Por que alguns servidores da web não respondem a solicitações icmp?

Navegue suas respostas
8

Qual é o objetivo de bloquear / descartar o tráfego ICMP de entrada em um servidor web público? É comum que seja bloqueado?

Eu tive que testar se um servidor era acessível de vários locais (testado em vários servidores localizados em diferentes estados / países). Eu confiaria no ping como um & método confiável de determinar se um servidor estava on-line / acessível pela rede. Depois de não receber uma resposta em algumas caixas, tentei usar o lynx para carregar o site e funcionou.

    
por John Himmelman 10.03.2010 / 18:19

4 respostas

14

Hoje em dia é bastante comum descartar o ICMP, pois é um método genérico para usar para fins de Negação de Serviço. Um host de largura de banda maior ou um múltiplo de hosts fazendo ping repetidamente em um único servidor da Web pode utilizar toda a sua largura de banda.

Outros podem cair para diminuir sua pegada na Internet, sendo potencialmente negligenciados pelo tráfego de varredura em massa.

Embora seja comum, eu diria que ela fornece pouco valor e faz pouco para minimizar o DoS e a pegada, limitando o potencial de diagnóstico.

    
por 10.03.2010 / 18:29
4
Além da proteção duvidosa DoS e do perfil rebaixado, há uma razão comum, porém ignorada: um determinado IP pode não responder aos pings: ele não está realmente atribuído a uma interface.

Redirecionando (port forwarding) IP / protocolo / porta tuplas para os vários serviços que você quer lhe dá maior densidade de serviço em uma rede menor.

Por exemplo, suponha que seu ISP direcione 1.2.3.4/30 para você. Você tem três opções:

  • Encaminhe-os normalmente. Deixa dois IPs utilizáveis, um dos quais deve ser seu gateway, portanto, um único host.
  • IP externo de NAT para IP interno. Deixa você quatro hosts.
  • Redirecionar o tráfego para serviços internos, conforme necessário. SMTP (TCP 25), DNS (TCP / UDP 53) e seu site corporativo (TCP 80.443) podem existir em um único endereço externo.

A terceira via é cada vez mais comum. A maioria dos administradores (inclusive eu), ao configurá-lo, não se preocupam em redirecionar o ICMP para que ele simplesmente caia no firewall.

    
por 27.05.2010 / 18:00
2

Não há nenhum dano em bloquear o ICMP tipo 0 (resposta de eco), mas bloquear todas as respostas de quebras de tráfego ICMP para o cliente se qualquer link no caminho de retorno tiver uma MTU menor que o Tamanho máximo de segmento de envio da conexão TCP. Isso acontece porque o servidor da web não pode mais receber pacotes de código 4 do tipo 3 do ICMP (Destination Unreachable; Fragmentation Needed e DF set).

Na prática, isso não é um grande problema, porque qualquer um que precise tunelar o tráfego também deve configurar um mecanismo para lidar com a grande quantidade de servidores da web que possuem pilhas TCP que são dificultadas por firewalls mal configurados.

    
por 20.10.2010 / 22:06
1

Ajuda com ataques de negação de serviço. Nenhum motivo real para precisar que o site seja aberto para o ping do público.

Além disso, não fornece as estatísticas do site; um host ou IP poderia facilmente responder por um farm de balanceamento de carga de servidores no back-end (o ping em um mysite.com não informa se todos os servidores estão funcionando corretamente por trás do nome).

Pode ser apenas uma política da empresa para eliminar tráfego desnecessário ou permitir que o tráfego da porta 80 e SSL seja redirecionado para outros servidores internamente.

Eu acho que a outra pergunta seria: por que se preocupar em permitir que sistemas externos façam ping em seus servidores se eles realmente não precisam?

    
por 10.03.2010 / 18:33

Tags

Existe uma maneira de acessar um servidor específico com o nome do host em uma configuração round-robin? postmap: fatal: banco de dados aberto /etc/postfix/sasl_passwd.db: Permissão negada