ICMP協議是什麼意思,ICMP有哪些防護措施?
ICMP是“Internet Control Message Protocol”(Internet控制消息協議)的縮寫。它是TCP/IP協議族的一個子協議,用於在IP主機、路由器之間傳遞控制消息。控制消息是指網絡通不通、主機是否可達、路由是否可用等網絡本身的消息。這些控制消息雖然並不傳輸用户數據,但是對於用户數據的傳遞起着重要的作用。
我們在網絡中經常會使用到ICMP協議,只不過我們覺察不到而已。比如我們經常使用的用於檢查網絡通不通的Ping命令,這個“Ping”的過程實際上就是ICMP協議工作的過程。還有其他的網絡命令如跟蹤路由的Tracert命令也是基於ICMP協議的。
ICMP防護措施介紹:
ICMP最初開發出來是為了"幫助"網絡,經常被廣域網管理員用作診斷工具。但今天各種各樣的不充分的ICMP被濫用,沒有遵守RFC 792原先制訂的標準,要執行一定的策略可以讓它變得安全一些。
入站的ICMP時間標記(Timestamp)和信息請求(Information Request)數據包會得到響應,帶有非法或壞參數的偽造數據包也能產生ICMP參數問題數據包,從而允許另外一種形式的主機搜尋。這仍使得站點沒有得到適當保護。
以祕密形式從主方到客户方發佈命令的一種通用方法,就是使用ICMP Echo應答數據包作為載波。 回聲應答本身不能回答,一般不會被防火牆阻塞。
首先,我們必須根據出站和入站處理整個的"ICMP限制"問題。ICMP回聲很容易驗證遠程機器,但出站的ICMP回聲應該被限制只支持個人或單個服務器/ICMP代理(首選)。
如果我們限制ICMP回聲到一個外部IP地址(通過代理),則我們的ICMP回聲應答只能進入我們網絡中預先定義的主機。
重定向通常可以在路由器之間找到,而不是在主機之間。防火牆規則應該加以調整,使得這些類型的ICMP只被允許在需要信息的網際連接所涉及的'路由器之間進行。
建議所有對外的傳輸都經過代理,對內的ICMP傳輸回到代理地址的時候要經過防火牆。這至少限制了ICMP超時數據包進入一個內部地址,但它可能阻塞超時數據包。
當ICMP數據包以不正確的參數發送時,會導致數據包被丟棄,這時就會發出ICMP參數出錯數據包。主機或路由器丟棄發送的數據包,並向發送者回送參數ICMP出錯數據包,指出壞的參數。
總的來説,只有公開地址的服務器(比如Web、電子郵件和FTP服務器)、防火牆、聯入因特網的路由器有真正的理由使用ICMP與外面的世界對話。如果調整適當,實際上所有使用進站和出站ICMP的隱密通訊通道都會被中止。
-
正確配置路由
在沒有其他路由器的網絡上,對網絡接口上流出的廣播通信進行路由毫無意義。這對你的路由器資源使用來説,其效率都是非常低下的。下面跟YJBYS小編來看看如何通過使用passive-interface命令,來更好的進行帶寬控制。要想正確的配置路由協議,passive-interface命令絕對...
-
手機如何修改tplink路由器wifi密碼
手機如何修改tplink路由器wifi密碼現在使用無線路由器已經很普遍了,無線路由器用起來比較方便。那麼如何使用手機修改無線路由器密碼呢?下文將為大家介紹,歡迎閲讀!1打開手機的任意一款手機瀏覽器2在瀏覽器地址欄中輸入回車,部分路由器(如tenda/'target='...
-
EIGRP帶寬實例配置
EIGRP路由信息在默認情況下佔用接口帶寬的50%,而串行接口默認的帶寬為T1(1.544M),但在實際上串行接口的帶寬並不是默認值,這裏我們按照需求修改接口的帶寬並修改EIGRP佔用帶寬的百分比例。拓撲圖如下:修改帶寬佔用比:R1(config)#interfaces0/0R1(config-if)#bandwid...
-
網絡技術在教學中的作用
隨着科學技術的不斷髮展,網絡技術也不斷的更新,它在社會各領域都得到廣泛的應用。下面YJBYS小編為大家搜索整理了關於網絡技術在教學中的作用,歡迎參考閲讀,希望對大家有所幫助!想了解更多相關信息請持續關注我們應屆畢業生培訓網!一、什麼是計算機網絡環境下的教...