Твитнуть
Для кого-то Мес был грозой кидал, для кого-то вечной болью в заднице, для кого-то хорошим или плохим Арбитром. Для кого-то обнальщиком. А для меня в первую очередь весьма понимающим технарем. Я искренне надеюсь что он решит свои сложности и вернется на пллощадку.
Статья о маленькой но давно известной среди технарей дилемме. Статья переводная и перепечатана без изменений. Тенхарям зайдет.
ICMP - это путь, намного больше, чем «traceroute» и «ping». Он используется для обратной связи, когда вы запускаете DNS-сервер (порт недоступен), который на современном DNS-сервере может фактически помочь выбрать другой компьютер для более быстрого запроса.
ICMP также, как было упомянуто выше, используется для обнаружения MTU пути. Скорее всего, ваша ОС устанавливает «DF» (не фрагментирует) на отправляемых TCP-пакетах. Ожидается, что пакет ICMP «требуется фрагментация» вернется, если что-то на пути не сможет обработать пакет такого размера. Если вы заблокируете все ICMP, ваша машина должна будет использовать другие резервные механизмы, которые в основном используют тайм-аут для обнаружения «черной дыры» PMTU и никогда не будут корректно оптимизироваться.
Кроме того, вы должны спросить себя, почему вы хотите заблокировать ICMP. Что конкретно вы пытаетесь здесь предотвратить? Совершенно очевидно, что вы не понимаете, для чего используется ICMP, что довольно часто. Я был бы крайне осторожен в блокировании того, что вы не до конца понимаете.
Чтобы еще сложнее было узнать об этом, многие распространенные книги о брандмауэрах говорят «блокировать ICMP» - ясно, что их авторам никогда не приходилось читать RFC или им приходилось решать вопросы, связанные с такими советами. Это плохой совет, чтобы заблокировать все ICMP.
Теперь ограничение скорости также может повредить. Если ваша машина занята, или даже если это не так, вы можете получить хороший объем ICMP-трафика. Мой веб-сервер, вероятно, получает около 10-100 ICMP-пакетов в минуту, большинство из которых - обнаружение PMTU. Даже если кто-то решит атаковать мой сервер с помощью пакетов ICMP какого-либо типа, это действительно не такая уж большая проблема. Если ваша машина принимает хотя бы одно TCP-соединение (ssh, http, mail и т. Д.), Скорее всего, это больший вектор атаки, чем когда-либо будет неправильно понятый ICMP.
Статья о маленькой но давно известной среди технарей дилемме. Статья переводная и перепечатана без изменений. Тенхарям зайдет.
Блокировка ICMP
ICMP - это путь, намного больше, чем «traceroute» и «ping». Он используется для обратной связи, когда вы запускаете DNS-сервер (порт недоступен), который на современном DNS-сервере может фактически помочь выбрать другой компьютер для более быстрого запроса.
ICMP также, как было упомянуто выше, используется для обнаружения MTU пути. Скорее всего, ваша ОС устанавливает «DF» (не фрагментирует) на отправляемых TCP-пакетах. Ожидается, что пакет ICMP «требуется фрагментация» вернется, если что-то на пути не сможет обработать пакет такого размера. Если вы заблокируете все ICMP, ваша машина должна будет использовать другие резервные механизмы, которые в основном используют тайм-аут для обнаружения «черной дыры» PMTU и никогда не будут корректно оптимизироваться.
Кроме того, вы должны спросить себя, почему вы хотите заблокировать ICMP. Что конкретно вы пытаетесь здесь предотвратить? Совершенно очевидно, что вы не понимаете, для чего используется ICMP, что довольно часто. Я был бы крайне осторожен в блокировании того, что вы не до конца понимаете.
Чтобы еще сложнее было узнать об этом, многие распространенные книги о брандмауэрах говорят «блокировать ICMP» - ясно, что их авторам никогда не приходилось читать RFC или им приходилось решать вопросы, связанные с такими советами. Это плохой совет, чтобы заблокировать все ICMP.
Теперь ограничение скорости также может повредить. Если ваша машина занята, или даже если это не так, вы можете получить хороший объем ICMP-трафика. Мой веб-сервер, вероятно, получает около 10-100 ICMP-пакетов в минуту, большинство из которых - обнаружение PMTU. Даже если кто-то решит атаковать мой сервер с помощью пакетов ICMP какого-либо типа, это действительно не такая уж большая проблема. Если ваша машина принимает хотя бы одно TCP-соединение (ssh, http, mail и т. Д.), Скорее всего, это больший вектор атаки, чем когда-либо будет неправильно понятый ICMP.
Комментарий