ICMP состоит из большой коллекции команд. Запрет на все это может привести к поломке вашей сети странным образом.
ICMP позволяет работать таким вещам, как «traceroute» и «ping» (эхо-запрос ICMP). Таким образом, эта часть весьма полезна для нормальной диагностики. Он также используется для обратной связи при запуске DNS-сервера (порт недоступен), который на современном DNS-сервере может фактически помочь выбрать другой компьютер для более быстрого запроса.
ICMP используется для обнаружения MTU пути. Скорее всего, ваша ОС устанавливает "DF" (не фрагментирует) на отправляемых TCP-пакетах. Ожидается, что ICMP-пакет «требуется фрагментация» вернется обратно, если что-то на пути не сможет обработать пакет такого размера. Если вы заблокируете все ICMP, ваша машина должна будет использовать другие резервные механизмы, которые в основном используют тайм-аут для обнаружения «черной дыры» PMTU и никогда не будут правильно оптимизированы.
Вероятно, есть еще несколько веских причин для включения большей части ICMP.
Теперь, как ваш вопрос, почему отключить:
Причины отключения части ICMP:
- Защита от червей старого стиля, которые использовали эхо-запрос ICMP (он же ping), чтобы увидеть, был ли хост жив, прежде чем пытаться атаковать его. В наши дни современный червь все равно пробует его, делая его уже неэффективным.
- Сокрытие вашей инфраструктуры. Если вы хотите сделать это, пожалуйста, заблокируйте его на границе вашей сети. Не на каждом компьютере. Это приведет к тому, что ваш администратор в отчаянии выдернет все волосы со своей головы, когда что-то пойдет не так, и все обычные инструменты анализа выйдут из строя. (В этом случае: Amazon может заблокировать его на краю облака).
- Атаки отказа в обслуживании на основе ICMP. Относитесь к ним так же, как к другим атакам DOS: ограничение скорости.
- Единственное действительное: если вы находитесь в небезопасной сети, вы можете заблокировать или отключить команду изменил маршрутизатор. Обфикс: используйте свои серверы в безопасной сети.
Обратите внимание, что существуют руководства по усилению защиты серверов, которые советуют блокировать ICMP. Они не правы (или, по крайней мере, недостаточно подробны). Они попадают в ту же категорию, что и беспроводная «безопасность» через фильтрацию MAC или скрытие SSID.