আমার সার্ভারে আইসিএমপি নিষিদ্ধ করার কারণগুলি কী কী?


11

একটি ইসি 2 ইনস্ট্যান্সে আইসিএমপি পরিষেবাগুলি ডিফল্টরূপে অক্ষম থাকে। যদিও এটি আমার কাছে সম্পূর্ণ পরিষ্কার নয় তবে আমি মনে করি এটি কারণ এটি একটি সম্ভাব্য সুরক্ষা ঝুঁকি হতে পারে। এই মুহুর্তে আমি যখন সার্ভারটি পুনরায় চালু করছি তখনই আমি ইকো প্রতিক্রিয়াগুলি সক্ষম করছি যাতে এটি চালু হয়ে চলছে কিনা তা আমি দেখতে পারি, তবে এটি অনলাইনে আসার পরে আমি আবার এটি অক্ষম করছি। এটা দরকারি? সাধারণভাবে আইসিএমপি নিষ্ক্রিয় করার কারণগুলি কী কী?

উত্তর:


18

আইসিএমপি কমান্ডের একটি বিশাল সংগ্রহ নিয়ে গঠিত। নামঞ্জুর সব ঐ অদ্ভুত উপায়ে আপনার নেটওয়ার্ক ভঙ্গ করবে।

আইসিএমপি "ট্রেস্রোলেট" এবং "পিং" (আইসিএমপি প্রতিধ্বনি অনুরোধ) এর মতো জিনিসগুলিকে কাজ করার অনুমতি দেয়। সুতরাং সেই অংশটি সাধারণ ডায়াগনস্টিক্সের জন্য বেশ কার্যকর। আপনি যখন কোনও ডিএনএস সার্ভার চালিত করেন তখন প্রতিক্রিয়ার জন্য এটি ব্যবহার করা হয় (পোর্ট অলঙ্ঘনযোগ্য) যা একটি আধুনিক ডিএনএস সার্ভারে আসলে দ্রুত জিজ্ঞাসা করার জন্য একটি ভিন্ন মেশিন নির্বাচন করতে সহায়তা করতে পারে।

আইএমএমপিটি এমটিইউ আবিষ্কারের জন্য ব্যবহৃত হয়। সম্ভাব্যতা হ'ল এটি ওসিপি প্যাকেটে প্রেরণে আপনার ওএস সেটগুলি "ডিএফ" (খণ্ড না)) পথের পাশের কিছু যদি সেই আকারের প্যাকেটটি পরিচালনা করতে ব্যর্থ হয় তবে এটি একটি আইএমএমপি "ফ্রেগমেন্টেশন প্রয়োজনীয়" প্যাকেট ফিরে পাওয়ার প্রত্যাশা করছে। আপনি যদি সমস্ত আইসিএমপি অবরুদ্ধ করেন তবে আপনার মেশিনকে অন্যান্য ফলব্যাক প্রক্রিয়া ব্যবহার করতে হবে, যা মূলত পিএমটিইউ "ব্ল্যাকহোল" সনাক্ত করতে সময়সীমা ব্যবহার করে এবং কখনই সঠিকভাবে অনুকূলিত হবে না।

বেশিরভাগ আইসিএমপি সক্ষম করার জন্য আরও কয়েকটি ভাল কারণ রয়েছে।

এখন আপনার প্রশ্ন হিসাবে কেন অক্ষম করতে হবে:

আইসিএমপি-র অংশটি নিষ্ক্রিয় করার কারণগুলি হ'ল:

  • পুরানো স্টাইলের কৃমি থেকে সুরক্ষা যা কোনও হোস্ট আক্রমণ করার চেষ্টা করার আগে জীবিত ছিল কিনা তা দেখার জন্য আইসিএমপি প্রতিধ্বনি অনুরোধ (ওরফে পিং) ব্যবহার করেছিল। আজকাল, একটি আধুনিক কৃমি যে কোনও উপায়ে এটি চেষ্টা করে, এটি আর কার্যকর করে না।
  • আপনার অবকাঠামো লুকানো হচ্ছে। আপনি যদি এটি করতে চান তবে দয়া করে আপনার নেটওয়ার্কের প্রান্তে এটি ব্লক করুন। প্রতিটি কম্পিউটারে নয়। এটি যখন আপনার কোনও সমস্যা হয়ে যায় এবং সাধারণ বিশ্লেষণের সমস্ত সরঞ্জাম ব্যর্থ হয় তখন হতাশায় আপনার প্রশাসক তার মাথা থেকে সমস্ত চুল টানতে পারে। (এই ক্ষেত্রে: আমাজন এটি মেঘের প্রান্তে ব্লক করতে পারে)।
  • আইসিএমপি ভিত্তিক পরিষেবা আক্রমণ অস্বীকার। এগুলি অন্যান্য ডস আক্রমণগুলির মতোই হ্যান্ডেল করুন: হার সীমা।
  • একমাত্র বৈধ এক: আপনি যদি কোনও অনিরাপদ নেটওয়ার্কে থাকেন তবে আপনি রাউটারটি কমান্ড পরিবর্তন করে বাধা বা নিষ্ক্রিয় করতে চাইতে পারেন। ওফিক্স: নিরাপদ নেটওয়ার্কে আপনার সার্ভারগুলি ব্যবহার করুন।

মনে রাখবেন যে সেখানে 'সার্ভার হার্ডিং' ম্যানুয়াল রয়েছে যা আইসিএমপি ব্লক করার পরামর্শ দেয়। সেগুলি ভুল (বা কমপক্ষে যথেষ্ট বিশদ নয়)। তারা ম্যাক ফিল্টারিং বা এসএসআইডি লুকিয়ে রাখার মাধ্যমে ওয়্যারলেস 'সুরক্ষা' হিসাবে একই বিভাগে পড়ে।


1

আইসিএমপি ব্লকগুলি বেশ কয়েকটি কারণে সম্পন্ন করা হয় তবে বেশিরভাগ ক্ষেত্রে আপনার নেটওয়ার্ক সনাক্ত এবং প্রোফাইল করার চেষ্টা করা প্রোব থেকে তথ্য গোপন করতে। রাউটার এবং প্রকাশ্যে অ্যাক্সেসযোগ্য এন্ড সিস্টেমগুলিতে বিভিন্ন ধরণের আক্রমণ রয়েছে যা শোষণের অংশ হিসাবে আইসিএমপি ট্র্যাফিক ব্যবহার করে।

আপনার ক্ষেত্রে, আপনি সম্ভবত প্রতিধ্বনির প্রতিক্রিয়াগুলি মঞ্জুরি দিতে পারবেন, যদিও এটি আপনাকে আরও প্রোব দ্বারা নজরে আনে। পিং-ভিত্তিক ডিডিওএস এবং স্মুরফ আক্রমণগুলির মতো আক্রমণগুলি আজকাল বেশিরভাগ ক্ষেত্রে প্রশমিত।

http://en.wikipedia.org/wiki/Denial-of-service_attack#ICMP_flood


0

আমি iptablesস্থায়ীভাবে অবরুদ্ধ করার পরিবর্তে আইসিএমপি অনুরোধগুলির বন্যা প্রতিরোধের পরামর্শ দেব :

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/minute --limit-burst 100 -j ACCEPT

-1

ইন্টারনেট মুখোমুখি সার্ভারে আইসিএমপি-র সবচেয়ে বড় ঝুঁকি হ'ল সার্ভিসের অস্বীকৃতি (ডিওএস) আক্রমণ পৃষ্ঠের বৃদ্ধি ক্ষেত্র।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.