El Internet Control Message Protocol (ICMP) ay isang network layer protocol na ginagamit upang magpadala ng kontrol at mga mensahe ng error sa pagitan ng mga device sa isang network.
Ang ICMP ay isang mahalagang protocol para sa paggana ng Internet at ginagamit para sa iba't ibang layunin, kabilang ang:
Sa dulo ng artikulo ay makikita mo ang isang maliit pagsusulit papayagan ka nito suriin ang kaalamang natamo sa pagbasang ito
Pagtuklas ng error
Ang ICMP ay ginagamit upang makita ang mga error sa paghahatid ng data. Halimbawa, kung nawala o nasira ang isang IP packet, maaaring magpadala ang nagpadala ng mensahe ng ICMP sa tatanggap upang ipaalam sa kanila ang error.
Network Diagnostics
Ginagamit ang ICMP upang masuri ang mga problema sa network. Halimbawa, maaari mong gamitin ang command na "ping" upang magpadala ng mensahe ng ICMP sa isang malayuang device upang tingnan kung ito ay magagamit.
Pamamahala sa network
Ang ICMP ay ginagamit para sa pamamahala ng network. Halimbawa, maaari itong magamit upang magpadala ng mga abiso sa katayuan o upang i-configure ang mga device sa network.
Ang ICMP ay batay sa IP protocol at gumagamit ng parehong mga header gaya ng IP. Ang header ng ICMP ay may isang field ng uri na tumutukoy sa uri ng mensahe ng ICMP.
Mga uri ng mensahe
Mayroong maraming iba't ibang uri ng mga mensahe ng ICMP, bawat isa ay nagsisilbi ng ibang layunin. Ang ilan sa mga pinakakaraniwang uri ng mensahe ng ICMP ay kinabibilangan ng:
Echo kahilingan/tugon
Ang mga mensaheng ito ay ginagamit upang i-verify ang pagkakaroon ng isang malayuang device.
Hindi maabot ang destinasyon
Ang mga mensaheng ito ay ginagamit upang ipaalam sa nagpadala na ang isang IP packet ay hindi maihatid sa destinasyon.
Lumampas ang oras
Ang mga mensaheng ito ay ginagamit upang ipaalam sa nagpadala na ang isang IP packet ay masyadong matagal bago makarating sa destinasyon nito.
Ang ICMP ay isang mahalagang protocol para sa paggana ng Internet. Sa pamamagitan ng pag-unawa sa konsepto ng ICMP, maaari kang makatulong na panatilihing ligtas at gumagana ang iyong network.
ICMP filter
Ang pagkakaroon ng ICMP filter sa MikroTik RouterOS firewall ay mahalaga sa ilang kadahilanan, kabilang ang:
- Kaligtasan: Maaaring gamitin ang mga mensahe ng ICMP upang magsagawa ng mga cyber attack, tulad ng denial of service (DoS) attacks, ping flood attack, at traceroute attacks. Maaaring makatulong ang pag-filter ng ICMP na harangan ang nakakahamak na trapikong ito.
- Rendimiento: Ang hindi kinakailangang trapiko ng ICMP ay maaaring mag-overload sa network at mabawasan ang pagganap. Makakatulong ang pag-filter ng ICMP na bawasan ang hindi kinakailangang trapikong ito.
- Pagkapribado: Maaaring gamitin ang mga mensahe ng ICMP upang mangolekta ng impormasyon tungkol sa iyong network, tulad ng topology ng iyong network at ang availability ng iyong mga device. Makakatulong ang pag-filter ng ICMP na protektahan ang iyong privacy.
Narito ang ilang partikular na halimbawa kung paano makakatulong sa iyo ang isang ICMP filter sa MikroTik RouterOS na protektahan ang iyong network:
- Maaari nitong harangan ang mga pag-atake ng echo (ping flood) na ginagamit upang mag-overload sa iyong network ng mga mensahe ng ICMP.
- Maaari mong harangan ang mga pag-atake ng traceroute na ginagamit upang mangolekta ng impormasyon tungkol sa iyong network.
- Maaari mong i-block ang mga hindi kinakailangang mensahe ng ICMP, tulad ng mga return echo messages, na maaaring mag-overload sa iyong network.
Mahalagang i-configure nang naaangkop ang filter ng ICMP upang hindi nito harangan ang lehitimong trapiko. Dapat mong isaalang-alang ang iyong mga partikular na pangangailangan at ang mga panganib sa seguridad na nalantad sa iyong network.
Mga tip para i-configure ang ICMP filter sa MikroTik RouterOS
- Magsimula sa isang simpleng configuration at pagkatapos ay magdagdag ng mga karagdagang panuntunan kung kinakailangan.
