บรรจวบ เข้าสู่ระบบ
Score:4
avatar Server

ICMP ประเภทใด (v4/v6) ที่ไม่ควรบล็อก

ธง in
Houman

ฉันได้ทำการวิจัยมากมายเกี่ยวกับเรื่องนี้และพบว่าข้อมูลอ้างอิงบางส่วนขัดแย้งกัน

IPV6 ตัวอย่างเช่น RFC4890 กล่าวว่าควรอนุญาตให้ใช้ประเภทต่อไปนี้เพื่อการทำงานที่เหมาะสมที่สุด:

ประเภท 1, 2, 3, 4, 128, 129 และสำหรับความช่วยเหลือในการเคลื่อนย้ายด้วย 144, 145, 146 และ 147.

อย่างไรก็ตามสิ่งนี้ แหล่งที่มา ไม่ได้ระบุว่าต้องการความช่วยเหลือในการเคลื่อนที่: (ละเว้นประเภท 1 และ 4 ด้วย)

ประเภท 128, 129, 2, 3 และสำหรับ NDP และ SLAAC 133, 134, 135, 136 และ 137

ในทางกลับกัน การอ้างอิงเดิมกล่าวว่า NDP และ SLAAC ไม่ต้องการการดูแลเป็นพิเศษตั้งแต่นั้นเป็นต้นมา พวกเขาจะถูกทิ้งอย่างไรก็ตาม. แล้วใครล่ะที่เหมาะสม? เป็นการดีที่สุดที่จะปล่อยให้สิ่งเหล่านี้ที่กล่าวถึงโดยทั้งสองแหล่งอยู่ในด้านที่ปลอดภัย?

IPV4: น่าแปลกใจที่ อ้างอิง ไม่มีคำแนะนำสำหรับ IPv4 แต่อย่างอื่น แหล่งที่มา กล่าวว่าจำเป็นต้องใช้ประเภท 8, 0, 3 และ 11 สำหรับ IPv4 มีข้อมูลอ้างอิงอย่างเป็นทางการที่แนะนำ IPv4 ICMP ใดบ้างที่ควรอนุญาต

อัปเดต: แม้ว่าคำตอบจะดี แต่ฉันคิดว่ามันกว้างเกินไปที่จะยอมรับว่าเป็นวิธีแก้ปัญหาที่แท้จริงสำหรับสิ่งนี้ หากการบล็อกไม่ใช่คำตอบ การจำกัดอัตราจะต้องเป็นวิธีที่เหมาะสมในการให้ระดับการป้องกัน ฉันเชื่อว่าคำตอบพร้อมตัวอย่างโค้ดที่ถูกต้องจะมั่นใจได้มากกว่า

962
0 + 0
Ron Maupin avatar
us flag
Ron Maupin
NDP เป็นโปรโตคอลแบบลิงก์ในเครื่อง ดังนั้นจึงไม่มีการกำหนดเส้นทาง
2
ตอบกลับ
Paul avatar
cn flag
Paul
สิ่งนี้ตอบคำถามของคุณหรือไม่ [ทำไมไม่บล็อก ICMP](https://serverfault.com/questions/84963/why-not-block-icmp?rq=1)
4
ตอบกลับ
in flag
Houman
ใช่ ฉันเปลี่ยนใจแล้ว ฉันจะไม่บล็อกมันเด็ดขาด
3
ตอบกลับ
in flag
Houman
หากต้องการอนุญาตทุกอย่าง ฉันต้องการเพียง `-A INPUT -p icmp -j ACCEPT` และ `-A INPUT -p ipv6-icmp -j ACCEPT` ใช่ไหม ไม่จำเป็นต้องใช้ `-m icmp`? ขอบคุณ
0
ตอบกลับ
cn flag
Bergi
[RFC 5927 *ICMP โจมตี TCP*](https://www.rfc-editor.org/rfc/rfc5927.html) ดูเหมือนจะเกี่ยวข้อง การลดผลกระทบควรนำไปใช้ใน TCP stack อย่างไรก็ตามไม่ใช่ในไฟร์วอลล์จากสิ่งที่ฉันเข้าใจ
1
ตอบกลับ
iBug avatar
um flag
iBug
@Houman `-m icmp` เป็นนัยหากคุณมี `-p icmp` ตัวเลือก `-m` ไม่ใช่ตัว "จับคู่" แต่ดึงสิ่งอำนวยความสะดวกสำหรับการจับคู่ ICMP payload
1
ตอบกลับ
Joseph Sible-Reinstate Monica avatar
in flag
Joseph Sible-Reinstate Monica
"หากการบล็อกไม่ใช่คำตอบ ดังนั้นการจำกัดอัตราจะต้องเป็นวิธีที่เหมาะสมในการให้ระดับการป้องกัน" ทำไมคุณถึงคิดอย่างนั้น?
0
ตอบกลับ
in flag
Houman
@JosephSible-ReinstateMonica ดูคำตอบ
0
ตอบกลับ
Score:10
John Mahowald avatar Server
ธง cn
John Mahowald

ไม่ควรบล็อก ICMP ทั้งหมด ไม่ใช่โดยค่าเริ่มต้น นี่อาจเป็นรายการที่ปฏิเสธแทนที่จะเป็นรายการที่อนุญาต

เริ่มต้นด้วยการจำกัดอัตรา แต่ไม่ใช่การกรอง ICMP

อ่าน RFC 4890 ส่วนที่ 3 ในการพิจารณาด้านความปลอดภัยที่คาดหวัง โดยเฉพาะอย่างยิ่งแพ็กเก็ตการเปลี่ยนเส้นทางการเปลี่ยนเส้นทาง แต่มาตรฐานกำหนดให้เป็นแพ็กเก็ตแบบโลคัลบนลิงก์ การปฏิเสธการให้บริการในปริมาณมาก แต่บ่อยครั้งที่สามารถบรรเทาได้ด้วยอัตราจำกัด อาจจะค้นพบโฮสต์ แต่นั่นไม่ได้เปิดเผยมากนัก ICMP ไม่เป็นอันตรายมาก

0 + 0
in flag
Houman
ขอบคุณ. คุณช่วยยกตัวอย่างการจำกัดอัตราด้วย iptables ได้ไหม ฉันอาจทำสิ่งนี้กับ ICMP ทั้งหมดได้ แต่ฉันมีความรู้สึกไม่ดีว่าฉันอาจทำบางอย่างเสียหาย: `-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT` สถานการณ์ของฉันคือดังต่อไปนี้ ผู้ใช้สามารถเปิดแอปของเรา และแตะที่สถานะเซิร์ฟเวอร์เพื่อดูรายการเซิร์ฟเวอร์ทั้งหมดที่แสดงพร้อมกับ ping ในทางทฤษฎีผู้ใช้หลายคนสามารถทำได้พร้อมกัน จำนวนใดที่จะเป็นขีด จำกัด ที่ถูกต้อง?
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา