ICMP - ябълката на раздора
Много мрежови администратори мислят, че контролните защитна стена съобщения (Internet Control Protocol Съобщение (ICMP) протокол е риск за сигурността и затова винаги трябва да бъде блокирано в защитната стена. Вярно е, че протоколът е някои свързани въпроси на сигурността, както и тази част трябва да бъде блокирано искания . Но това не е причина да се блокират всички ICMP трафик!
ICMP трафик има много важни функции; някои от тях са полезни за отстраняване на неизправности, докато други са необходими за мрежата, за да функционира правилно. По-долу са подробности за някои важни компоненти на протокола ICMP, които трябва да знаете. Необходимо е да се помисли как най-добре да ги премине през вашата мрежа.
Echo Echo и запитване и отговор
IPv4 - искане Echo (Type8, Code0) и Echo отговор (Type0, Code0)
IPv6 - искане Echo (Type128, Code0) и Echo отговор (Type129, Code0)
Всички знаем, че пинг. - един от първите инструменти за отстраняване на неизправности. Да, ако включите вашия оборудване за обработка на пакети ICMP, това означава, че вашият домакин е вече на разположение за откриване, но не и вашия уеб сървър не слуша на порт 80, и не изпраща в отговор на исканията на клиентите? Разбира се, все още блока и тези искания, ако наистина искат ръба на мрежата е вашата DMZ. Но блокира ICMP трафик във вашата мрежа, а не да се засили защитата, от друга страна се системата ненужно сложен процес на отстраняване на проблеми ( "Проверка моля отменено, ако входът към исканията на мрежата?" "Не, но това, което направих не разстроен, защото аз правя Той не казва нищо! ").
Не забравяйте, че можете да се позволи преминаването на заявки в определена посока; например, за да изберете оборудване, така че исканията Echo от вашата мрежа са интернет и Echo отговорите от интернет в мрежата си, но не и обратното.
се изисква Packet фрагментация (IPv4) / пакет е прекалено голям (IPv6)
IPv4 - (Type3, Code4)
IPv6 - (Type2, Code0)
Не фрагмент - ICMP няма да мине!
Прехвърляне на IPv4-битови пакети със Не фрагмент (повечето от тях!) Или IPv6-пакет (не забравяйте, че няма фрагментация на IPv6 рутери), които са твърде големи, за да бъдат изпратени чрез интерфейса, ще доведе до рутера ще се отхвърлят пакета и формата отговор източник предаване с следния ICMP-грешка: изисква фрагментация (Раздробяването Задължително), всеки пакет е твърде голям (пакет твърде голям). Ако отговорите на тези грешки няма да бъдат в състояние да се върне на подателя, че ще тълкува отсъствието на утвърдителен отговор на доставката на пакети ACK (Запознат) от приемника като претоварване / загуба и източника за препредаването на пакети, които ще бъдат спадна.
Трудно е да се установи причината за този проблем и да разреши бързо, процес TCP-ръкостискане обмен (TCP-ръкостискане) работи правилно, тъй като включва в малки опаковки, но веднага след като е налице масово прехвърляне на сесията данни виси като източник на предаване не получава никакви съобщения за грешка.
Проучване на доставката на пакети
RFC 4821 е проектиран да помогне на участниците да прехвърлят на трафика в мрежата, за да заобиколи този проблем с помощта на пакет път изследвания (Path MTU Discovery (PLPMTUD). Стандарт може да открие на максималния размер на данни (Maximum Transmission Unit (MTU). Което може да се предава протокол в една итерация, чрез постепенно увеличаване на максималния размер на полезния блок данни (максимален размер на сегмент (MSS). за да намерите максималното възможно без пакет фрагментация на път от предавателя към приемника. Този функционален Y enshaet зависи от своевременното получаване на контрол отговор Грешка в протокола портал съобщения един (Internet Control Message Protocol (ICMP) и е на разположение в повечето мрежа стека устройства и операционни клиент системи. За съжаление, това не е толкова ефективен, колкото непосредствените данни на максималния възможен размер на предава пакети. Моля, позволяват тези съобщения ICMP протокола обратно към източника на предаване, нали?
време за предаване на пакети Превишение
IPv4 - (Type11, Code0)
IPv6 - (Type3, Code0)
Traceroute - един много полезен инструмент за отстраняване на мрежови връзки между два хоста, подробно всяка стъпка от пътя.
NDP и SLAAC (IPv6)
Път Съблазняване (RS) (Type133, Code0)
Път реклама (RA) (Type134, Code0)
Neighbor Съблазняване (NS) (Type135, Code0)
Съсед Реклама (NA) (Type136, Code0)
Пренасочване (Type137, Code0)
Тези пет типа на ICMP съобщения не трябва да бъдат блокирани в мрежата си (не се вземат под внимание на външния периметър) към IP-базирани протоколи за предаване на данни, за да функционира правилно.
Няколко думи за ограничение на скоростта
Въпреки, че ICMP-съобщения, които са подобни на тези, описани в тази статия могат да бъдат много полезни, не забравяйте, че генерирането на тези съобщения отнема време процесор на рутери и генерира трафик. Наистина ли очаквате, че ще получите 1000 пинг в секунда през защитната стена в една нормална ситуация? Ще се счита за нормален трафик? Вероятно не. Ограничете капацитета на мрежата за тези видове трафик ICMP, както намерите за добре; Тази стъпка може да ви помогнат да защитите вашата мрежа.
Прочетете, изследват и да разберат
Като се има предвид, че дискусията по темата "да блокира или не блокират» ICMP-пакети, винаги води до объркване и препирни, предлагам да продължи проучването тази тема самостоятелно. На тази страница, донесе много връзки, мисля, че за по-пълно разбиране на проблемите трябва да отделите време, за да ги прочете. И за да направят информиран избор за това, което е най-доброто за вашата мрежа.
За повече от 10 години помага на бизнеса, приятели и познати за изграждане на компютърни мрежи и конфигуриране на системи и приложения за бързо и качествено vzamodeystviya.
виж също
Свързани статии