Các tin nhắn chuyển hướng ICMP có thực sự xấu?

Do khả năng bị tấn công MITM, các tin nhắn chuyển hướng ICMP sẽ bị chặn. Tuy nhiên, mục đích ban đầu của thông báo chuyển hướng ICMP là thông báo cho máy chủ của bộ định tuyến (hoặc cổng) tốt hơn.

Sau đó, có vấn đề về tốc độ với việc vô hiệu hóa tin nhắn chuyển hướng ICMP trên máy chủ không? Hay là không đáng kể?

icmp

— baehar
nguồn

Trong một mạng được cấu hình đúng, chuyển hướng không xảy ra và không cần thiết. Tuân thủ nghiêm ngặt các quy tắc sẽ thấy gói bị bỏ - không bao giờ chuyển tiếp gói ra khỏi giao diện mà nó đã nhận được, nhưng không ai làm điều đó trong nhiều thập kỷ. Chuyển hướng không thể được tin cậy, vì vậy hầu hết các máy chủ không tôn trọng chúng, vì vậy hầu hết các quản trị viên cấu hình bộ định tuyến của họ để không phải gửi chúng.

— Ricky Beam

Câu trả lời:

ICMP lại chỉ đạo thường thấy nhất khi bạn có một host hoặc router Atrong cùng một subnet với hai router khác B& Cvà khả năng kết nối với cả hai. Hãy xem xét các mạng sau:

   |__192.168.1.0/24__|
   | |                |
     |
     |   |___192.168.8.0/24__|
     |   | |                 |
     B     C
|____|_____|____|
|       |       |
        A

Asẽ có một tuyến đường (rất có thể là mặc định) trỏ đến Bvà Bsẽ có một tuyến đường cụ thể hơn để 192.168.8.0/24chỉ đến C.

Nếu không có chuyển hướng ICMP, tất cả lưu lượng truy cập từ Ađến 192.168.8.0/24sẽ được định tuyếnA->B->C

Với ICMP được bật lại trực tiếp, Bsẽ thông báo Arằng đó Clà một bước tiếp theo tốt hơn và lưu lượng truy cập tiếp theo sẽ được định tuyến A->C.

Rõ ràng B là một bước nhảy thêm và tùy thuộc vào loại hộp nào, nó có thể giới thiệu độ trễ thêm.

Vô hiệu hóa ICMP-Redirects và thiết kế lại mạng để tránh tình trạng này hoàn toàn sẽ là giải pháp ưu tiên, ví dụ:

   |__192.168.1.0/24__|
   | |                |
     |
     |   |___192.168.8.0/24__|
     |   | |                 |
     B-----C
|____|__________|
|       |       |
        A

(hoặc loại bỏ Choàn toàn và treo trực tiếp 192.168.8.0/24 B).

— Benjamin Dale
nguồn

Vậy thì, ý bạn là cấu trúc mạng nào quan trọng hơn chuyển hướng ICMP?

— baeharam

Chuyển hướng ICMP chỉ ra rằng có định tuyến phụ tối ưu được định cấu hình và cố gắng giải quyết vấn đề này - IMO đây là sự cố thiết kế

— Benjamin Dale

Trên thực tế, thiết kế lại của bạn chỉ loại bỏ khả năng sử dụng chuyển hướng ICMP để tối ưu hóa tuyến đường - tất cả những gì bạn nhận được là một tuyến A-> B-> C không thể tránh khỏi và quay lại (!). Thiết kế lại tối ưu hóa sẽ loại bỏ C và kết nối mạng con / liên kết của nó với B.

— Zac67

Có - điều này đã xảy ra với tôi khi tôi thực hiện thiết kế lại :) Nhưng tôi đoán rằng việc loại bỏ C có thể đã thay đổi mọi thứ quá nhiều - đôi khi C có thể là một yêu cầu không thể tránh khỏi (nhà cung cấp / NTU phần 3 sang mạng khác, v.v.)

— Benjamin Dale

Chuyển hướng ICMP là tàn dư từ thời đại tin cậy - một phần vì các máy được nối mạng có quản trị viên và BYOD không thể tưởng tượng được.

Bỏ qua chuyển hướng trên máy khách có nghĩa là nó sẽ tiếp tục được gửi qua cổng kém hiệu quả hơn. Điều này sẽ dẫn đến công việc không cần thiết của bộ định tuyến đó và lưu lượng không cần thiết trên giao diện của nó, làm giảm nhẹ hiệu suất cho mọi người sử dụng cổng đó.

Nó cũng sẽ tăng độ trễ cho máy khách, vì mỗi gói phải có thêm một bước nhảy.

Tuy nhiên, trong trường hợp chung, trên một mạng hiện đại, cả hai "chi phí" này sẽ không đáng kể.

Cách lý tưởng để giải quyết vấn đề là cho một tuyến đường được thêm vào máy khách để sử dụng đúng cổng. Chuyển hướng ICMP cung cấp một cách để nó tự động xảy ra, nhưng có lẽ không đáng tin cậy - nhưng chúng vẫn là đầu mối cho thấy một tuyến đường tốt hơn tồn tại và việc đăng nhập chúng cho phép người ta xem xét thay đổi như vậy, có lẽ sau khi tham khảo ý kiến của các quản trị viên mạng.

Thiết kế lại mạng có lẽ là điều sai lầm.

— JCRM
nguồn

Hoàn toàn: Đôi khi sự đơn giản về cấu hình là nhiều, nhiều, quan trọng hơn hiệu quả của gói. Tôi đã thấy các mạng trong đó tất cả các định tuyến là tĩnh, rất nhiều tuyến "dưới mức", lưu lượng truy cập thấp, lỗi cấu hình không bao giờ. Quản trị mạng hạnh phúc giữ các tuyến tĩnh hoàn hảo trên bộ định tuyến trung tâm và đó là điều đó. Luôn luôn tham khảo các ưu tiên của tổ chức của riêng bạn. Chắc chắn không thiết kế lại mạng trừ khi có vấn đề thực sự

— jonathanjo

"Trên một mạng hiện đại cả hai" chi phí "này sẽ không đáng kể" - có, nhưng chỉ khi có băng thông liên kết rộng rãi (mà bạn có thể bao gồm trong "hiện đại" ;-).

— Zac67

Tuyến tĩnh trên máy chủ? rùng mình đơn giản, đúng, nhưng rất khó nắm bắt

— Benjamin Dale