Perché alcuni server Web non rispondono alle richieste icmp?

Qual è lo scopo di bloccare / eliminare il traffico ICMP in entrata su un server Web pubblico? È comune per essere bloccato?

Ho dovuto verificare se un server era accessibile da varie posizioni (testato su vari server situati in diversi stati / paesi). Farei affidamento sul ping come metodo rapido e affidabile per determinare se un server era online / accessibile in rete. Dopo aver ricevuto una risposta su un paio di caselle, ho provato a utilizzare lince per caricare il sito e ha funzionato.

In questi giorni è abbastanza comune eliminare ICMP, in quanto si tratta di un metodo generico da utilizzare a scopo di negazione del servizio. Un host con larghezza di banda superiore o un multiplo di host che eseguono ripetutamente il ping di un singolo server Web potrebbero utilizzare tutta la sua larghezza di banda.

Altri potrebbero cadere per ridurre la loro impronta su Internet, potenzialmente essere trascurati dal traffico di scansione di massa.

Sebbene sia comune, direi che fornisce poco valore e fa poco per minimizzare DoS e footprint limitando il potenziale diagnostico.

A parte la dubbia protezione DoS e il profilo ribassato, c'è un motivo comune ma trascurato che un determinato IP potrebbe non rispondere ai ping: in realtà non è assegnato a un'interfaccia.

Il reindirizzamento (port forwarding) IP / protocollo / tuple delle porte ai vari servizi desiderati offre una maggiore densità di servizio su una rete più piccola.

Ad esempio, supponi che i tuoi percorsi ISP 1.2.3.4/30 siano indirizzati a te. Hai tre scelte:

• Instradali normalmente. Ti lascia due IP utilizzabili, uno dei quali deve essere il tuo gateway, quindi un singolo host.
• NAT da IP esterno a IP interno. Ti lascia quattro padroni di casa.
• Reindirizzare il traffico ai servizi interni secondo necessità. SMTP (TCP 25), DNS (TCP / UDP 53) e il sito Web aziendale (TCP 80.443) potrebbero esistere su un unico indirizzo esterno.

La terza via è sempre più comune. La maggior parte degli amministratori (me compreso), quando lo configura, non si preoccupa di reindirizzare ICMP in modo che cada solo sul firewall.

Non c'è nulla di male nel bloccare ICMP di tipo 0 (risposta Eco), ma il blocco di tutto il traffico ICMP interrompe le risposte al client se qualsiasi collegamento nel percorso di risintonizzazione ha un MTU inferiore alla dimensione massima del segmento di invio della connessione TCP. Ciò accade perché il server Web non può più ricevere i pacchetti di codice 4 di tipo 3 ICMP (Destinazione non raggiungibile; Frammentazione necessaria e DF set).

In pratica questo non è un grosso problema perché chiunque abbia bisogno di tunnelizzare il traffico deve anche impostare un meccanismo per gestire la moltitudine di server Web i cui stack TCP sono ostacolati da firewall non configurati correttamente.

Aiuta con attacchi denial of service. Nessun vero motivo per richiedere che il sito sia aperto per il ping da parte del pubblico.

Inoltre non fornisce le statistiche per il sito Web; un host o IP potrebbe facilmente rispondere a una farm di server con bilanciamento del carico sul back-end (il ping di un mysite.com non ti dice se tutti i server funzionano correttamente dietro il nome).

Potrebbe essere solo la politica dell'azienda di eliminare il traffico non necessario o consentire solo il reindirizzamento del traffico SSL e della porta 80 verso altri server internamente.

Immagino che l'altra domanda sarebbe: perché preoccuparsi di consentire ai sistemi esterni di eseguire il ping dei server se non ne hanno davvero bisogno?