限制ICMP的利弊

Question

我正在配置Config Server防火墙，这里是ICMP的默认配置。我在互联网上读到，禁用或限制ICMP会给您的服务器带来巨大的麻烦。不过，我也读过，它可以帮助防止一些时候的DDOS。

你认为我应该给利率上限吗?如果是的话，按什么费率计算？

# Allow incoming PING
ICMP_IN = "1"

# Set the per IP address incoming ICMP packet rate
# To disable rate limiting set to "0"
ICMP_IN_RATE = "1/s"

# Allow outgoing PING
ICMP_OUT = "1"

# Set the per IP address outgoing ICMP packet rate (hits per second allowed),
# e.g. "1/s"
# To disable rate limiting set to "0"
ICMP_OUT_RATE = "0"

Answer 1

是的- ICMP是一个重要的协议。从pings到traceroutes到网络不可达的所有内容都是以ICMP消息的形式传递的。将其与某些应用程序结合起来，在建立连接性和其他不太合适的技术实现之前，首先尝试"ping“，您可能会发现有大量的ICMP消息在使用中。

我不建议仅将限制速率的ICMP作为一种DDoS保护。在不诉诸ICMP的情况下，有许多其他有效的方法来DDoS您的系统。类似地，如果有人决定淹没您的网络，那么“如何”就不再重要了(即ICMP、UDP、TCP半开放)。尽管如此，可能有很好的理由限制ICMP的利率。如果您决定阻止或限制ICMP，那么我建议建立一个基线并从那里进行调整。同时，记录和交流这样的变化，因为当事情开始破裂时，大多数人都不会三思ICMP。