iptables | ICMP的类型:哪些(可能)有害?

Modified on: Tue, 20 Aug 2019 13:40:03 +0800

我读到某些类型的ICMP数据包可能有害。问题:

  • 哪些以及为什么?
  • 我应该如何布局iptables规则集来处理每种类型的ICMP数据包?
  • 我应该对这些类型的ICMP数据包进行速率限制吗?怎么样?

[¹]我读到的类型:重定向(5),时间戳(13)和地址掩码请求(17)。 请不要在答案上考虑这些。

更多信息
它是带有Ubuntu Server的VPS上的Web服务器。

目标
我正在努力使系统更安全,降低一些D / DoS攻击和一般滥用的风险。

相关强>
我的linux防火墙是否安全?
为什么不阻止ICMP?

作者:Community,ML--

最佳答案

听起来你正在成为“ICMP IS EVIL”口头禅的受害者
ICMP NOT 邪恶,只是被误解了。令人遗憾的是,许多管理员担心他们不理解的内容,因此他们将ICMP从他们的网络世界中移出,避开边缘防火墙并阻止其为了网络的利益而采取正确和适当的位置。

话虽如此,让我来解答你的问题:


哪些类型的ICMP邮件可能有害,为什么?
几乎所有这些。

  • Echo数据包可用于中断服务(特别是对于IP堆栈实施严重的系统);合法使用,他们可以提供有关您的网络的信息。

  • Destination Unreachable可以被恶意注入;合法使用它们可以提供有关您的防火墙/路由结构或网络上特定计算机的信息。

  • Source Quench可以被恶意发送,以使您的服务器有效地坐在角落里并吮吸它的拇指。

  • redirect可以顾名思义使用。

  • router advertisementrouter solicitation请求可用于创建“有趣”流量拓扑(并促进MITM攻击),如果您的主机实际关注它们。

  • traceroute 设计以提供网络拓扑信息。

...等... 强>

各种ICMP消息的名称非常详细他们有能力做到。在梦想噩梦般的场景中锻炼你天生的偏执狂: - )


我应该如何布局iptables规则集来处理每种类型的ICMP数据包?
没有充分的理由搞乱ICMP流量,让它独自一人!
搞砸ICMP流量会妨碍ICMP消息的正确使用(流量管理和故障排除) - 它会比帮助更令人沮丧。


我应该对这些类型的ICMP数据包进行速率限制吗?怎么样?
这可能是“让它留下地狱”理念的唯一合法例外 - 速率或带宽限制的ICMP消息可以帮助您逃避ICMP消息的非法使用。 FreeBSD附带ICMP带宽/速率限制默认情况下,我认为Linux具有类似的功能。

速率/带宽限制远远优于丢弃ICMP流量的全面防火墙规则:它仍然允许ICMP在网络上实现其目的,并且还部分减轻了滥用服务器的企图。


以上代表一个系统管理员的意见,他本人的意思是 FREAKIN'厌倦了在所有ICMP流量被删除的情况下发生故障的网络 - 这很烦人,令人沮丧,并且需要更长时间才能找到并解决问题。 : - )

作者:voretaq7

相关问答

添加新评论