El ICMP(인터넷 제어 메시지 프로토콜) 네트워크의 장치 간에 제어 및 오류 메시지를 보내는 데 사용되는 네트워크 계층 프로토콜입니다.
ICMP는 인터넷 기능을 위한 중요한 프로토콜이며 다음과 같은 다양한 목적으로 사용됩니다.
기사의 마지막 부분에서 작은 내용을 찾을 수 있습니다. test 그것은 당신을 허용합니다 평가하다 이번 독서를 통해 얻은 지식
오류 감지
ICMP는 데이터 전송 오류를 감지하는 데 사용됩니다. 예를 들어, IP 패킷이 손실되거나 손상된 경우 발신자는 수신자에게 ICMP 메시지를 보내 오류를 알릴 수 있습니다.
네트워크 진단
ICMP는 네트워크 문제를 진단하는 데 사용됩니다. 예를 들어, "ping" 명령을 사용하여 ICMP 메시지를 원격 장치에 보내 사용 가능한지 확인할 수 있습니다.
네트워크 관리
ICMP는 네트워크 관리에 사용됩니다. 예를 들어 상태 알림을 보내거나 네트워크 장치를 구성하는 데 사용할 수 있습니다.
ICMP는 IP 프로토콜을 기반으로 하며 IP와 동일한 헤더를 사용합니다. ICMP 헤더에는 ICMP 메시지 유형을 식별하는 유형 필드가 있습니다.
메시지 유형
ICMP 메시지에는 다양한 유형이 있으며 각각 다른 목적으로 사용됩니다. 가장 일반적인 ICMP 메시지 유형은 다음과 같습니다.
에코 요청/응답
이러한 메시지는 원격 장치의 가용성을 확인하는 데 사용됩니다.
목적지에 도달할 수 없습니다
이 메시지는 보낸 사람에게 IP 패킷을 대상으로 전달할 수 없음을 알리는 데 사용됩니다.
시간이 초과되었습니다
이 메시지는 IP 패킷이 대상에 도달하는 데 너무 오랜 시간이 걸렸음을 발신자에게 알리는 데 사용됩니다.
ICMP는 인터넷 기능에 중요한 프로토콜입니다. ICMP의 개념을 이해하면 네트워크의 보안과 기능을 유지하는 데 도움이 될 수 있습니다.
ICMP 필터
MikroTik RouterOS 방화벽에 ICMP 필터를 설치하는 것은 다음과 같은 여러 가지 이유로 중요합니다.
- 보안 : ICMP 메시지는 서비스 거부(DoS) 공격, 핑 플러드 공격, 경로 추적 공격 등의 사이버 공격을 수행하는 데 사용될 수 있습니다. ICMP 필터링은 이러한 악성 트래픽을 차단하는 데 도움이 될 수 있습니다.
- 공연: 불필요한 ICMP 트래픽으로 인해 네트워크에 과부하가 걸리고 성능이 저하될 수 있습니다. ICMP 필터링은 이러한 불필요한 트래픽을 줄이는 데 도움이 될 수 있습니다.
- 개인 정보 : ICMP 메시지는 네트워크 토폴로지, 장치 가용성 등 네트워크에 대한 정보를 수집하는 데 사용될 수 있습니다. ICMP 필터링은 개인 정보를 보호하는 데 도움이 될 수 있습니다.
다음은 MikroTik RouterOS의 ICMP 필터가 네트워크를 보호하는 데 어떻게 도움이 되는지에 대한 몇 가지 구체적인 예입니다.
- ICMP 메시지로 네트워크를 과부하시키는 데 사용되는 에코(핑 플러드) 공격을 차단할 수 있습니다.
- 네트워크에 대한 정보를 수집하는 데 사용되는 경로 추적 공격을 차단할 수 있습니다.
- 네트워크에 과부하를 줄 수 있는 에코 메시지 반환과 같은 불필요한 ICMP 메시지를 차단할 수 있습니다.
합법적인 트래픽을 차단하지 않도록 ICMP 필터를 적절하게 구성하는 것이 중요합니다. 특정 요구 사항과 네트워크가 노출되는 보안 위험을 고려해야 합니다.
MikroTik RouterOS에서 ICMP 필터를 구성하는 팁
- 간단한 구성으로 시작한 다음 필요에 따라 추가 규칙을 추가하세요.
