สาเหตุใดที่ไม่อนุญาตให้ ICMP บนเซิร์ฟเวอร์ของฉัน


11

อินสแตนซ์ EC2 ปิดใช้งานบริการ ICMP โดยค่าเริ่มต้น ในขณะที่ยังไม่ชัดเจนสำหรับฉันทำไมฉันคิดว่าเป็นเพราะอาจเป็นความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น ในขณะที่ฉันเปิดใช้งาน Echo Responses เฉพาะเมื่อฉันรีสตาร์ทเซิร์ฟเวอร์เพื่อให้ฉันสามารถดูว่ามันทำงานอยู่หรือไม่ แต่เมื่อมันมาถึงออนไลน์ฉันจะปิดใช้งานอีกครั้ง จำเป็นหรือไม่ สาเหตุใดที่ทำให้ปิดใช้งาน ICMP โดยทั่วไปคืออะไร

คำตอบ:


18

ICMPประกอบด้วยชุดคำสั่งจำนวนมาก การไม่อนุญาตสิ่งเหล่านี้ทั้งหมดจะทำลายเครือข่ายของคุณในรูปแบบแปลก ๆ

ICMP อนุญาตให้สิ่งต่าง ๆ เช่น "traceroute" และ "ping" (คำขอ ICMP echo) ทำงาน ดังนั้นส่วนนั้นค่อนข้างมีประโยชน์สำหรับการวินิจฉัยปกติ นอกจากนี้ยังใช้สำหรับข้อเสนอแนะเมื่อคุณเรียกใช้เซิร์ฟเวอร์ DNS (พอร์ตที่เข้าไม่ถึง) ซึ่งในเซิร์ฟเวอร์ DNS ที่ทันสมัยอาจช่วยเลือกเครื่องที่แตกต่างเพื่อสืบค้นข้อมูลได้เร็วขึ้น

ICMP ใช้สำหรับการค้นพบพา ธ MTU โอกาสที่ระบบปฏิบัติการของคุณจะตั้งค่า "DF" (ห้ามแยกส่วน) บนแพ็กเก็ต TCP ที่ส่ง คาดว่าจะได้รับแพ็คเก็ต ICMP "การกระจายตัวที่จำเป็น" กลับถ้าบางสิ่งในเส้นทางล้มเหลวในการจัดการขนาดของแพ็คเก็ตนั้น หากคุณบล็อกICMP ทั้งหมดเครื่องของคุณจะต้องใช้กลไกทางเลือกอื่นซึ่งโดยทั่วไปจะใช้การหมดเวลาเพื่อตรวจหา PMTU "หลุมดำ" และจะไม่ปรับให้เหมาะสมอย่างถูกต้อง

อาจมีเหตุผลที่ดีอีกเล็กน้อยที่จะเปิดใช้งาน ICMP ส่วนใหญ่

ตอนนี้เป็นคำถามของคุณว่าทำไมถึงปิดการใช้งาน:

เหตุผลในการปิดการใช้งานส่วนหนึ่งของ ICMP คือ:

  • การป้องกันจากเวิร์มแบบเก่าซึ่งใช้คำขอ ICMP echo (aka ping) เพื่อดูว่าโฮสต์ยังมีชีวิตอยู่หรือไม่ก่อนที่จะพยายามโจมตี ทุกวันนี้เวิร์มสมัยใหม่พยายามมันอยู่ตลอดเวลาทำให้ไม่มีประสิทธิภาพอีกต่อไป
  • ซ่อนโครงสร้างพื้นฐานของคุณ หากคุณต้องการทำสิ่งนี้โปรดปิดกั้นที่ขอบเครือข่ายของคุณ ไม่ได้อยู่ในคอมพิวเตอร์ทุกเครื่อง นั่นจะทำให้ผู้ดูแลระบบของคุณดึงผมทั้งหมดออกจากหัวของเขาหรือเธอด้วยความหงุดหงิดเมื่อมีบางอย่างผิดปกติและเครื่องมือการวิเคราะห์ตามปกติทั้งหมดล้มเหลว (ในกรณีนี้: Amazon สามารถปิดกั้นที่ขอบของคลาวด์)
  • ปฏิเสธการโจมตีบริการตาม ICMP จัดการสิ่งเหล่านี้เหมือนกับการโจมตี DOS อื่น ๆ : จำกัด อัตรา
  • รายการเดียวที่ถูกต้อง: หากคุณอยู่ในเครือข่ายที่ไม่ปลอดภัยคุณอาจต้องการปิดกั้นหรือปิดการใช้งานเราเตอร์ได้เปลี่ยนคำสั่ง Obfix: ใช้เซิร์ฟเวอร์ของคุณในเครือข่ายที่ปลอดภัย

โปรดทราบว่ามี 'การชุบแข็งเซิร์ฟเวอร์' คู่มือที่แนะนำให้บล็อก ICMP พวกเขาผิด (หรืออย่างน้อยก็ไม่ละเอียดพอ) พวกเขาอยู่ในหมวดหมู่เดียวกันกับ 'ความปลอดภัย' แบบไร้สายผ่านการกรอง MAC หรือซ่อน SSID


1

บล็อก ICMP นั้นทำขึ้นด้วยเหตุผลสองประการ แต่ส่วนใหญ่จะซ่อนข้อมูลจากโพรบที่พยายามระบุและโปรไฟล์เครือข่ายของคุณ นอกจากนี้ยังมีการโจมตีหลายประเภทในเราเตอร์และระบบปลายทางที่สาธารณชนสามารถเข้าถึงได้ซึ่งใช้การรับส่งข้อมูล ICMP เป็นส่วนหนึ่งของการหาประโยชน์

ในกรณีของคุณคุณอาจอนุญาตให้มีการตอบสนองต่อเสียงก้องซึ่งนั่นทำให้คุณถูกสังเกตเห็นด้วยโพรบเพิ่มเติม การโจมตีเช่นการโจมตี DDOS แบบปิงและการโจมตีแบบ smurf จะลดลงอย่างมากในทุกวันนี้

http://en.wikipedia.org/wiki/Denial-of-service_attack#ICMP_flood


0

ฉันขอแนะนำให้ป้องกันการท่วมของคำขอ ICMP โดยใช้iptablesแทนการบล็อกอย่างถาวร:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/minute --limit-burst 100 -j ACCEPT

-1

ความเสี่ยงที่ใหญ่ที่สุดของ ICMP บนเซิร์ฟเวอร์ที่หันเข้าหาอินเทอร์เน็ตคือการเพิ่มพื้นที่ผิวเพื่อโจมตี Denial of Service (DoS)

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.