ICMPブロードキャストは何に適していますか？

12

（SMURF攻撃から保護するために）ICMPブロードキャストを無視するようにLinuxを構成するには、次の行を追加しました/etc/sysctl.conf。

net.ipv4.icmp_echo_ignore_broadcasts = 1

ICMPブロードキャストを無視することの欠点は何ですか？言い換えれば、ICMPブロードキャストは何に適していますか？

— ブラヒマ
ソース

ICMPブロードキャストについて具体的に説明している場合は、ICMPブロードキャストをオフにしても問題ありません。唯一の例外は、ボックスがルーターでもある場合です。RFCのほとんど（すべて？）は、ほとんど（すべて？）のICMPブロードキャストトラフィックを静かに破棄することを推奨しています。

— dbasnett

12

sysctlあなたは、参照オプションは、net.ipv4.icmp_echo_ignore_broadcastsIPv4のみICMPを扱うエコー放送。ICMPエコーメッセージは、「ping」コマンドラインツールで使用されるメッセージです。ブロードキャストICMPエコー要求を無視することにより、誰かがブロードキャストアドレス（255.255.255.255、または192.168.1.0/24サブネット上の192.168.1.255など）をpingしてすべてのホストを見つけようとしても、マシンは応答しません。同時にネットワークまたはサブネット。

この特定のsysctlオプションは、マシンのユニキャストIPアドレスに直接送信されたユニキャストpingに応答できることに影響を与えません。また、このオプションはICMP エコーブロードキャスト専用であるため、エコー以外のICMPの他のすべての使用には影響しません。

— ぴかぴか
ソース

1

ICMPエコーはより一般的にpingとして知られています。これは、ネットワークシステムが応答するかどうかを判断する最も簡単な方法です。

ICMPブロードキャストを無視することにより、システムはpingリクエストに応答せず、一見すると他の人に知らない人にはダウンしたり、利用できなくなったりします。

システムを隠す方法の1つですが、決心した侵入者にとって次の論理的なステップは、ポートスキャンを実行することです。

— ルアイリ・フラム
ソース

説明してくれてありがとう。ping要求を無視する以外に、ブロードキャストをブロックする別の効果はありますか？

— ブラヒマ

私が知っていることではありません-あなたが遭遇する問題は、おそらくこの機能が利用可能であることを必要とするソフトウェアまたはデバイスのためです。個人的に私はpingをブロックしませんでした、私は長い間スマーフ攻撃のことを聞いていません。

— Ruairi Fullam

申し訳ありませんが、これは間違いです。ブロードキャストを無視しても、ping要求は無視されません。キーワードはブロードキャストされます。ICMP ECHO_REQUESTを無視するのは本当に面倒であり、セキュリティの強化ではありません。もちろん、「セキュリティ」の考えがエラーなどを報告するためのプロトコル全体を破壊している場合を除きます。しかし、あなたのコメントは正しいです。答えを言い換えるかもしれませんか？ちょっとした考え。ブロードキャストアドレスへのpingリクエストを無視すると言っていると思いますが、そうではありません。

— プリフタン