Каковы причины отказа ICMP на моем сервере?

Экземпляр EC2 по умолчанию отключил службы ICMP. Хотя мне не совсем понятно, почему, я думаю, это потому, что это может быть потенциальным риском для безопасности. На данный момент я включаю Echo Responses только в том случае, когда я перезапускаю сервер, чтобы увидеть, запущен ли он, но как только он появился в сети, я отключу его снова. Это необходимо? Каковы причины отключения ICMP в целом?

  • Действительно ли большинство энтузиастов могут взломать сети Wi-Fi?
  • С помощью незашифрованной операционной системы приманки с перекодированной скрытой ОС?
  • Эквивалент Windows 7 для ntrights.exe
  • Windows 7: Любой способ отключить «показать caracter» в свойствах сети WIFI?
  • Может ли локальный провайдер захватить мое местоположение всякий раз, когда я запускаю VPN на VPN-сервер?
  • Непреднамеренные движения мыши, я параноик?
  • Передача Wi-Fi через открытую сеть зашифрована?
  • Как добавить локальный файл в доверенную зону в IE8?
  • Эквивалент Windows 7 для ntrights.exe
  • Являются ли файлы .docx или .pdf потенциально опасными?
  • На незашифрованном публичном Wi-Fi, какую реальную опасность я вхожу?
  • Как вы изучите расширение Google Chrome перед его установкой?
  • 4 Solutions collect form web for “Каковы причины отказа ICMP на моем сервере?”

    ICMP состоит из большого набора команд. Отказ от всех из них портит вашу сеть странным образом.

    ICMP позволяет работать с такими вещами, как «traceroute» и «ping» (ICMP echo request). Таким образом, эта часть весьма полезна для нормальной диагностики. Он также используется для обратной связи при запуске DNS-сервера (недоступный для порта), который на современном DNS-сервере может фактически помочь выбрать другую машину для запроса быстрее.

    ICMP используется для обнаружения MTU пути. Скорее всего, ваши наборы ОС «DF» (не фрагментируют) по отправляемым TCP-пакетам. Он ожидает получить пакет ICMP «фрагментация требуется», если что-то по пути не сможет обработать этот размер пакета. Если вы заблокируете все ICMP, вашей машине придется использовать другие резервные механизмы, которые в основном используют тайм-аут для обнаружения «черной дыры» PMTU и никогда не будут оптимизированы правильно.

    Вероятно, есть еще несколько веских причин, позволяющих использовать большинство ICMP.

    Теперь, как ваш вопрос, почему отключить:

    Причинами отключения части ICMP являются:

    • Защита от червей старого стиля, которые использовали ICMP-запрос эха (aka ping), чтобы узнать, жив ли хост, прежде чем пытаться атаковать его. В наши дни современный червь все равно пытается это сделать, что делает его более эффективным
    • Скрытие вашей инфраструктуры. Если вы хотите сделать это, пожалуйста, заблокируйте его на краю вашей сети. Не на каждом компьютере. Это просто приведет к тому, что ваш администратор вырвет все волосы с головы или ног, когда что-то пойдет не так, и все инструменты анализа нормализуются. (В этом случае: Amazon может заблокировать его на краю облака).
    • Атаки на отказ в обслуживании на основе ICMP. Управляйте ими так же, как и другие атаки DOS: предел скорости.
    • Единственный допустимый: если вы находитесь в небезопасной сети, вы можете заблокировать или отключить маршрутизатор, изменив команду. Obfix: используйте свои серверы в безопасной сети.

    Обратите внимание, что есть руководства по упрощению «сервера», которые советуют блокировать ICMP. Они ошибаются (или, по крайней мере, недостаточно подробно). Они попадают в ту же категорию, что и беспроводная «безопасность» через фильтрацию MAC или скрывают SSID.

    Блоки ICMP выполняются по нескольким причинам, но в основном для скрытия информации от зондов, пытающихся идентифицировать и профилировать вашу сеть. Существует также несколько типов атак на маршрутизаторы и общедоступные конечные системы, которые используют ICMP-трафик как часть эксплойта.

    В вашем случае вы можете, возможно, разрешить ответы эха, хотя это заставляет вас замечать больше зондов. Атаки, такие как DDOS и атаки smurf на основе ping, в значительной степени смягчаются в наши дни.

    http://en.wikipedia.org/wiki/Denial-of-service_attack#ICMP_flood

    Наибольший риск ICMP на сервере, обращенном к Интернету, – это увеличение площади поверхности до атаки DoS (отказ в обслуживании).

    Я бы предложил предотвратить наводнение ICMP-запросов, используя iptables а не блокировать его постоянно:

     iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/minute --limit-burst 100 -j ACCEPT 
    Давайте будем гением компьютера.