À quoi sert la diffusion ICMP?

12

Pour configurer Linux pour ignorer les diffusions ICMP (pour se protéger des attaques SMURF), j'ai ajouté la ligne suivante à /etc/sysctl.conf:

net.ipv4.icmp_echo_ignore_broadcasts = 1

Quelqu'un sait-il quels sont les inconvénients d'ignorer les diffusions ICMP? En d'autres termes, à quoi sert la diffusion ICMP?

brahima
la source
Si vous parlez spécifiquement de la diffusion ICMP, la désactiver devrait être OK. La seule exception pourrait être si votre box est également un routeur. La plupart (tous?) Des RFC recommandent que la plupart (tous?) Du trafic de diffusion ICMP soient éliminés en silence.
dbasnett

Réponses:

12

L' sysctloption que vous avez référencée net.ipv4.icmp_echo_ignore_broadcastsne concerne que les diffusions d' écho ICMP IPv4 . Les messages d' écho ICMP sont les messages utilisés par l'outil de ligne de commande "ping". En ignorant les demandes d' écho ICMP de diffusion , votre ordinateur ne répondra pas lorsque quelqu'un tentera d'envoyer une requête ping à une adresse de diffusion (telle que 255.255.255.255, ou, par exemple, 192.168.1.255 sur un sous-réseau 192.168.1.0/24) pour trouver tous les hôtes sur le réseau ou le sous-réseau en même temps.

Cette option sysctl particulière ne devrait pas avoir d'effet pour pouvoir répondre aux pings unicast envoyés directement à l'adresse IP unicast de votre machine. De plus, cette option est uniquement pour les diffusions d' écho ICMP , donc elle ne devrait pas avoir d'effet sur toutes les autres utilisations d'ICMP à part les échos.

Spiff
la source
1

L'écho ICMP est plus communément appelé ping, le moyen le plus simple de déterminer si un système en réseau est réactif.

En ignorant les diffusions ICMP, votre (vos) système (s) ne répondra pas aux requêtes ping et à première vue apparaîtra ou sera indisponible pour toute personne qui ne savait pas le contraire.

C'est une façon de cacher votre système, mais la prochaine étape logique pour un intrus déterminé serait d'effectuer une analyse de port.

Ruairi Fullam
la source
Merci pour l'explication. Y a-t-il un autre effet du blocage des émissions, autre que l'ignorance des requêtes ping?
brahima
Pas que je sache - tout problème que vous rencontrerez sera probablement dû au fait que des logiciels ou des périphériques nécessitant cette fonctionnalité sont disponibles. Personnellement, je ne bloquerais pas les pings, je n'ai plus entendu parler d'attaques de schtroumpfs depuis longtemps.
Ruairi Fullam
Désolé mais c'est absolument faux. Ignorer les diffusions n'ignore pas les requêtes ping. Le mot-clé est diffusé. Et ignorer ICMP ECHO_REQUESTs est vraiment ennuyeux et pas une amélioration de la sécurité. À moins bien sûr que votre idée de «sécurité» ne brise tout un protocole destiné à signaler les erreurs, etc. Votre commentaire est cependant correct. Peut-être reformuler la réponse? Juste une pensée. Je pense que vous voulez dire qu'il ignorerait les requêtes ping à l'adresse de diffusion, mais ce n'est pas ce qu'il dit.
Pryftan