IPv6 - 允許傳入的 ICMP 回應要求
因此,我們最近從 LIR 中獲得了 /48 前綴,並開始在實驗室中進行小規模部署。
令我感到奇怪的是,像http://ipv6-test.com/這樣的網站堅持允許傳入的 ICMP Echo 請求。我明白為什麼你應該允許 ICMPv6 傳出,但傳入?即使它只是一個ping?
所以,我的問題是:除了可能使用 ICMP 的 DDoS 攻擊之外,允許傳入的 ICMP 回應要求是否有任何缺點?
我閱讀了 RFC4890(https://www.ietf.org/rfc/rfc4890.txt),但在那裡找不到明確的答案。
A.5。ICMPv6 迴聲請求和迴聲響應
表明
對精心設計的 IPv6 網路(參見第 3.2 節)進行掃描攻擊並不存在重大風險,因此預設情況下應允許連接檢查。
鑑於 RFC 已有近 10 年的歷史,這一點仍然有效嗎?此外,RFC 不區分傳出方向和傳入方向。
我一直覺得 v4 的建議是在網關上阻止 ICMP,但話說回來,v6 嚴重依賴 ICMP。
那麼,有什麼建議嗎?
第一點不是您問題的直接答案。我只是將它包含在此處以供其他沒有意識到 ICMPv6 重要性的人使用。
IPv6 確實需要某些 ICMP 消息類型才能通過。最重要的是 Packet-Too-Big 和 Parameter-Problem。如果您阻止這些,那麼您將遇到連接問題。
另外:ARP 的 IPv6 等價物是鄰居發現,它也使用 ICMP 數據包。無狀態自動配置是鄰居發現的一部分,因此也需要 ICMP。
在 IPv4 中存在一個誤解,即所有傳入的 ICMP 都應該被阻止,你可以擺脫它。使用 IPv6,您確實需要至少允許一些 ICMP。看看https://www.rfc-editor.org/rfc/rfc4890,它包含一些關於如何在不破壞協議的情況下過濾 ICMP 的非常好的建議。
您的問題的答案 阻止傳入的 ICMP 回應要求很好。我個人不這樣做,因為允許它們使調試更容易,但如果你不想讓它們進入,你不必這樣做。如果您允許他們進入,您面臨的主要風險是,如果有人為您的筆記型電腦找到一個穩定的(非臨時/隱私)地址,那麼他們可以繼續 ping 它以查看它何時打開。這可能被視為隱私風險。不過,他們必須首先找到這樣的地址,因為對於傳出連接,它將使用其臨時隱私地址。