El Πρωτόκολλο μηνυμάτων ελέγχου Διαδικτύου (ICMP) είναι ένα πρωτόκολλο επιπέδου δικτύου που χρησιμοποιείται για την αποστολή μηνυμάτων ελέγχου και σφαλμάτων μεταξύ συσκευών σε ένα δίκτυο.
Το ICMP είναι ένα σημαντικό πρωτόκολλο για τη λειτουργία του Διαδικτύου και χρησιμοποιείται για διάφορους σκοπούς, όπως:
Στο τέλος του άρθρου θα βρείτε ένα μικρό δοκιμή που θα σας επιτρέψει αξιολογήσει τις γνώσεις που αποκτήθηκαν σε αυτή την ανάγνωση
εντοπισμός σφαλμάτων
Το ICMP χρησιμοποιείται για τον εντοπισμό σφαλμάτων στη μετάδοση δεδομένων. Για παράδειγμα, εάν ένα πακέτο IP χαθεί ή καταστραφεί, ο αποστολέας μπορεί να στείλει ένα μήνυμα ICMP στον παραλήπτη για να τον ενημερώσει για το σφάλμα.
Διαγνωστικά δικτύου
Το ICMP χρησιμοποιείται για τη διάγνωση προβλημάτων δικτύου. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε την εντολή "ping" για να στείλετε ένα μήνυμα ICMP σε μια απομακρυσμένη συσκευή για να ελέγξετε εάν είναι διαθέσιμο.
Διαχείριση δικτύου
Το ICMP χρησιμοποιείται για τη διαχείριση δικτύου. Για παράδειγμα, μπορεί να χρησιμοποιηθεί για την αποστολή ειδοποιήσεων κατάστασης ή για τη διαμόρφωση συσκευών δικτύου.
Το ICMP βασίζεται στο πρωτόκολλο IP και χρησιμοποιεί τις ίδιες κεφαλίδες με το IP. Η κεφαλίδα ICMP έχει ένα πεδίο τύπου που προσδιορίζει τον τύπο του μηνύματος ICMP.
Τύποι μηνυμάτων
Υπάρχουν πολλοί διαφορετικοί τύποι μηνυμάτων ICMP, το καθένα εξυπηρετεί διαφορετικό σκοπό. Μερικοί από τους πιο συνηθισμένους τύπους μηνυμάτων ICMP περιλαμβάνουν:
Αίτημα/απάντηση ηχούς
Αυτά τα μηνύματα χρησιμοποιούνται για την επαλήθευση της διαθεσιμότητας μιας απομακρυσμένης συσκευής.
Ο προορισμός δεν είναι προσβάσιμος
Αυτά τα μηνύματα χρησιμοποιούνται για να ενημερώσουν τον αποστολέα ότι ένα πακέτο IP δεν μπορούσε να παραδοθεί στον προορισμό.
Υπέρβαση χρόνου
Αυτά τα μηνύματα χρησιμοποιούνται για να ενημερώσουν τον αποστολέα ότι ένα πακέτο IP άργησε να φτάσει στον προορισμό του.
Το ICMP είναι ένα σημαντικό πρωτόκολλο για τη λειτουργία του Διαδικτύου. Κατανοώντας την έννοια του ICMP, μπορείτε να βοηθήσετε να διατηρήσετε το δίκτυό σας ασφαλές και λειτουργικό.
Φίλτρο ICMP
Η ύπαρξη ενός φίλτρου ICMP στο τείχος προστασίας MikroTik RouterOS είναι σημαντική για διάφορους λόγους, όπως:
- Seguridad: Τα μηνύματα ICMP μπορούν να χρησιμοποιηθούν για τη διεξαγωγή επιθέσεων στον κυβερνοχώρο, όπως επιθέσεις άρνησης υπηρεσίας (DoS), επιθέσεις ping flood και επιθέσεις εντοπισμού. Το φιλτράρισμα ICMP μπορεί να βοηθήσει στον αποκλεισμό αυτής της κακόβουλης κυκλοφορίας.
