ICMP параметры интерфейса

ICMP параметры интерфейса

Для каждого интерфейса можно задать ряд параметров влияющих на работу ICMP протокола. Все команды ниже вводятся в контекстном режиме настройки интерфейса EcoRouter(config-if)#.

• Команда icmp redirects включает, а команда no icmp redirects выключает отправку ICMP redirect-сообщений.

ICMP redirect-сообщения используются для информирования отправителя о том, что он должен отправлять пакеты не через текущий маршрутизатор, а по другому, более оптимальному маршруту. Это происходит в случае, если маршрутизатор обнаруживает, что существует более короткий путь к адресу получателя или следующему узлу и этот адрес находится за L3 интерфейсом через который пришёл пакет.

• Команда icmp ttl-exceeded включает, а команда no icmp ttl-exceeded отключает отправку “ttl-exceeded” — сообщений.

EcoRouter отбрасывает транзитные (не адресованный непосредственно данному маршрутизатору) пакеты с истёкшим “временем жизни” TTL (Time To Live) , т.е. TTL ⩽ 1 и по умолчанию отправляет источнику пакета сообщение о том, что TTL истёк.

Более гибкая настройка работы с TTL возможна с помощью правил списков доступа, как это описано в пункте “Настройка L3 filter-map” раздела “Списки доступа”.

• Команда icmp unreachables включает, а команда no icmp unreachables отключает отправку сообщений о недоступности (unreachables).

Сообщения о недоступности отправляются маршрутизатором для уведомления отправителя о том, что пакет данных не может быть доставлен в указанное место назначения. Недоступными могут быть: сеть, конкретный хост, протокол или порт.

Готовность маршрутизатора отправлять сообщения даёт злоумышленникам возможность для атак с помощью массированной отправки на роутер пакетов с которыми ему нужно что-то сделать:

• пакетов по которым заранее известен более оптимальный маршрут, чтобы маршрутизатор отвечал сообщениями redirects,
• пакетов с TTL ⩽ 1, чтобы маршрутизатор отвечал сообщениями ttl-exceeded (“TTL expiry attack”),
• пакетов с недостижимым адресом назначения, чтобы маршрутизатор отвечал сообщениями unreachables.

Цель подобных “рассылок” проста — вынудить маршрутизатор тратить вычислительные мощности на обработку этих пакетов и на отправку сообщений. Тратить их в таком количестве, чтобы поглотить все ресурсы CPU и сделать невозможной дальнейшую эффективную работу маршрутизатора. Такие атаки получили название DoS-атак.

Самым простым и очевидным действием для предотвращения самой возможности подобных атак является отключение отправки маршрутизатором сообщений по вышеозначенным поводам.

Существуют и другие поводы для отключения ICMP сообщений:

• злоумышленник может отправить ICMP Redirect, чтобы перенаправить трафик через свое устройство
• уменьшение нагрузки на сеть путём уменьшения потоков ICMP данных,
• злоумышленники могут использовать сообщения TTL-exceeded для определения активных устройств в сети
• сообщения о недоступности могут раскрывать информацию о структуре и состоянии сети,
• и другие аспекты в основном связанные с вопросами безопасности.

Однако не стоит думать, что отправка перечисленных ICMP сообщений бесполезное дело. ICMP сообщения улучшают визуализацию процесса маршрутизации и уменьшают время устранения неисправностей в IP сети. Однако, в сегментах сети, которые находятся в непосредственной близости к конечным абонентам и направлены в сторону внешних сетей, желательно отправку таких ICMP сообщений отключить по завершению настроек IP сети, и в будущем включать лишь по необходимости.