El Interneta vadības ziņojumu protokols (ICMP) ir tīkla slāņa protokols, ko izmanto, lai nosūtītu vadības un kļūdu ziņojumus starp ierīcēm tīklā.
ICMP ir svarīgs interneta darbības protokols, un to izmanto dažādiem mērķiem, tostarp:
Raksta beigās jūs atradīsiet nelielu pārbaude kas jums ļaus noteikt šajā lasījumā iegūtās zināšanas
Kļūdu noteikšana
ICMP izmanto, lai atklātu kļūdas datu pārraidē. Piemēram, ja IP pakete ir pazaudēta vai bojāta, sūtītājs var nosūtīt adresātam ICMP ziņojumu, lai informētu viņu par kļūdu.
Tīkla diagnostika
ICMP tiek izmantots, lai diagnosticētu tīkla problēmas. Piemēram, varat izmantot komandu “ping”, lai nosūtītu ICMP ziņojumu uz attālo ierīci, lai pārbaudītu, vai tā ir pieejama.
Tīkla pārvaldība
ICMP tiek izmantots tīkla pārvaldībai. Piemēram, to var izmantot, lai nosūtītu statusa paziņojumus vai konfigurētu tīkla ierīces.
ICMP pamatā ir IP protokols un izmanto tās pašas galvenes kā IP. ICMP galvenē ir tipa lauks, kas identificē ICMP ziņojuma veidu.
Ziņojumu veidi
Ir daudz dažādu ICMP ziņojumu veidu, un katrs no tiem kalpo citam mērķim. Daži no visizplatītākajiem ICMP ziņojumu veidiem ir:
Atbalss pieprasījums/atbilde
Šie ziņojumi tiek izmantoti, lai pārbaudītu attālās ierīces pieejamību.
Galamērķis nav sasniedzams
Šie ziņojumi tiek izmantoti, lai informētu sūtītāju, ka IP paketi nevarēja piegādāt galamērķim.
Pārsniegts laiks
Šie ziņojumi tiek izmantoti, lai informētu sūtītāju, ka IP paketei bija nepieciešams pārāk ilgs laiks, lai sasniegtu galamērķi.
ICMP ir svarīgs interneta darbības protokols. Izprotot ICMP jēdzienu, varat palīdzēt nodrošināt tīkla drošību un funkcionēšanu.
ICMP filtrs
ICMP filtrs MikroTik RouterOS ugunsmūrī ir svarīgs vairāku iemeslu dēļ, tostarp:
- Drošība: ICMP ziņojumus var izmantot, lai veiktu kiberuzbrukumus, piemēram, pakalpojumu atteikuma (DoS) uzbrukumus, ping plūdu uzbrukumus un traceroute uzbrukumus. ICMP filtrēšana var palīdzēt bloķēt šo ļaunprātīgo trafiku.
- Izrāde: Nevajadzīga ICMP trafika var pārslogot tīklu un samazināt veiktspēju. ICMP filtrēšana var palīdzēt samazināt šo nevajadzīgo trafiku.
- Konfidencialitāte: ICMP ziņojumus var izmantot, lai apkopotu informāciju par jūsu tīklu, piemēram, tīkla topoloģiju un ierīču pieejamību. ICMP filtrēšana var palīdzēt aizsargāt jūsu privātumu.
Šeit ir daži konkrēti piemēri, kā MikroTik RouterOS ICMP filtrs var palīdzēt aizsargāt jūsu tīklu:
- Tas var bloķēt atbalss (ping plūdu) uzbrukumus, kas tiek izmantoti, lai pārslogotu tīklu ar ICMP ziņojumiem.
- Varat bloķēt traceroute uzbrukumus, kas tiek izmantoti, lai apkopotu informāciju par jūsu tīklu.
- Varat bloķēt nevajadzīgus ICMP ziņojumus, piemēram, atbalss ziņojumus, kas var pārslogot jūsu tīklu.
Ir svarīgi pareizi konfigurēt ICMP filtru, lai tas nebloķētu likumīgu trafiku. Apsveriet savas īpašās vajadzības un drošības riskus, kuriem jūsu tīkls ir pakļauts.
Padomi ICMP filtra konfigurēšanai MikroTik RouterOS
- Sāciet ar vienkāršu konfigurāciju un pēc tam pievienojiet papildu noteikumus, ja nepieciešams.
