"ICMP IS EVIL"만트라에 희생되는 것 같습니다.
ICMP는 하지 악, 단지 오해. 슬픈 사실은 많은 관리자들이 자신이 이해하지 못하는 것을 두려워하여 ICMP를 네트워크 유니버스에서 전송하여 에지 방화벽 수준에서 축소하고 네트워크의 이익을 위해 올바른 장소를 찾지 못하게하는 것입니다.
그 말을하면서 여러분의 질문에 답해 드리겠습니다.
어떤 유형의 ICMP 메시지가 유해 할 수 있으며 그 이유는 무엇입니까?
그들 모두 거의.
Echo
패킷은 서비스를 방해하는 데 사용될 수 있습니다 (특히 IP 스택이 잘못 구현 된 시스템의 경우). 합법적으로 사용하면 네트워크에 대한 정보를 제공 할 수 있습니다.
Destination Unreachable
악의적으로 주입 될 수 있습니다. 합법적으로 사용하면 방화벽 / 라우팅 구조 또는 네트워크의 특정 시스템에 대한 정보를 제공 할 수 있습니다.
Source Quench
서버가 효과적으로 구석에 앉아서 엄지 손가락을 빨도록 악의적으로 전송 될 수 있습니다.
redirect
이름에서 알 수 있듯이 사용할 수 있습니다.
router advertisement
및 router solicitation
요청은 "흥미로운"트래픽 토폴로지를 생성 (및 MITM 공격을 용이하게) 그들에게 당신의 호스트가 실제로 관심을 지불하면 사용할 수 있습니다.
traceroute
되는 디자인 네트워크를 토폴로지 정보를 제공 할 수 있습니다.
…기타...
다양한 ICMP 메시지 의 이름은 그들이 할 수있는 일을 거의 자세히 설명합니다. 악몽 시나리오를 꿈꾸며 타고난 편집증을 행사하십시오 :-)
각 유형의 ICMP 패킷을 처리하기 위해 iptables 규칙 세트를 어떻게 배치해야합니까?
ICMP 트래픽을 망칠만한 충분한 이유가 없다면, 그냥 내버려 두십시오!
ICMP 트래픽을 다루는 것은 ICMP 메시지의 적절한 사용을 방해합니다 (트래픽 관리 및 문제 해결). 도움이되는 것보다 더 실망 할 것입니다.
이러한 유형의 ICMP 패킷을 속도 제한해야합니까? 그리고 어떻게?
이것은 "지옥 만 남길"철학에 대한 유일한 예외 일 수 있습니다. 속도 또는 대역폭 제한 ICMP 메시지는 ICMP 메시지의 불법적 인 사용을 피하는 데 도움이 될 수 있습니다. FreeBSD 는 기본적 으로 ICMP Bandwidth / Rate Limiting 과 함께 제공되며 Linux는 비슷한 기능을 가지고 있다고 가정합니다.
ICMP 트래픽을 삭제하는 블랭킷 방화벽 규칙보다 속도 / 대역폭 제한이 훨씬 바람직합니다. ICMP가 여전히 네트워크에서 ICMP의 목적을 달성 할 수있게하고 서버 악용 시도를 부분적으로 완화합니다.
위의 내용은 한 시스템 관리자의 의견이며, 모든 ICMP 트래픽이 발생하는 곳에서 문제를 해결하는 데 어려움을 겪고있는 sysadmin의 의견을 나타냅니다 . :-)