El Giao thức tin nhắn điều khiển Internet (ICMP) là giao thức lớp mạng được sử dụng để gửi thông báo điều khiển và lỗi giữa các thiết bị trên mạng.
ICMP là một giao thức quan trọng cho hoạt động của Internet và được sử dụng cho nhiều mục đích khác nhau, bao gồm:
Ở cuối bài viết, bạn sẽ tìm thấy một phần nhỏ thử nghiệm điều đó sẽ cho phép bạn đánh giá kiến thức thu được trong bài đọc này
Phát hiện lỗi
ICMP được sử dụng để phát hiện lỗi trong quá trình truyền dữ liệu. Ví dụ: nếu gói IP bị mất hoặc bị hỏng, người gửi có thể gửi tin nhắn ICMP đến người nhận để thông báo cho họ về lỗi.
Chẩn đoán mạng
ICMP được sử dụng để chẩn đoán các vấn đề về mạng. Ví dụ: bạn có thể sử dụng lệnh “ping” để gửi tin nhắn ICMP đến một thiết bị từ xa để kiểm tra xem nó có khả dụng hay không.
Quản lý mạng
ICMP được sử dụng để quản lý mạng. Ví dụ: nó có thể được sử dụng để gửi thông báo trạng thái hoặc định cấu hình các thiết bị mạng.
ICMP dựa trên giao thức IP và sử dụng các tiêu đề giống như IP. Tiêu đề ICMP có trường loại xác định loại thông báo ICMP.
Các loại tin nhắn
Có nhiều loại tin nhắn ICMP khác nhau, mỗi loại phục vụ một mục đích khác nhau. Một số loại tin nhắn ICMP phổ biến nhất bao gồm:
Yêu cầu/trả lời tiếng vang
Những tin nhắn này được sử dụng để xác minh tính khả dụng của thiết bị từ xa.
Điểm đến không thể truy cập
Những tin nhắn này được sử dụng để thông báo cho người gửi rằng gói IP không thể được gửi đến đích.
Đã vượt quá thời gian
Những tin nhắn này được sử dụng để thông báo cho người gửi rằng gói IP mất quá nhiều thời gian để đến đích.
ICMP là một giao thức quan trọng cho hoạt động của Internet. Bằng cách hiểu khái niệm ICMP, bạn có thể giúp giữ cho mạng của mình an toàn và hoạt động tốt.
Bộ lọc ICMP
Việc có bộ lọc ICMP trên tường lửa MikroTik RouterOS rất quan trọng vì một số lý do, bao gồm:
- an ninh: Tin nhắn ICMP có thể được sử dụng để thực hiện các cuộc tấn công mạng, chẳng hạn như tấn công từ chối dịch vụ (DoS), tấn công lũ ping và tấn công theo dõi. Lọc ICMP có thể giúp chặn lưu lượng truy cập độc hại này.
- Hiệu suất: Lưu lượng ICMP không cần thiết có thể làm quá tải mạng và giảm hiệu suất. Lọc ICMP có thể giúp giảm lưu lượng không cần thiết này.
- Bảo mật: Tin nhắn ICMP có thể được sử dụng để thu thập thông tin về mạng của bạn, chẳng hạn như cấu trúc liên kết của mạng và tính khả dụng của thiết bị. Lọc ICMP có thể giúp bảo vệ quyền riêng tư của bạn.
Dưới đây là một số ví dụ cụ thể về cách bộ lọc ICMP trong MikroTik RouterOS có thể giúp bạn bảo vệ mạng của mình:
- Nó có thể chặn các cuộc tấn công echo (ping Flood) được sử dụng để làm quá tải mạng của bạn bằng các tin nhắn ICMP.
- Bạn có thể chặn các cuộc tấn công theo dõi được sử dụng để thu thập thông tin về mạng của bạn.
- Bạn có thể chặn các tin nhắn ICMP không cần thiết, chẳng hạn như tin nhắn trả về, có thể làm quá tải mạng của bạn.
Điều quan trọng là phải định cấu hình bộ lọc ICMP phù hợp để nó không chặn lưu lượng truy cập hợp pháp. Bạn nên xem xét các nhu cầu cụ thể của mình và các rủi ro bảo mật mà mạng của bạn gặp phải.
Mẹo định cấu hình bộ lọc ICMP trong MikroTik RouterOS
- Bắt đầu với một cấu hình đơn giản và sau đó thêm các quy tắc bổ sung nếu cần.
- Sử dụng thẻ để sắp xếp các quy tắc lọc ICMP của bạn.
- Sử dụng chế độ lọc nâng cao để có thêm quyền kiểm soát đối với lưu lượng ICMP nào được phép hoặc bị chặn.
