MITM攻撃の可能性があるため、ICMPリダイレクトメッセージはブロックする必要があります。ただし、ICMPリダイレクトメッセージの本来の目的は、より良いルーター(またはゲートウェイ)をホストに通知することです。
次に、ホストでICMPリダイレクトメッセージを無効にすると速度に問題がありますか?それとも無視できますか?
回答:
あなたがホストまたはルータがある場合ICMP再指示が最も頻繁に見られるA二つの他のルータと同じサブネット内のB&Cとの両方への接続を。次のネットワークを検討してください。
|__192.168.1.0/24__|
| | |
|
| |___192.168.8.0/24__|
| | | |
B C
|____|_____|____|
| | |
A
A指している(ほとんどの場合デフォルト)ルートを持つことになりB、そしてBより特定のルートがあります192.168.8.0/24へのポインティングをC。
ICMPリダイレクトがない場合、からAへのすべてのトラフィック192.168.8.0/24がルーティングされますA->B->C
ICMPリダイレクトを有効にBすると、はAそれCがより良いネクストホップであることを通知し、後続のトラフィックがルーティングされA->Cます。
明らかにBは追加のホップであり、Bの種類によっては、追加のレイテンシが発生する可能性があります。
この状況を完全に回避するためにICMPリダイレクトを無効にし、ネットワークを再設計することは、推奨されるソリューションです。
|__192.168.1.0/24__|
| | |
|
| |___192.168.8.0/24__|
| | | |
B-----C
|____|__________|
| | |
A
(または、C完全に削除して、192.168.8.0 / 24を直接オフにしますB)。
ICMPリダイレクトは、信頼の時代の名残です。これは、ネットワーク化されたマシンに管理者がいて、BYODが想像を絶するためでした。
クライアントのリダイレクトを無視すると、効率の悪いゲートウェイを介してリダイレクトが送信され続けます。これにより、そのルーターによる不要な作業、およびそのインターフェイス上の不要なトラフィックが発生し、そのゲートウェイを使用するすべてのユーザーのパフォーマンスがわずかに低下します。
また、各パケットは追加のホップをとる必要があるため、クライアントの待ち時間も増加します。
ただし、一般的なケースでは、現代のネットワークでは、これらの「コスト」はどちらも無視できます。
この問題を解決する理想的な方法は、クライアントにルートを追加して正しいゲートウェイを使用することです。ICMPリダイレクトはそれが自動的に行われる方法を提供しましたが、おそらく信頼されるべきではありません-しかし、それらはより良いルートが存在するという手がかりであり、それらをログに記録することで、おそらくネットワーク管理者に相談した後、そのような変更を検討することができます。
ネットワークを再設計することはおそらく間違っていることです。