Для чего нужна трансляция ICMP?

12

Чтобы настроить Linux на игнорирование ICMP-рассылок (для защиты от SMURF-атак), я добавил следующую строку /etc/sysctl.conf:

net.ipv4.icmp_echo_ignore_broadcasts = 1

Кто-нибудь знает, каковы недостатки игнорирования ICMP-трансляций? Другими словами, для чего нужна трансляция ICMP?

linux networking broadcast icmp Брахима
источник
Если вы говорите конкретно о трансляции ICMP, то отключение должно быть в порядке. Единственное исключение может быть, если ваш ящик также является маршрутизатором. Большинство (все?) RFC рекомендуют молча отбрасывать большую часть (все?) Широковещательного трафика ICMP.
dbasnett

Ответы:

12

sysctlВариант вы ссылки, net.ipv4.icmp_echo_ignore_broadcastsтолько имеет дело с IPv4 ICMP эхо - вещания. Эхо- сообщения ICMP - это сообщения, используемые средством командной строки «ping». Игнорируя эхо- запросы широковещательного ICMP , ваш компьютер не будет отвечать, когда кто-нибудь попытается пропинговать широковещательный адрес (например, 255.255.255.255 или, скажем, 192.168.1.255 в подсети 192.168.1.0/24), чтобы найти все хосты в сеть или подсеть одновременно.

Этот конкретный параметр sysctl не должен влиять на возможность отвечать на одноадресные эхо-запросы, отправляемые непосредственно на одноадресный IP-адрес вашего компьютера. Кроме того, этот параметр предназначен только для эхо- рассылок ICMP , поэтому он не должен влиять на все другие виды использования ICMP, кроме эхо-сигналов.

Spiff
источник
1

ICMP-эхо чаще всего называют ping, самый простой способ определить, реагирует ли сетевая система.

Игнорируя широковещательные ICMP-рассылки, ваша система (-ы) не будет отвечать на запросы ping и, на первый взгляд, будет недоступна или недоступна для тех, кто не знал иначе.

Это один из способов скрыть вашу систему, но следующим логическим шагом для определенного нарушителя будет выполнение сканирования портов.

Руаири Фуллам
источник
Спасибо за объяснение. Есть ли другой эффект блокировки трансляций, кроме игнорирования пинг-запросов?
Брахима
Не то чтобы я об этом знал - любые проблемы, с которыми вы сталкиваетесь, вероятно, будут связаны с тем, что программное обеспечение или устройства требуют наличия этой функции. Лично я не стал бы блокировать пинг, я давно не слышал о смарф-атаках.
Руаири Фуллам
Извините, но это абсолютно неправильно. Игнорирование трансляций не игнорирует запросы ping. Ключевое слово транслируется. И игнорирование ICMP ECHO_REQUESTs действительно раздражает, а не повышает безопасность. Если, конечно, ваша идея «безопасности» нарушает весь протокол, предназначенный для сообщения об ошибках и т. Д. Однако ваш комментарий верен. Может быть, перефразировать ответ? Просто мысль. Я думаю, вы имеете в виду, что он будет игнорировать запросы ping на широковещательный адрес, но это не то, что он говорит.
Pryftan