- 태그를 사용하여 ICMP 필터 규칙을 구성하세요.
- 고급 필터링 모드를 사용하면 어떤 ICMP 트래픽을 허용하거나 차단할지 더 효과적으로 제어할 수 있습니다.
RouterOS가 있는 MikroTik 라우터에서는 핑 설정 및 기타 관련 기능을 포함하여 ICMP(인터넷 제어 메시지 프로토콜) 관련 설정을 관리할 수 있습니다.
ICMP 메시지 유형
ICMPv4 메시지 | 장치의 소스 | 장치를 통해 | 장치 대상 |
ICMPv4-unreach-net | 속도 제한 | 속도 제한 | 속도 제한 |
ICMPv4-unreach-host | 속도 제한 | 속도 제한 | 속도 제한 |
ICMPv4-unreach-proto | 속도 제한 | 거부 | 속도 제한 |
ICMPv4-unreach-port | 속도 제한 | 거부 | 속도 제한 |
ICMPv4-unreach-조각 필요 | 전송 | 허가 | 속도 제한 |
ICMPv4-unreach-src-route | 속도 제한 | 거부 | 속도 제한 |
ICMPv4-unreach-net-unknown(Depr) | 거부 | 거부 | 거부 |
ICMPv4-unreach-호스트-알 수 없음 | 속도 제한 | 거부 | 무시 |
ICMPv4-unreach-host-isolation(Depr) | 거부 | 거부 | 거부 |
ICMPv4-unreach-net-tos | 속도 제한 | 거부 | 비율 제한 |
ICMPv4-unreach-host-tos | 속도 제한 | 거부 | 속도 제한 |
ICMPv4-unreach-admin | 속도 제한 | 속도 제한 | 속도 제한 |
ICMPv4-unreach-prec-위반 | 속도 제한 | 거부 | 속도 제한 |
ICMPv4-unreach-prec-cutoff | 속도 제한 | 거부 | 속도 제한 |
ICMPv4-냉각 | 거부 | 거부 | 거부 |
ICMPv4-리디렉션-넷 | 속도 제한 | 거부 | 속도 제한 |
ICMPv4-리디렉션-호스트 | 속도 제한 | 거부 | 속도 제한 |
ICMPv4-tos-net으로 리디렉션 | 속도 제한 | 거부 | 속도 제한 |
ICMPv4-호스트로 리디렉션 | 속도 제한 | 허가 | 속도 제한 |
ICMPv4-timed-ttl | 속도 제한 | 허가 | 속도 제한 |
ICMPv4 시간 재검토 | 속도 제한 | 허가 | 속도 제한 |
ICMPv4 매개변수 포인터 | 속도 제한 | 거부 | 속도 제한 |
ICMPv4 옵션 누락 | 속도 제한 | 거부 | 속도 제한 |
ICMPv4-요구-에코-메시지 | 속도 제한 | 허가 | 속도 제한 |
ICMPv4-요구-에코-응답 | 속도 제한 | 허가 | 속도 제한 |
ICMPv4-req-라우터-sol | 속도 제한 | 거부 | 속도 제한 |
ICMPv4-요구-라우터-adv | 속도 제한 | 거부 | 속도 제한 |
ICMPv4-요청-타임스탬프-메시지 | 속도 제한 | 거부 | 속도 제한 |
ICMPv4-요청-타임스탬프-응답 | 속도 제한 | 거부 | 속도 제한 |
ICMPv4-정보-메시지(Depr) | 거부 | 거부 | 거부 |
ICMPv4-정보-응답(Depr) | 거부 | 거부 | 거부 |
ICMPv4-마스크 요청 | 속도 제한 | 거부 | 속도 제한 |
ICMPv4-마스크-응답 | 속도 제한 | 거부 | 속도 제한 |
ICMP 필터의 예?
다음 ICMP 규칙은 일반적으로 항상 사용할 수 있는 메시지 유형입니다.
/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
이는 단지 예일 뿐이며 특정 요구 사항과 네트워크 토폴로지에 따라 구성을 조정하는 것이 중요합니다.
ICMP 트래픽을 제한할 때는 네트워크 진단 기능에 영향을 미칠 수 있으므로 주의해야 합니다.
프로덕션 환경에 배포하기 전에 테스트 환경에서 변경 사항을 테스트하고 검증하십시오.