Trên bộ định tuyến MikroTik có RouterOS, bạn có thể quản lý các cài đặt liên quan đến ICMP (Giao thức tin nhắn điều khiển Internet), bao gồm cài đặt ping và các chức năng liên quan khác.
Các loại tin nhắn ICMP
Tin nhắn ICMPv4 | Nguồn từ thiết bị | Thông qua thiết bị | Dành cho thiết bị |
ICMPv4-unreach-net | Giới hạn tỷ lệ | Giới hạn tỷ lệ | Giới hạn tỷ lệ |
ICMPv4-unreach-host | Giới hạn tỷ lệ | Giới hạn tỷ lệ | Giới hạn tỷ lệ |
ICMPv4-unreach-proto | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
ICMPv4-unreach-port | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
ICMPv4-unreach-frag-cần thiết | Gửi | giấy phép | Giới hạn tỷ lệ |
ICMPv4-unreach-src-tuyến | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
ICMPv4-unreach-net-unknown (Tháng XNUMX) | Từ chối | Từ chối | Từ chối |
ICMPv4-unreach-host-không xác định | Giới hạn tỷ lệ | Từ chối | Bỏ qua |
ICMPv4-unreach-host-bị cô lập (Tháng XNUMX) | Từ chối | Từ chối | Từ chối |
ICMPv4-unreach-net-tos | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
ICMPv4-unreach-host-tos | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
ICMPv4-unreach-admin | Giới hạn tỷ lệ | Giới hạn tỷ lệ | Giới hạn tỷ lệ |
ICMPv4-unreach-prec-vi phạm | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
ICMPv4-unreach-prec-cutoff | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
ICMPv4-dập tắt | Từ chối | Từ chối | Từ chối |
ICMPv4-redirect-net | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
ICMPv4-chuyển hướng-máy chủ | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
ICMPv4-chuyển hướng tới mạng | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
ICMPv4-chuyển hướng đến máy chủ | Giới hạn tỷ lệ | giấy phép | Giới hạn tỷ lệ |
ICMPv4-thời gian-ttl | Giới hạn tỷ lệ | giấy phép | Giới hạn tỷ lệ |
ICMPv4-theo thời gian-reass | Giới hạn tỷ lệ | giấy phép | Giới hạn tỷ lệ |
Con trỏ tham số ICMPv4 | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
Thiếu tùy chọn ICMPv4 | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
Tin nhắn ICMPv4-req-echo- | Giới hạn tỷ lệ | giấy phép | Giới hạn tỷ lệ |
ICMPv4-req-echo-trả lời | Giới hạn tỷ lệ | giấy phép | Giới hạn tỷ lệ |
ICMPv4-req-bộ định tuyến-sol | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
ICMPv4-req-bộ định tuyến-adv | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
Tin nhắn ICMPv4-req-timestamp | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
ICMPv4-req-dấu thời gian-trả lời | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
ICMPv4-thông tin-tin nhắn (Tháng XNUMX) | Từ chối | Từ chối | Từ chối |
ICMPv4-thông tin-trả lời (Depr) | Từ chối | Từ chối | Từ chối |
ICMPv4-mặt nạ-yêu cầu | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
ICMPv4-mặt nạ-trả lời | Giới hạn tỷ lệ | Từ chối | Giới hạn tỷ lệ |
Ví dụ về bộ lọc ICMP?
Các quy tắc ICMP sau đây là các loại thông báo thường luôn có sẵn:
/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
Đây chỉ là những ví dụ và điều quan trọng là phải điều chỉnh cấu hình theo nhu cầu cụ thể và cấu trúc liên kết mạng của bạn.
Hãy nhớ cẩn thận khi giới hạn lưu lượng ICMP vì nó có thể ảnh hưởng đến khả năng chẩn đoán của mạng.
Hãy đảm bảo kiểm tra và xác thực mọi thay đổi trong môi trường thử nghiệm trước khi triển khai chúng vào môi trường sản xuất.
Bài kiểm tra kiến thức tóm tắt
Bạn nghĩ gì về bài viết này?
Bạn có dám đánh giá kiến thức đã học của mình không?
Cuốn sách được đề xuất cho bài viết này
Sách bảo mật nâng cao RouterOS v7
Tài liệu học Khóa học Chứng chỉ MTCSE, được cập nhật lên RouterOS v7
Bài viết liên quan
- MikroTik IPSec: Chọn giữa Chế độ đường hầm và Chế độ truyền tải cho VPN
- Giữa trạng thái và không trạng thái: Làm chủ tường lửa MikroTik
- Cách chặn các trang web HTTPS hiệu quả với MikroTik TLS Host
- MikroTik và xác thực không dây: Hiểu 'Cho phép khóa chia sẻ'
- HSRP, VRRP, GLBP: Tìm hiểu các giao thức chính để dự phòng mạng