- Rendimiento: Η περιττή κίνηση ICMP μπορεί να υπερφορτώσει το δίκτυο και να μειώσει την απόδοση. Το φιλτράρισμα ICMP μπορεί να βοηθήσει στη μείωση αυτής της περιττής κίνησης.
- Απορρήτου: Τα μηνύματα ICMP μπορούν να χρησιμοποιηθούν για τη συλλογή πληροφοριών σχετικά με το δίκτυό σας, όπως η τοπολογία του δικτύου σας και η διαθεσιμότητα των συσκευών σας. Το φιλτράρισμα ICMP μπορεί να βοηθήσει στην προστασία του απορρήτου σας.
Ακολουθούν ορισμένα συγκεκριμένα παραδείγματα για το πώς ένα φίλτρο ICMP στο MikroTik RouterOS μπορεί να σας βοηθήσει να προστατεύσετε το δίκτυό σας:
- Μπορεί να αποκλείσει επιθέσεις echo (ping flood) που χρησιμοποιούνται για την υπερφόρτωση του δικτύου σας με μηνύματα ICMP.
- Μπορείτε να αποκλείσετε επιθέσεις traceroute που χρησιμοποιούνται για τη συλλογή πληροφοριών σχετικά με το δίκτυό σας.
- Μπορείτε να αποκλείσετε περιττά μηνύματα ICMP, όπως μηνύματα ηχούς επιστροφής, που μπορεί να υπερφορτώσουν το δίκτυό σας.
Είναι σημαντικό να διαμορφώσετε κατάλληλα το φίλτρο ICMP, ώστε να μην εμποδίζει τη νόμιμη κυκλοφορία. Θα πρέπει να λάβετε υπόψη τις συγκεκριμένες ανάγκες σας και τους κινδύνους ασφαλείας στους οποίους εκτίθεται το δίκτυό σας.
Συμβουλές για τη διαμόρφωση του φίλτρου ICMP στο MikroTik RouterOS
- Ξεκινήστε με μια απλή διαμόρφωση και, στη συνέχεια, προσθέστε πρόσθετους κανόνες όπως απαιτείται.
- Χρησιμοποιήστε ετικέτες για να οργανώσετε τους κανόνες φίλτρου ICMP.
- Χρησιμοποιήστε τη λειτουργία προηγμένου φιλτραρίσματος για να αποκτήσετε περισσότερο έλεγχο σχετικά με το ποια κίνηση ICMP επιτρέπεται ή αποκλειστεί.
Στους δρομολογητές MikroTik με RouterOS, μπορείτε να διαχειριστείτε ρυθμίσεις σχετικές με το ICMP (Internet Control Message Protocol), συμπεριλαμβανομένων των ρυθμίσεων ping και άλλων σχετικών λειτουργιών.
