A cosa serve la trasmissione ICMP?


12

Per configurare Linux in modo che ignori le trasmissioni ICMP (per proteggere dagli attacchi SMURF), ho aggiunto la seguente riga a /etc/sysctl.conf:

net.ipv4.icmp_echo_ignore_broadcasts = 1

Qualcuno sa quali sono gli svantaggi di ignorare le trasmissioni ICMP? In altre parole, a cosa serve la trasmissione ICMP?


Se stai parlando specificamente della trasmissione ICMP, disattivarla dovrebbe essere OK. L'unica eccezione potrebbe essere se la tua scatola è anche un router. La maggior parte (tutti?) Degli RFC raccomanda di eliminare silenziosamente la maggior parte (tutti?) Del traffico di trasmissione ICMP.
dbasnett,

Risposte:


12

L' sysctlopzione a cui hai fatto riferimento net.ipv4.icmp_echo_ignore_broadcastsriguarda solo le trasmissioni di eco ICv IPv4 . I messaggi di eco ICMP sono i messaggi utilizzati dallo strumento da riga di comando "ping". Ignorando le richieste di eco ICMP broadcast , la macchina non risponderà quando qualcuno tenta di eseguire il ping di un indirizzo broadcast (come 255.255.255.255 o, diciamo, 192.168.1.255 su una sottorete 192.168.1.0/24) per trovare tutti gli host su la rete o sottorete allo stesso tempo.

Questa particolare opzione sysctl non dovrebbe avere alcun effetto sulla capacità di rispondere ai ping unicast inviati direttamente all'indirizzo IP unicast della macchina. Inoltre, questa opzione è solo per le trasmissioni di eco ICMP , quindi non dovrebbe avere alcun effetto su tutti gli altri usi di ICMP oltre agli echi.


1

L'eco ICMP è più comunemente noto come ping, il modo più semplice per determinare se un sistema in rete è reattivo.

Ignorando le trasmissioni ICMP, i sistemi non risponderanno alle richieste di ping e a prima vista appariranno inattivi o non disponibili per chiunque non lo sapesse diversamente.

È un modo per nascondere il sistema, ma il passo logico successivo per un determinato intruso sarebbe quello di eseguire una scansione delle porte.


Grazie per la spiegazione. C'è un altro effetto nel bloccare le trasmissioni, oltre all'ignorare le richieste di ping?
Brahima,

Non che ne sia a conoscenza - eventuali problemi riscontrati saranno probabilmente dovuti a software o dispositivi che richiedono la disponibilità di questa funzionalità. Personalmente non avrei bloccato i ping, non ho sentito parlare di attacchi di puffo da molto tempo ormai.
Ruairi Fullam,

Scusa ma questo è assolutamente sbagliato. Ignorare le trasmissioni non ignora le richieste di ping. La parola chiave viene trasmessa. E ignorare ECHO_REQUEST di ICMP è davvero fastidioso e non un miglioramento della sicurezza. A meno che, naturalmente, la tua idea di "sicurezza" stia infrangendo un intero protocollo destinato a segnalare errori, ecc. Il tuo commento tuttavia è corretto. Forse riformulare la risposta? Solo un pensiero. Penso che intendi dire che ignorerebbe le richieste di ping all'indirizzo di trasmissione, ma non è quello che dice.
Pryftan,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.