Sind ICMP-Weiterleitungsnachrichten wirklich schlecht?

8

Aufgrund der Möglichkeit eines MITM-Angriffs sollten ICMP-Umleitungsnachrichten blockiert werden. Der ursprüngliche Zweck der ICMP-Umleitungsnachricht besteht jedoch darin, den Host über einen besseren Router (oder ein besseres Gateway) zu informieren.

Gibt es dann ein Geschwindigkeitsproblem beim Deaktivieren von ICMP-Umleitungsnachrichten auf dem Host? Oder ist es vernachlässigbar?

icmp Baeharam
quelle
In einem ordnungsgemäß konfigurierten Netzwerk finden keine Weiterleitungen statt und sind nicht erforderlich. Bei strikter Einhaltung von Regeln würde das Paket verworfen - leiten Sie niemals ein Paket über die Schnittstelle weiter, auf der es empfangen wurde, aber das hat seit Jahrzehnten niemand mehr getan. Weiterleitungen können nicht als vertrauenswürdig eingestuft werden, daher werden sie von den meisten Hosts nicht berücksichtigt. Daher konfigurieren die meisten Administratoren ihre Router so, dass sie sich nicht die Mühe machen, sie zu senden.
Ricky Beam

Antworten:

8

ICMP Wieder lenkt werden am häufigsten gesehen , wenn Sie einen Host oder Router Aim selben Subnetz mit zwei anderen Routern B& Cund die Anbindung an beide. Betrachten Sie das folgende Netzwerk:

   |__192.168.1.0/24__|
   | |                |
     |
     |   |___192.168.8.0/24__|
     |   | |                 |
     B     C
|____|_____|____|
|       |       |
        A

AEs wird eine Route (höchstwahrscheinlich eine Standardeinstellung) angezeigt, auf die verwiesen wird B, und Beine spezifischere Route, 192.168.8.0/24auf die gezeigt wird C.

Ohne ICMP-Umleitungen wird der gesamte Datenverkehr von Abis 192.168.8.0/24weitergeleitetA->B->C

Wenn die ICMP-Umleitung aktiviert ist, Bwird informiert, Adass dies Cein besserer nächster Hop ist, und der nachfolgende Datenverkehr wird weitergeleitet A->C.

Offensichtlich ist B ein zusätzlicher Hop und je nachdem, um welche Art von Box es sich handelt, kann dies zu einer zusätzlichen Latenz führen.

Das Deaktivieren von ICMP-Redirects und das Neugestalten des Netzwerks, um diese Situation vollständig zu vermeiden, wäre die bevorzugte Lösung, z.

   |__192.168.1.0/24__|
   | |                |
     |
     |   |___192.168.8.0/24__|
     |   | |                 |
     B-----C
|____|__________|
|       |       |
        A

(oder Cganz entfernen und 192.168.8.0/24 direkt aufhängen B).

Benjamin Dale
quelle
Was Sie dann meinen, ist, dass die Struktur des Netzwerks wichtiger ist als die ICMP-Umleitung?
Baeharam
ICMP Redirect zeigt an, dass es suboptimal ist konfigurierte Routing und versucht , dieses Problem zu beheben - IMO ist dies ein Design - Problem
Benjamin Dale
1
Tatsächlich beseitigt Ihr Redesign nur die Möglichkeit, eine ICMP-Umleitung zur Optimierung der Route zu verwenden. Sie erhalten lediglich eine unvermeidbare A-> B-> C-Route und zurück (!). Ein optimierendes Redesign sollte C entfernen und sein Subnetz / seine Verbindung mit B verbinden.
Zac67
Ja - das ist mir bei der Neugestaltung eingefallen :) Aber ich habe mir gedacht, dass das Entfernen von C die Dinge zu sehr verändert hat - manchmal ist C eine unvermeidbare Anforderung (Anbieter / NTU des 3. Teils für ein anderes Netzwerk usw.)
Benjamin Dale
6

Die ICMP-Umleitung ist ein Überbleibsel aus einer Zeit des Vertrauens - auch weil vernetzte Maschinen Administratoren hatten und BYOD unvorstellbar war.

Wenn Sie die Umleitung auf dem Client ignorieren, wird sie weiterhin über das weniger effiziente Gateway gesendet. Dies führt zu unnötiger Arbeit des Routers und unnötigem Datenverkehr auf seiner Schnittstelle, wodurch die Leistung für alle Benutzer dieses Gateways geringfügig verringert wird.

Dies erhöht auch die Latenz für den Client, da jedes Paket einen zusätzlichen Sprung benötigen muss.

Im allgemeinen Fall sind diese beiden "Kosten" in einem modernen Netzwerk jedoch vernachlässigbar.

Die ideale Möglichkeit, das Problem zu beheben, besteht darin, dem Client eine Route hinzuzufügen, um das richtige Gateway zu verwenden. Die ICMP-Umleitung bot eine Möglichkeit, dies automatisch zu tun, sollte aber wahrscheinlich nicht als vertrauenswürdig eingestuft werden. Sie bleiben jedoch ein Hinweis darauf, dass eine bessere Route vorhanden ist, und die Protokollierung ermöglicht es, eine solche Änderung in Betracht zu ziehen, möglicherweise nach Rücksprache mit den Netzwerkadministratoren.

Eine Neugestaltung des Netzwerks ist wahrscheinlich das Falsche.

JCRM
quelle
Absolut: Manchmal ist die Einfachheit der Konfiguration viel, viel wichtiger als die Paketeffizienz. Ich habe Netzwerke gesehen, in denen das gesamte Routing statisch war, viele "suboptimale" Routen, wenig Verkehr, Konfigurationsfehler nie. Ein glücklicher Netzwerkadministrator hat perfekte statische Routen auf dem zentralen Router beibehalten, und das war's. Beziehen Sie sich immer auf die Prioritäten Ihrer eigenen Organisation. Entwerfen Sie ein Netzwerk auf keinen
Fall
"In einem modernen Netzwerk sind diese beiden" Kosten "vernachlässigbar" - ja, aber nur solange genügend Verbindungsbandbreite vorhanden ist (was Sie möglicherweise in "modern" einbeziehen ;-).
Zac67
Statische Routen auf Hosts? Schauder einfach, ja, aber sehr schwer zu erfassen
Benjamin Dale