ICMP terdiri dari sejumlah besar perintah. Menolak semua itu akan merusak jaringan Anda dengan cara yang aneh.
ICMP memungkinkan hal-hal seperti "traceroute" dan "ping" (permintaan gema ICMP) berfungsi. Dengan demikian bagian itu cukup berguna untuk diagnosa normal. Ini juga digunakan untuk umpan balik ketika Anda menjalankan server DNS (port unreachable) yang, di server DNS modern, sebenarnya dapat membantu memilih mesin yang berbeda untuk meminta lebih cepat.
ICMP digunakan untuk jalur penemuan MTU. Kemungkinannya adalah OS Anda menetapkan "DF" (jangan terpecah-pecah) pada paket TCP yang dikirimkannya. Diharapkan untuk mendapatkan paket ICMP "diperlukan fragmentasi" kembali jika sesuatu di sepanjang jalur gagal menangani ukuran paket tersebut. Jika Anda memblokir semua ICMP, mesin Anda harus menggunakan mekanisme fallback lainnya, yang pada dasarnya menggunakan batas waktu untuk mendeteksi "lubang hitam" PMTU dan tidak akan pernah mengoptimalkan dengan benar.
Mungkin ada beberapa alasan bagus untuk mengaktifkan sebagian besar ICMP.
Sekarang sebagai pertanyaan Anda mengapa menonaktifkan:
Alasan untuk menonaktifkan bagian dari ICMP adalah:
- Perlindungan dari cacing gaya lama yang menggunakan ICMP echo request (alias ping) untuk melihat apakah suatu host masih hidup sebelum mencoba menyerang. Belakangan ini, cacing modern mencobanya, membuatnya tidak lagi efektif.
- Menyembunyikan infrastruktur Anda. Jika Anda ingin melakukan ini, silakan blokir di tepi jaringan Anda. Tidak di setiap komputer. Itu hanya akan menyebabkan admin Anda menarik semua rambut dari kepalanya karena frustrasi ketika terjadi kesalahan dan semua alat analisis normal gagal. (Dalam hal ini: Amazon dapat memblokirnya di ujung awan).
- Serangan penolakan layanan berdasarkan ICMP. Tangani ini sama seperti serangan DOS lainnya: Batas nilai.
- Satu-satunya yang valid: Jika Anda berada di jaringan yang tidak aman, Anda mungkin ingin memblokir atau menonaktifkan router telah mengubah perintah. Obfix: gunakan server Anda di jaringan yang aman.
Perhatikan bahwa ada manual 'pengerasan server' di luar sana yang menyarankan untuk memblokir ICMP. Mereka salah (atau setidaknya tidak cukup detail). Mereka masuk dalam kategori yang sama dengan 'keamanan' nirkabel melalui pemfilteran MAC atau menyembunyikan SSID.