Wofür ist ICMP-Broadcast gut?

12

Um Linux so zu konfigurieren, dass ICMP-Broadcasts ignoriert werden (um es vor SMURF-Angriffen zu schützen), habe ich die folgende Zeile hinzugefügt /etc/sysctl.conf:

net.ipv4.icmp_echo_ignore_broadcasts = 1

Weiß jemand, was die Nachteile des Ignorierens von ICMP-Sendungen sind? Mit anderen Worten, wozu ist ICMP-Broadcast gut?

Brahima
quelle
Wenn Sie speziell von ICMP-Broadcast sprechen, sollte das Ausschalten in Ordnung sein. Die einzige Ausnahme könnte sein, wenn deine Box auch ein Router ist. Die meisten (alle?) RFCs empfehlen, den meisten (alle?) ICMP-Broadcast-Verkehr stillschweigend zu verwerfen.
Dbasnett

Antworten:

12

Die sysctlOption, auf die Sie verwiesen haben, bezieht sich net.ipv4.icmp_echo_ignore_broadcastsnur auf IPv4-ICMP- Echo- Broadcasts. ICMP-Echo- Nachrichten sind die Nachrichten, die vom Befehlszeilentool "ping" verwendet werden. Wenn Sie ICMP- Broadcast- Echoanforderungen ignorieren , reagiert Ihr Computer nicht, wenn jemand versucht, eine Broadcast-Adresse (z. B. 255.255.255.255 oder z. B. 192.168.1.255 in einem 192.168.1.0/24-Subnetz) zu pingen, um alle Hosts zu finden das Netzwerk oder Subnetz zur gleichen Zeit.

Diese spezielle sysctl-Option sollte keine Auswirkung darauf haben, auf Unicast-Pings zu antworten, die direkt an die Unicast-IP-Adresse Ihres Computers gesendet werden. Außerdem ist diese Option nur für ICMP- Echo- Broadcasts verfügbar , sodass sie außer für Echos keine Auswirkungen auf alle anderen Verwendungszwecke von ICMP haben sollte.

Spiff
quelle
1

ICMP-Echo wird allgemein als Ping bezeichnet. Dies ist die einfachste Methode, um festzustellen, ob ein vernetztes System reagiert.

Wenn Sie ICMP-Broadcasts ignorieren, reagieren Ihre Systeme nicht auf Ping-Anfragen und erscheinen auf den ersten Blick für alle, die es nicht anders wussten, nicht oder nicht verfügbar.

Dies ist eine Möglichkeit, Ihr System zu verbergen. Der nächste logische Schritt für einen entschlossenen Eindringling wäre jedoch die Durchführung eines Port-Scans.

Ruairi Fullam
quelle
Danke für die Erklärung. Gibt es einen anderen Effekt beim Blockieren von Broadcasts als das Ignorieren von Ping-Anfragen?
Brahima
Nicht, dass ich es gewusst hätte - Probleme, auf die Sie stoßen, sind wahrscheinlich auf Software oder Geräte zurückzuführen, für die diese Funktionalität verfügbar sein muss. Persönlich würde ich Pings nicht blockieren, von Schlumpfattacken habe ich schon lange nichts mehr gehört.
Ruairi Fullam
Entschuldigung, aber das ist absolut falsch. Durch das Ignorieren von Broadcasts werden Ping-Anforderungen nicht ignoriert. Das Schlüsselwort wird gesendet. Das Ignorieren von ICMP ECHO_REQUESTs ist wirklich ärgerlich und keine Sicherheitsverbesserung. Es sei denn natürlich, Ihre Vorstellung von "Sicherheit" bricht ein ganzes Protokoll, das zur Meldung von Fehlern usw. gedacht ist. Ihr Kommentar ist jedoch korrekt. Vielleicht die Antwort umformulieren? Nur ein Gedanke. Ich denke, Sie meinen, dass es Ping-Anfragen an die Broadcast-Adresse ignorieren würde, aber das ist nicht, was es sagt.
Pryftan