Apa tujuan memblokir / menjatuhkan lalu lintas ICMP masuk pada server web publik? Apakah itu biasa untuk diblokir?
Saya harus menguji apakah server dapat diakses dari berbagai lokasi (diuji pada berbagai server yang berlokasi di berbagai negara bagian / negara). Saya mengandalkan ping sebagai metode cepat & andal untuk menentukan apakah server online / dapat diakses jaringan. Setelah tidak menerima respons pada beberapa kotak, saya mencoba menggunakan lynx untuk memuat situs, dan ternyata berhasil.
web-server
icmp
John Himmelman
sumber
sumber
Jawaban:
Belakangan ini cukup umum untuk menjatuhkan ICMP, karena ini adalah metode umum untuk digunakan untuk tujuan Denial of Service. Host dengan bandwidth lebih tinggi atau beberapa host berulang kali melakukan ping pada satu server Web dapat memanfaatkan semua bandwidthnya.
Orang lain mungkin jatuh untuk mengurangi jejak mereka di Internet, sehingga berpotensi diabaikan oleh lalu lintas pemindaian massal.
Meskipun umum, saya berpendapat bahwa itu memberikan nilai kecil dan tidak banyak untuk meminimalkan DoS dan jejak sambil membatasi potensi diagnostik.
sumber
Terlepas dari perlindungan DoS yang meragukan dan profil yang diturunkan, ada alasan umum tetapi diabaikan IP yang diberikan mungkin tidak menanggapi ping: sebenarnya tidak ditugaskan ke antarmuka.
Mengarahkan ulang (port forwarding) IP / protokol / port tupel ke berbagai layanan yang Anda inginkan memberi Anda kepadatan layanan yang lebih besar pada jaringan yang lebih kecil.
Misalnya, anggap ISP Anda merutekan 1.2.3.4/30 ke Anda. Anda punya tiga pilihan:
Cara ketiga semakin umum. Sebagian besar administrator (termasuk saya), ketika mengaturnya, jangan repot-repot mengarahkan ICMP sehingga hanya jatuh di firewall.
sumber
Tidak ada salahnya memblokir ICMP tipe 0 (balasan Echo), tetapi memblokir semua ICMP memecah tanggapan kepada klien jika ada tautan di jalur retun yang memiliki MTU kurang dari Ukuran Segmen Kirim Maksimum dari koneksi TCP. Ini terjadi karena server web tidak dapat lagi menerima paket ICMP tipe 3 kode 4 (Destination Unreachable; Fragmentation Needed dan DF set).
Dalam praktiknya ini tidak terlalu menjadi masalah karena siapa pun yang membutuhkan lalu lintas terowongan juga harus mengatur mekanisme untuk menangani banyak server web yang tumpukan TCP-nya terhambat oleh firewall yang tidak terkonfigurasi.
sumber
Membantu dengan penolakan serangan layanan. Tidak ada alasan nyata untuk memerlukan situs terbuka untuk melakukan ping dari publik.
Plus itu tidak memberikan statistik untuk situs web; satu host atau IP bisa dengan mudah menjawab untuk server penyeimbangan beban server di bagian belakang (ping mysite.com tidak memberi tahu Anda jika semua server bekerja dengan baik di belakang nama.)
Bisa jadi hanya kebijakan perusahaan untuk menghentikan lalu lintas yang tidak perlu, atau hanya mengizinkan lalu lintas port 80 dan SSL untuk dialihkan ke server lain secara internal.
Saya kira pertanyaan lainnya adalah, mengapa repot-repot mengizinkan sistem luar untuk melakukan ping server Anda jika mereka benar-benar tidak perlu?
sumber