsтільки має справу з IPv4 ICMP ехо - мовлення. ICMP- повідомлення ехо - це повідомлення, що використовуються інструментом командного рядка "ping". Ігноруючи широкомовні запити ехо- сигналів ICMP , ваша машина не відповість, коли хтось намагається надіслати адресу широкомовної програми (наприклад, 255.255.255.255 або, скажімо, 192.168.1.255 у підмережі 192.168.1.0/24), щоб знайти всіх хостів у мережа або підмережа одночасно.

Цей параметр sysctl не повинен впливати на можливість реагування на одноадресні пінгви, що надсилаються безпосередньо на одноадресову IP-адресу Вашої машини. Крім того, ця опція призначена лише для ехо- передач ICMP , тому вона не повинна впливати на всі інші види використання ICMP, окрім відлуння.

— Spiff
джерело

1

Відлуння ICMP більш відоме як ping, найпростіший спосіб визначити, чи реагує мережева система.

Ігноруючи трансляції ICMP, ваші системи (системи) не відповідатимуть на запити ping, і на перший погляд вони з’являться вниз або недоступні для тих, хто не знав іншого.

Це один із способів приховати вашу систему, але наступним логічним кроком для визначеного зловмисника буде проведення сканування порту.

— Руайрі Фуллам
джерело

Дякую за пояснення. Чи є інший ефект від блокування трансляцій, окрім ігнорування запитів ping?

— брахіма

Не те, що мені відомо - будь-які проблеми, з якими ви стикаєтеся, можливо, будуть через доступне програмне забезпечення або пристрої, що вимагають цього функціонування. Особисто я б не блокував пінг, я вже давно не чув про атаки смердюру.

— Ruairi Fullam

Вибачте, але це абсолютно неправильно. Ігнорування трансляцій не ігнорує запити ping. Ключове слово транслюється. Ігнорування ICMP ECHO_REQUESTs насправді дратує, а не посилює безпеку. Якщо, звичайно, ваше уявлення про "безпеку" порушує весь протокол, призначений для повідомлення про помилки тощо. Однак ваш коментар є правильним. Може, переформулювати відповідь? Просто думка. Я думаю, ви маєте на увазі, що він буде ігнорувати запити ping на адресу трансляції, але це не те, що написано.

— Прифтан