%20%D0%BD%D0%B5%20%D1%81%D0%BB%D0%B5%D0%B4%D1%83%D0%B5%D1%82%20%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D1%82%D1%8C%3F.png)
Я провел много исследований по этому вопросу и обнаружил, что некоторые ссылки противоречат друг другу.
ИПВ6 НапримерRFC4890говорит, что для оптимальной функциональности должны быть разрешены следующие типы:
Тип 1, 2, 3, 4, 128, 129, а для помощи при передвижении также 144, 145, 146 и 147.
Однако этоисточникне упоминается, что требовалась помощь в передвижении: (также пропущены типы 1 и 4)
Тип 128, 129, 2, 3 и для NDP и SLAAC 133, 134, 135, 136 и 137
С другой стороны, в предыдущей ссылке говорилось, что НДП и SLAAC не нуждаются в особом внимании, посколькуони будут удалены в любом случае. Так кто же прав? Лучше ли позволить всем этим упомянутым обоими источниками быть на всякий случай?
IPv4: Удивительно, носсылкане имеет никаких рекомендаций для IPv4, но другиеисточникговорит, что для IPv4 необходимы типы 8, 0, 3 и 11. Есть ли какие-либо официальные рекомендации, которые рекомендуют, какие IPv4 ICMP следует разрешить?
ОБНОВЛЯТЬ: Хотя ответ хорош, я нахожу его слишком общим, чтобы принять его как реальное решение этой проблемы. Если блокировка не является ответом, то ограничение скорости должно быть правильным способом обеспечить уровень защиты. Я считаю, что ответ с правильным примером кода был бы более убедительным.
решение1
Не следует блокировать все ICMP. По умолчанию нет, это может быть список запретов, а не список разрешений.
Начните с ограничения скорости, но не фильтрации ICMP.
ЧитатьRFC 4890 раздел 3 по ожидаемым соображениям безопасности. В частности, перенаправление перенаправленных пакетов, но стандарт требует, чтобы они были локальными, на линии связи. Отказ в обслуживании при большом объеме, но часто это можно смягчить ограничениями скорости. Возможно, обнаружение хостов, но это не раскрывает многого. ICMP не очень опасен.