%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F.png)
나는 이것에 대해 많은 연구를 했고 일부 참고문헌이 서로 모순된다는 것을 발견했습니다.
IPV6 예를 들어RFC4890최적의 기능을 위해서는 다음 유형이 허용되어야 한다고 말합니다.
1, 2, 3, 4, 128, 129번을 입력하고 이동 보조용으로는 144, 145, 146, 147번을 입력하세요.
그러나 이것은원천이동 지원이 필요하다고 언급하지 않았습니다. (유형 1과 4도 생략됨)
유형 128, 129, 2, 3 및 NDP 및 SLAAC 133, 134, 135, 136 및 137
반면에 이전 참고인은 NDP와 SLAAC에 특별한 주의가 필요하지 않다고 말했습니다.어차피 그들은 떨어질 거야. 그렇다면 누가 옳습니까? 두 출처에서 언급한 모든 사항을 안전한 측면에 두는 것이 가장 좋습니까?
IPV4: 놀랍게도참조IPv4에 대한 권장 사항은 없지만 다른원천IPv4에는 유형 8, 0, 3 및 11이 필요하다고 말합니다. 어떤 IPv4 ICMP를 허용해야 하는지 권장하는 공식 참조가 있습니까?
업데이트: 대답은 좋지만 이에 대한 실제 해결책으로 받아들이기에는 너무 일반적이라고 생각합니다. 차단이 답이 아닌 경우, 비율 제한은 보호 수준을 제공하는 올바른 방법이어야 합니다. 올바른 코드 샘플을 사용한 답변이 더 확실할 것이라고 생각합니다.
답변1
ICMP를 모두 차단해서는 안 됩니다. 기본적으로는 허용 목록이 아니라 거부 목록일 수 있습니다.
ICMP를 필터링하지 않고 속도 제한으로 시작합니다.
읽다RFC 4890 섹션 3 예상되는 보안 고려 사항에 대해. 특히 방향 전환 패킷을 리디렉션하지만 표준에 따르면 해당 패킷은 링크에서 로컬이어야 합니다. 대량의 서비스 거부는 비율 제한으로 완화될 수 있는 경우가 많습니다. 호스트를 발견할 수도 있지만 그다지 많은 정보는 공개되지 않습니다. ICMP는 그다지 위험하지 않습니다.