Apakah pesan ICMP Redirect benar-benar buruk?

8

Karena potensi serangan MITM, pesan pengalihan ICMP harus diblokir. Namun, tujuan asli dari pesan pengalihan ICMP adalah untuk memberi tahu host dari router (atau gateway) yang lebih baik.

Lalu, apakah ada masalah kecepatan dengan menonaktifkan pesan pengalihan ICMP di host? Atau bisa diabaikan?

icmp baeharam
sumber
Di jaringan yang dikonfigurasi dengan benar, pengalihan tidak terjadi dan tidak perlu. Ketaatan yang ketat pada aturan akan melihat paket turun - tidak pernah meneruskan paket keluar dari antarmuka yang diterima, tetapi tidak ada yang melakukan itu selama beberapa dekade. Pengalihan tidak dapat dipercaya, sehingga sebagian besar host tidak menghormati mereka, sehingga sebagian besar admin mengonfigurasi router mereka agar tidak repot mengirimnya.
Ricky Beam

Jawaban:

8

Arahan ulang ICMP paling sering terlihat ketika Anda memiliki host atau router Adi subnet yang sama dengan dua router lain B& Cdan konektivitas untuk keduanya. Pertimbangkan jaringan berikut:

   |__192.168.1.0/24__|
   | |                |
     |
     |   |___192.168.8.0/24__|
     |   | |                 |
     B     C
|____|_____|____|
|       |       |
        A

Aakan memiliki rute (kemungkinan besar default) yang menunjuk B, dan Bakan memiliki rute yang lebih spesifik ke 192.168.8.0/24menunjuk C.

Tanpa pengalihan ICMP, semua lalu lintas dari Ake 192.168.8.0/24akan dialihkanA->B->C

Dengan mengaktifkan kembali ICMP, Bakan menginformasikan Abahwa itu Cadalah hop berikutnya yang lebih baik dan lalu lintas berikutnya akan dialihkan A->C.

Jelas B adalah lompatan ekstra dan tergantung pada jenis kotaknya, B dapat menimbulkan latensi ekstra.

Menonaktifkan ICMP-Redirect dan mendesain ulang jaringan untuk menghindari situasi ini sepenuhnya akan menjadi solusi yang disukai misalnya:

   |__192.168.1.0/24__|
   | |                |
     |
     |   |___192.168.8.0/24__|
     |   | |                 |
     B-----C
|____|__________|
|       |       |
        A

(atau hapus Cseluruhnya dan gantung 192.168.8.0/24 secara langsung B).

Benjamin Dale
sumber
Lalu, apa yang Anda maksud adalah bahwa struktur jaringan lebih penting daripada pengalihan ICMP?
baeharam
Redirect ICMP menunjukkan bahwa ada perutean sub-optimal yang dikonfigurasi dan mencoba untuk menyelesaikan ini - IMO ini adalah masalah desain
Benjamin Dale
1
Sebenarnya, desain ulang Anda hanya menghilangkan kemungkinan menggunakan pengalihan ICMP untuk mengoptimalkan rute - semua yang Anda dapatkan adalah rute A-> B-> C yang tak terhindarkan dan kembali (!). Desain ulang yang optimal harus menghapus C dan menghubungkan subnet / tautannya ke B.
Zac67
Ya - ini memang terpikir oleh saya ketika saya sedang mendesain ulang :) Tapi saya pikir bahwa menghapus C mungkin telah mengubah banyak hal - kadang-kadang C mungkin merupakan persyaratan yang tidak dapat dihindari (penyedia / NTU bagian 3 ke jaringan lain, dll.)
Benjamin Dale
6

Redirect ICMP adalah sisa dari era kepercayaan - sebagian karena mesin jaringan memiliki administrator dan BYOD tidak terbayangkan.

Mengabaikan pengalihan pada klien berarti akan terus dikirim melalui gateway yang kurang efisien. Ini akan menyebabkan pekerjaan yang tidak perlu oleh router itu, dan lalu lintas yang tidak perlu pada antarmuka, sedikit mengurangi kinerja untuk semua orang yang menggunakan gateway itu.

Ini juga akan meningkatkan latensi untuk klien, karena setiap paket harus mengambil hop tambahan.

Namun, dalam kasus umum, pada jaringan modern kedua "biaya" ini akan diabaikan.

Cara ideal untuk menyelesaikan masalah adalah agar rute ditambahkan pada klien untuk menggunakan gateway yang benar. Pengalihan ICMP memberikan cara agar hal itu terjadi secara otomatis, tetapi mungkin tidak boleh dipercaya - tetapi mereka tetap merupakan petunjuk bahwa ada rute yang lebih baik, dan mencatatnya memungkinkan seseorang untuk mempertimbangkan untuk membuat perubahan seperti itu, mungkin setelah berkonsultasi dengan administrator jaringan.

Mendesain ulang jaringan mungkin adalah hal yang salah untuk dilakukan.

JCRM
sumber
Tentu: Kadang-kadang kesederhanaan konfigurasi jauh, jauh, lebih penting daripada efisiensi paket. Saya telah melihat jaringan di mana semua perutean bersifat statis, banyak rute "suboptmal", lalu lintas rendah, kesalahan konfigurasi tidak pernah. Admin jaringan yang senang menyimpan rute statis sempurna pada router pusat dan hanya itu. Selalu jaga referensi untuk prioritas organisasi Anda sendiri. Tentu saja jangan mendesain ulang jaringan kecuali ada masalah aktual
jonathanjo
"pada jaringan modern kedua" biaya "ini akan diabaikan" - ya, tetapi hanya selama ada bandwidth tautan yang cukup (yang mungkin Anda sertakan dalam "modern" ;-).
Zac67
Rute statis pada host? gemetar sederhana, ya, tapi sangat sulit ditangkap
Benjamin Dale