Server » allgemein » Sicherheit

ID #1079

"ping" blockieren?

Frage: Kann ich "ping" blockieren, sollte ich "ping" blockieren?

Antwort: Ja. Nein.


Zum "nein" etwas ausführlicher:

Filterst du evt. ICMP incoming? Du solltest kein ICMP filtern, solange du nicht ganz genau weisst, was du da tust und welche Auswirkungen das im einzelnen hat. Das (leider immer mehr in Mode kommende) "stealth" ist im Grunde nur Marketinggeschwafel und "versteckt" den entsprechenden Rechner keineswegs. Wenn man Wert auf funktionierendes Internet legt, sollte man im Zweifelsfall auf das filtern von ICMP generell verzichten (Ausnahmen sind nur Dinge wie "ICMP redirect" ausfiltern, sofern der IP-Stack kaputt ist und redirects fuer Adressen im internen Netz auch *von* extern oder *zu* *externen* *Adressen* annehmen sollte). Wer ICMP filtert, sollte sich *wirklich* *gut* damit auskennen.

Juergen Ilse (juer...@usenet-verwaltung.de)

Mi 10 Mär. 2004, Newsgroup de.comp.os.unix.apps.misc


Wenn du grundsaetzlich alle ICMP-Pakete blockst, funktioniert AFAIK die "Path MTU Discovery" nicht mehr, und ggfs. musst du mit Performance-Einbussen bei der Uebertragung groesserer Datenmengen rechnen.
Ggfs. gibt es auch noch weitere Probleme (z.B. laeuft ein Connection-Versuch von aussen grundsaetzlich in einen Timeout statt abgewiesen zu werden, auch bei "ident" Anfragen eines FTP- oder IRC-Servers, was dann DICH aufhaelt). Wenn du nur nicht auf pings antworten willst, solltest du nur ICMP-Echo-Replys blocken (allerdings wird kaum jemand einen Host-Scan ernsthaft per ping durchfuehren, wenn er es auf Angriffe angelegt hat, er wird den "Zielport" seines Angriffs verwenden...).

Jürgen Ilse, 11 Jan. 2001 (Message-ID)


Man muss nicht zwingend jede ICMP-Echo-Anfrage beantworten, wenn man von solchen geflutet wird. Bei einigen Linux-Kerneln kann man via Schreibzugriff auf /proc/sys/net/ipv4/icmp_echoreply_rate den entsprechenden Parameter setzen (oder per sysctl-Aufruf). Viele Systeme bieten solche (RFC-konformen) Moeglichkeiten, die von dir beschriebene Attacke nicht ganz so leicht moeglich zu machen (per Default gibt es AFAIK auch bei vielen Routern derartige Beschraenkungen).

Jürgen Ilse, 12. Nov. 2003 (Message-ID)


weitere ausführliche Diskussion


Was man nicht filtern sollte:
ICMP typ 3 (DEST UNREACHABLE)
ICMP typ 4 (SOURCE QUENCH)
ICMP typ 11 (TTL EXCEEDED)
ICMP typ 12 (PARAMETER PROBLEM)

Was man nicht unbedingt filtern will:
ICMP typ 0 (ECHO REPLY)

Was man evtl von aussen filtern moechte:
ICMP typ 8 (ECHO REQUEST)

Welche ICMP typ 3 codes man auf gar keinen Fall filtern moechte:
0,1,2,3,4,6,7,9,10,11,12,13,14,15

Welchen ICMP typ man evtl nicht filtern moechte, wenn man auf REDIRECT
reagieren will (kommt aufs setup an!): 5

Juergen P. Meier

de.comm.internet.routing 28. Dez. 2001


Wer einfach nur wissen will, wie oft denn sein Server angepingt wird, der kann "icmpinfo" protokollieren lassen.

Einfachster Weg: "/etc/init.d/boot.local" wird ergänzt um die Zeile

       /usr/sbin/icmpinfo -n -vv | grep -v Reply | grep -v "< 127" >> /var/log/icmp.log & disown

Nach dem nächsten Start des Servers wird allemal protokolliert; wer nicht solange warten will, der gibt die obige Befehlszeile einmal von Hand ein.


Wenn "ping" blockiert ist, dann kann auch die MTU (so etwa die Paketgrösse) bei DSL-Verbindungen nicht angepasst werden: MTU-Wiki, MTU-Mini-FAQ

Tags: -

Verwandte Artikel:

Letzte Änderung der FAQ: 2007-03-05 14:17
Autor: Helmut Hullen
Revision: 1.1

Digg it! Share on Facebook FAQ ausdrucken FAQ weiterempfehlen Als PDF-Datei anzeigen
Übersetzungsvorschlag für Übersetzungsvorschlag für
Bewertung der Nützlichkeit dieser FAQ:

Durchschnittliche Bewertung: 4.47 (15 Abstimmungen)

vollkommen überflüssig 1 2 3 4 5 sehr wertvoll

Kommentieren nicht möglich