ICMP складається з великої колекції команд. Якщо заборонити все це, розбийте вашу мережу дивними способами.
ICMP дозволяє працювати на зразок "traceroute" та "ping" (запит ехо-сигналу). Таким чином, ця частина є досить корисною для звичайної діагностики. Він також використовується для зворотного зв’язку, коли ви запускаєте сервер DNS (порт недоступний), який на сучасному сервері DNS може насправді допомогти вибрати іншу машину для швидшого запиту.
ICMP використовується для виявлення шляху MTU. Цілком ймовірно, що ваша ОС встановлює "DF" (не фрагментуйте) на TCP-пакети, які він надсилає. Очікується повернення пакету ICMP "потрібна фрагментація", якщо щось по шляху не вдається обробити такий розмір пакету. Якщо ви заблокуєте всі ICMP, вашій машині доведеться використовувати інші механізми резервного копіювання, які в основному використовують тайм-аут, щоб виявити "чорну діру" PMTU і ніколи не буде правильно оптимізуватися.
Напевно, є ще кілька вагомих причин включити більшість ICMP.
Тепер як ваше питання, чому відключити:
Причини відключення частини ICMP:
- Захист від черв'яків старого стилю, які використовували ICMP запит ехо (ака ping), щоб дізнатися, чи хост живий, перш ніж намагатися напасти на нього. У наші дні сучасний черв’як намагається це зробити все одно, зробивши це вже не ефективним.
- Приховування вашої інфраструктури. Якщо ви хочете це зробити, то, будь ласка, заблокуйте це на краю вашої мережі. Не на кожному комп'ютері. Це просто призведе до того, що ваш адміністратор розчарує витягнути все волосся з голови або голови, коли щось піде не так і всі звичайні інструменти аналізу не зможуть. (У цьому випадку: Amazon може заблокувати її на краю хмари).
- Відмова від атак на обслуговування на основі ICMP. Поводьтеся з ними так само, як і з іншими атаками DOS: Ліміт швидкості.
- Єдине дійсне: якщо ви перебуваєте в небезпечній мережі, можливо, вам захочеться заблокувати або вимкнути змінити команду маршрутизатора. Примітка: використовуйте ваші сервери в безпечній мережі.
Зауважте, що там є посібники з «загартовування сервера», які радять блокувати ICMP. Вони помиляються (або принаймні недостатньо деталізуються). Вони потрапляють у ту ж категорію, що і бездротова «безпека» через фільтрування MAC або приховування SSID.