- Izmantojiet tagus, lai sakārtotu ICMP filtra noteikumus.
- Izmantojiet uzlaboto filtrēšanas režīmu, lai iegūtu lielāku kontroli pār to, kura ICMP trafika ir atļauta vai bloķēta.
MikroTik maršrutētājos ar RouterOS varat pārvaldīt ar ICMP (Internet Control Message Protocol) saistītos iestatījumus, tostarp ping iestatījumus un citas saistītas funkcijas.
ICMP ziņojumu veidi
ICMPv4 ziņojums | Avots no ierīces | Izmantojot ierīci | Paredzēts ierīcei |
ICMPv4-unreach-net | Likmes ierobežojums | Likmes ierobežojums | Likmes ierobežojums |
ICMPv4-unreach-host | Likmes ierobežojums | Likmes ierobežojums | Likmes ierobežojums |
ICMPv4-unreach-proto | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-unreach-port | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-unreach-frag-needed | sūtīt | atļauja | Likmes ierobežojums |
ICMPv4-unreach-src-route | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-unreach-net-unknown (Depr) | Noliegt | Noliegt | Noliegt |
ICMPv4-unreach-host-unknown | Likmes ierobežojums | Noliegt | Ignorēt |
ICMPv4-unreach-host-isolated (Depr) | Noliegt | Noliegt | Noliegt |
ICMPv4-unreach-net-tos | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-unreach-host-tos | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-unreach-admin | Likmes ierobežojums | Likmes ierobežojums | Likmes ierobežojums |
ICMPv4-unreach-pre-violation | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-unreach-prec-cutoff | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4 dzēšana | Noliegt | Noliegt | Noliegt |
ICMPv4-redirect-net | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-redirect-host | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-redirect-tos-net | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-redirect-to-host | Likmes ierobežojums | atļauja | Likmes ierobežojums |
ICMPv4-timed-ttl | Likmes ierobežojums | atļauja | Likmes ierobežojums |
ICMPv4 laika atkārtota pārbaude | Likmes ierobežojums | atļauja | Likmes ierobežojums |
ICMPv4-parameter-pointer | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
Trūkst ICMPv4 opcijas | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-req-echo-message | Likmes ierobežojums | atļauja | Likmes ierobežojums |
ICMPv4-req-echo-reply | Likmes ierobežojums | atļauja | Likmes ierobežojums |
ICMPv4-req-router-sol | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-req-router-adv | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-req-timestamp-message | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-req-timestamp-reply | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-info-message (Depr) | Noliegt | Noliegt | Noliegt |
ICMPv4-info-reply (Depr) | Noliegt | Noliegt | Noliegt |
ICMPv4 maskas pieprasījums | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMPv4-mask-reply | Likmes ierobežojums | Noliegt | Likmes ierobežojums |
ICMP filtru piemēri?
Tālāk norādītie ICMP noteikumi ir ziņojumu veidi, kuriem parasti vienmēr jābūt pieejamiem.
/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
Šie ir tikai piemēri, un ir svarīgi pielāgot konfigurāciju atbilstoši jūsu īpašajām vajadzībām un tīkla topoloģijai.
Atcerieties būt uzmanīgiem, ierobežojot ICMP trafiku, jo tas var ietekmēt tīkla diagnostikas iespējas.
Noteikti pārbaudiet un apstipriniet visas izmaiņas testa vidē, pirms tās izvietojat ražošanas vidē.
Īsa zināšanu viktorīna
Ko jūs domājat par šo rakstu?
Vai uzdrošināties novērtēt savas apgūtās zināšanas?
Ieteicamā grāmata šim rakstam
RouterOS v7 uzlabotās drošības grāmata
MTCSE sertifikācijas kursa mācību materiāls, atjaunināts uz RouterOS v7
Saistītās ziņas
- MikroTik IPSec: VPN izvēlieties tuneļa režīmu vai transporta režīmu
- Starp statusu un bezvalstniekiem: MikroTik ugunsmūra apguve
- Kā efektīvi bloķēt HTTPS vietnes, izmantojot MikroTik TLS Host
- MikroTik un bezvadu autentifikācija: izpratne par “Atļaut koplietoto atslēgu”
- HSRP, VRRP, GLBP: izpratne par galvenajiem protokoliem tīkla dublēšanai