मेरे सर्वर पर ICMP को हटाने के क्या कारण हैं?


11

EC2 इंस्टेंस में डिफ़ॉल्ट रूप से ICMP सेवाएँ अक्षम हैं। हालांकि यह मेरे लिए पूरी तरह से स्पष्ट क्यों नहीं है, मुझे लगता है कि यह है क्योंकि यह एक संभावित सुरक्षा जोखिम हो सकता है। फिलहाल मैं इको रिस्पॉन्स को तभी सक्षम कर रहा हूं जब मैं सर्वर को रिस्टार्ट कर रहा हूं ताकि मैं देख सकूं कि क्या यह चल रहा है और चल रहा है, लेकिन एक बार यह ऑनलाइन आ गया तो मैं इसे फिर से डिसेबल कर रहा हूं। क्या ये ज़रूरी हैं? ICMP को सामान्य रूप से अक्षम करने के क्या कारण हैं?

जवाबों:


18

ICMP में आदेशों का एक बड़ा संग्रह होता है। उन सभी को अस्वीकार करने से आपका नेटवर्क अजीब तरीके से टूट जाएगा।

ICMP "ट्रेसरआउट" और "पिंग" (ICMP इको रिक्वेस्ट) जैसी चीजों को काम करने की अनुमति देता है। इस प्रकार यह भाग सामान्य निदान के लिए काफी उपयोगी है। इसका उपयोग प्रतिक्रिया के लिए भी किया जाता है जब आप एक DNS सर्वर (पोर्ट अनुपलब्ध) चलाते हैं, जो एक आधुनिक DNS सर्वर में, वास्तव में तेजी से क्वेरी करने के लिए एक अलग मशीन का चयन करने में मदद कर सकता है।

ICMP का उपयोग पथ MTU खोज के लिए किया जाता है। संभावना टीसीपी पैकेटों पर आपके ओएस सेट "डीएफ" (टुकड़ा मत करो) है। यदि पैकेट के उस आकार को संभालने में विफल रहता है तो यह एक ICMP "विखंडन आवश्यक" पैकेट वापस पाने की उम्मीद कर रहा है। यदि आप सभी ICMP को ब्लॉक करते हैं, तो आपकी मशीन को अन्य फालबैक मैकेनिज्म का उपयोग करना होगा, जो मूल रूप से PMTU "ब्लैक होल" का पता लगाने के लिए एक टाइमआउट का उपयोग करता है और कभी भी सही तरीके से अनुकूलन नहीं करेगा।

अधिकांश ICMP को सक्षम करने के लिए शायद कुछ और अच्छे कारण हैं।

अब आपके सवाल के रूप में क्यों निष्क्रिय करने के लिए:

ICMP के भाग को निष्क्रिय करने के कारण हैं:

  • पुरानी शैली के कीड़े से सुरक्षा जो ICMP प्रतिध्वनि अनुरोध (उर्फ पिंग) का उपयोग करती है यह देखने के लिए कि क्या कोई मेज़बान उस पर हमला करने से पहले जीवित था। इन दिनों, एक आधुनिक कीड़ा इसे वैसे भी आजमाता है, जो अब प्रभावी नहीं है।
  • अपना बुनियादी ढाँचा छुपाना। यदि आप ऐसा करना चाहते हैं, तो कृपया इसे अपने नेटवर्क के किनारे पर ब्लॉक करें। हर एक कंप्यूटर पर नहीं। यह आपके व्यवस्थापक के हताशा में उसके या उसके सिर से सभी बाल खींचने का कारण होगा जब कुछ गलत हो जाता है और सभी सामान्य विश्लेषण उपकरण विफल हो जाते हैं। (इस मामले में: अमेज़न इसे बादल के किनारे पर रोक सकता है)।
  • ICMP के आधार पर सेवा हमलों से इनकार। इन्हें अन्य डॉस हमलों के समान संभालें: दर सीमा।
  • केवल मान्य एक: यदि आप एक असुरक्षित नेटवर्क पर हैं, तो आप राउटर को बदल सकते हैं या निष्क्रिय कर सकते हैं। उपसर्ग: एक सुरक्षित नेटवर्क पर अपने सर्वर का उपयोग करें।

ध्यान दें कि वहां 'सर्वर हार्डिंग' मैनुअल हैं जो ICMP को ब्लॉक करने की सलाह देते हैं। वे गलत हैं (या कम से कम पर्याप्त रूप से विस्तृत नहीं हैं)। वे MAC फ़िल्टरिंग या SSID को छुपाने के माध्यम से वायरलेस 'सुरक्षा' के समान श्रेणी में आते हैं।


1

ICMP ब्लॉक एक दो कारणों से किया जाता है, लेकिन ज्यादातर अपने नेटवर्क को पहचानने और प्रोफाइल करने के लिए जांच के प्रयास से जानकारी छिपाने के लिए। राउटर और सार्वजनिक रूप से सुलभ एंड-सिस्टम पर कई प्रकार के हमले भी होते हैं जो शोषण के हिस्से के रूप में आईसीएमपी यातायात का उपयोग करते हैं।

आपके मामले में, आप संभवतः प्रतिध्वनी प्रतिक्रियाओं की अनुमति दे सकते हैं, हालांकि इसके कारण आपको अधिक जांच द्वारा देखा जा सकता है। इन दिनों पिंग-आधारित डीडीओएस और स्मर्फ हमलों जैसे हमले काफी हद तक कम हो जाते हैं।

http://en.wikipedia.org/wiki/Denial-of-service_attack#ICMP_flood


0

मैं सुझाव दूंगा कि आईसीएमपी अनुरोधों को बाढ़ से रोकने के iptablesबजाय इसे स्थायी रूप से रोक दिया जाए:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/minute --limit-burst 100 -j ACCEPT

-1

इंटरनेट का सामना करने वाले सर्वर पर ICMP का सबसे बड़ा जोखिम डेनियल ऑफ सर्विस (DoS) के हमले के लिए बढ़ा सतह क्षेत्र है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.