ICMP详细分析

发布网友 发布时间：2024-10-18 21:53

我来回答

共1个回答

热心网友 时间：2024-11-19 21:32

针对每个ICMP消息类型的过滤规则的详细分析如下：

Echo Request和Reply（类型8和0）：

允许Echo Request消息出站，以便内部用户可以PING一个远程主机。阻止入站Echo Request和出站Echo Reply，以防止外部网络的主机对内部网络进行扫描。若使用外部网络监视器监视内部网络，则应仅允许来自特定外部IP的Echo Request进入您的网络。限制ICMP Echo包大小可防止“Ping Floods”攻击，并阻止利用Echo Request和Reply偷运数据通过防火墙的木马程序。

Destination unreachable （类型3）：

允许其入站，以便内部网用户可以使用traceroute。注意，攻击者可能利用它进行针对会话的DoS攻击。若曾遭受此类攻击，则可阻止它。阻止出站的ICMP Destination unreachable消息，以免泄露内部网络的结构。但对允许外部网络通过TCP访问的内部主机发出的Destination unreachable，则应允许通过。为了支持“Path MTU Discovery”，应允许出站的“Packet Too Big”消息（类型3，代码4）到达这些主机。

Source quench（类型4）：

阻止其入站，因为它可能作为DoS攻击手段，降低发送者的发送速度。允许其出站，以便内部主机能够控制发送端发送数据的速度。有些防火墙会忽略所有直接发送到防火墙端口的Source Quench消息，以防针对于防火墙的DoS攻击。

Redirect（类型5，9，10）：

Redirect、Router announcement、Router selection（类型5，9，10）：这些消息均存在潜在危险，因为它们可能被用来重定向数据到攻击者的机器。这些消息都应被阻止。

TTL exceeded（类型11）：

允许其进站，以便内部用户可以使用traceroute。“firewalking”可能使用很低的TTL值对网络进行扫描，甚至可能通过防火墙对内网进行扫描，因此应禁止其出站。一些防火墙可以阻止TTL值小于设定值的数据包进入防火墙。

Parameter problem（类型12）：

禁止其入站和出站。通过使用能够进行数据包一致性检查的防火墙，错误和恶意的数据包都会被阻塞。

ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。