- Gumamit ng mga tag upang ayusin ang iyong mga panuntunan sa filter ng ICMP.
- Gumamit ng advanced na mode ng pag-filter upang makakuha ng higit na kontrol sa kung aling trapiko ng ICMP ang pinapayagan o hinarangan.
Sa mga router ng MikroTik na may RouterOS, maaari mong pamahalaan ang mga setting na nauugnay sa ICMP (Internet Control Message Protocol), kabilang ang mga setting ng ping at iba pang nauugnay na mga function.
Mga Uri ng ICMP Messages
Mensahe ng ICMPv4 | Pinagmulan mula sa Device | Sa pamamagitan ng Device | Itinakda sa Device |
ICMPv4-unreach-net | Limitasyon sa Rate | Limitasyon sa Rate | Limitasyon sa Rate |
ICMPv4-unreach-host | Limitasyon sa Rate | Limitasyon sa Rate | Limitasyon sa Rate |
ICMPv4-unreach-proto | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-unreach-port | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-unreach-frag-needed | magpadala | permiso | Limitasyon sa Rate |
ICMPv4-unreach-src-route | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-unreach-net-unknown (Depr) | Tanggihan | Tanggihan | Tanggihan |
ICMPv4-unreach-host-unknown | Limitasyon sa Rate | Tanggihan | Huwag pansinin |
ICMPv4-unreach-host-isolated (Depr) | Tanggihan | Tanggihan | Tanggihan |
ICMPv4-unreach-net-tos | Limitasyon sa Rate | Tanggihan | Rate-Limit |
ICMPv4-unreach-host-tos | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-unreach-admin | Limitasyon sa Rate | Limitasyon sa Rate | Limitasyon sa Rate |
ICMPv4-unreach-prec-violation | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-unreach-prec-cutoff | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-quench | Tanggihan | Tanggihan | Tanggihan |
ICMPv4-redirect-net | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-redirect-host | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-redirect-tos-net | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-redirect-to-host | Limitasyon sa Rate | permiso | Limitasyon sa Rate |
ICMPv4-timed-ttl | Limitasyon sa Rate | permiso | Limitasyon sa Rate |
ICMPv4-timed-reass | Limitasyon sa Rate | permiso | Limitasyon sa Rate |
ICMPv4-parameter-pointer | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-option-missing | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-req-echo-message | Limitasyon sa Rate | permiso | Limitasyon sa Rate |
ICMPv4-req-echo-reply | Limitasyon sa Rate | permiso | Limitasyon sa Rate |
ICMPv4-req-router-sol | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-req-router-adv | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-req-timestamp-message | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-req-timestamp-reply | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-info-message (Depr) | Tanggihan | Tanggihan | Tanggihan |
ICMPv4-info-reply (Depr) | Tanggihan | Tanggihan | Tanggihan |
ICMPv4-mask-request | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
ICMPv4-mask-reply | Limitasyon sa Rate | Tanggihan | Limitasyon sa Rate |
Mga halimbawa ng mga filter ng ICMP?
Ang mga sumusunod na panuntunan ng ICMP ay ang mga uri ng mga mensahe na dapat palaging available:
/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
Ito ay mga halimbawa lamang at mahalagang iakma ang pagsasaayos ayon sa iyong partikular na pangangailangan at topolohiya ng network.
Tandaan na maging maingat kapag nililimitahan ang trapiko ng ICMP, dahil maaari itong makaapekto sa mga kakayahan sa diagnostic ng network.
Tiyaking subukan at patunayan ang anumang mga pagbabago sa isang kapaligiran ng pagsubok bago i-deploy ang mga ito sa isang kapaligiran ng produksyon.
Maikling pagsusulit sa kaalaman
Ano sa palagay mo ang artikulong ito?
Naglakas-loob ka bang suriin ang iyong natutunang kaalaman?
Inirerekomendang aklat para sa artikulong ito
RouterOS v7 Advanced Security Book
Pag-aaral ng materyal para sa MTCSE Certification Course, na-update sa RouterOS v7
Kaugnay na mga Artikulo
- MikroTik IPSec: Pumili sa pagitan ng Tunnel Mode at Transport Mode para sa VPN
- Sa pagitan ng Stateful at Stateless: Mastering ang MikroTik Firewall
- Paano Mabisang Harangan ang Mga Site ng HTTPS gamit ang MikroTik TLS Host
- MikroTik at Wireless Authentication: Pag-unawa sa 'Allow Shared Key'
- HSRP, VRRP, GLBP: Pag-unawa sa Mga Pangunahing Protokol para sa Kalabisan ng Network