Τύποι μηνυμάτων ICMP
Μήνυμα ICMPv4 | Πηγή από τη συσκευή | Μέσω Συσκευής | Προορίζεται για Συσκευή |
ICMPv4-unreach-net | Όριο ποσοστού | Όριο ποσοστού | Όριο ποσοστού |
ICMPv4-unreach-host | Όριο ποσοστού | Όριο ποσοστού | Όριο ποσοστού |
ICMPv4-unreach-proto | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
ICMPv4-unreach-port | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
ICMPv4-unreach-frag-needed | Αποστολή | Άδεια | Όριο ποσοστού |
ICMPv4-unreach-src-route | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
ICMPv4-unreach-net-unknown (Depr) | Δεν Αποδέχομαι | Δεν Αποδέχομαι | Δεν Αποδέχομαι |
ICMPv4-unreach-host-unknown | Όριο ποσοστού | Δεν Αποδέχομαι | αγνοήσει |
ICMPv4-unreach-host-Isolated (Depr) | Δεν Αποδέχομαι | Δεν Αποδέχομαι | Δεν Αποδέχομαι |
ICMPv4-unreach-net-tos | Όριο ποσοστού | Δεν Αποδέχομαι | Ποσοστό-Όριο |
ICMPv4-unreach-host-tos | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
ICMPv4-unreach-admin | Όριο ποσοστού | Όριο ποσοστού | Όριο ποσοστού |
ICMPv4-unreach-prec-violation | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
ICMPv4-unreach-prec-cutoff | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
ICMPv4-σβήσιμο | Δεν Αποδέχομαι | Δεν Αποδέχομαι | Δεν Αποδέχομαι |
ICMPv4-redirect-net | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
ICMPv4-redirect-host | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
ICMPv4-redirect-tos-net | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
ICMPv4-redirect-tos-host | Όριο ποσοστού | Άδεια | Όριο ποσοστού |
ICMPv4-timed-ttl | Όριο ποσοστού | Άδεια | Όριο ποσοστού |
ICMPv4-timed-reass | Όριο ποσοστού | Άδεια | Όριο ποσοστού |
ICMPv4-παράμετρος-δείκτης | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
Λείπει η επιλογή ICMPv4 | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
ICMPv4-req-echo-message | Όριο ποσοστού | Άδεια | Όριο ποσοστού |
ICMPv4-req-echo-reply | Όριο ποσοστού | Άδεια | Όριο ποσοστού |
ICMPv4-req-router-sol | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
ICMPv4-req-router-adv | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
ICMPv4-req-timestamp-message | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
ICMPv4-req-timestamp-απάντηση | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
ICMPv4-info-message (Depr) | Δεν Αποδέχομαι | Δεν Αποδέχομαι | Δεν Αποδέχομαι |
ICMPv4-info-reply (Depr) | Δεν Αποδέχομαι | Δεν Αποδέχομαι | Δεν Αποδέχομαι |
ICMPv4-μάσκα-αίτημα | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
ICMPv4-μάσκα-απάντηση | Όριο ποσοστού | Δεν Αποδέχομαι | Όριο ποσοστού |
Παραδείγματα φίλτρων ICMP;
Οι ακόλουθοι κανόνες ICMP είναι οι τύποι μηνυμάτων που γενικά θα πρέπει να είναι πάντα διαθέσιμοι:
/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
Αυτά είναι απλώς παραδείγματα και είναι σημαντικό να προσαρμόσετε τη διαμόρφωση σύμφωνα με τις συγκεκριμένες ανάγκες και την τοπολογία του δικτύου σας.
Θυμηθείτε να είστε προσεκτικοί όταν περιορίζετε την κυκλοφορία ICMP, καθώς μπορεί να επηρεάσει τις διαγνωστικές δυνατότητες του δικτύου.
Βεβαιωθείτε ότι έχετε ελέγξει και επικυρώσει τυχόν αλλαγές σε περιβάλλον δοκιμής πριν τις αναπτύξετε σε περιβάλλον παραγωγής.
Σύντομο κουίζ γνώσεων
Τι γνώμη έχετε για αυτό το άρθρο;
Τολμάς να αξιολογήσεις τις γνώσεις σου;
Προτεινόμενο βιβλίο για αυτό το άρθρο
Βιβλίο προηγμένης ασφάλειας RouterOS v7
Υλικό μελέτης για το μάθημα πιστοποίησης MTCSE, ενημερωμένο στο RouterOS v7
Σχετικά άρθρα
- MikroTik IPSec: Επιλέξτε μεταξύ λειτουργίας Tunnel και Transport Mode για VPN
- Μεταξύ κρατικών και ανιθαγενών: Κατοχή του τείχους προστασίας MikroTik
- Πώς να αποκλείσετε αποτελεσματικά τοποθεσίες HTTPS με το MikroTik TLS Host
- MikroTik και ασύρματος έλεγχος ταυτότητας: Κατανόηση του "Να επιτρέπεται κοινόχρηστο κλειδί"
- HSRP, VRRP, GLBP: Κατανόηση βασικών πρωτοκόλλων για πλεονασμό δικτύου