ICMP bao gồm một tập hợp lớn các lệnh. Không cho phép tất cả những người sẽ phá vỡ mạng của bạn theo những cách lạ.
ICMP cho phép những thứ như "traceroute" và "ping" (yêu cầu tiếng vang ICMP) hoạt động. Do đó, phần đó khá hữu ích cho chẩn đoán bình thường. Nó cũng được sử dụng để phản hồi khi bạn chạy máy chủ DNS (không thể truy cập cổng), trong máy chủ DNS hiện đại, thực sự có thể giúp chọn một máy khác để truy vấn nhanh hơn.
ICMP được sử dụng để khám phá đường dẫn MTU. Có thể hệ điều hành của bạn đặt "DF" (không phân đoạn) trên các gói TCP mà nó gửi. Dự kiến sẽ lấy lại gói "yêu cầu phân mảnh" ICMP nếu có gì đó dọc theo đường dẫn không xử lý được kích thước của gói đó. Nếu bạn chặn tất cả ICMP, máy của bạn sẽ phải sử dụng các cơ chế dự phòng khác, về cơ bản sử dụng thời gian chờ để phát hiện "lỗ đen" PMTU và sẽ không bao giờ tối ưu hóa chính xác.
Có lẽ có một vài lý do tốt để kích hoạt hầu hết ICMP.
Bây giờ là câu hỏi của bạn tại sao để vô hiệu hóa:
Các lý do để vô hiệu hóa một phần của ICMP là:
- Bảo vệ khỏi những con sâu kiểu cũ đã sử dụng yêu cầu echo ICMP (hay còn gọi là ping) để xem máy chủ có còn sống hay không trước khi cố gắng tấn công nó. Ngày nay, một con sâu hiện đại thử nó bằng mọi cách, làm cho nó không còn hiệu quả.
- Ẩn cơ sở hạ tầng của bạn. Nếu bạn muốn làm điều này, thì vui lòng chặn nó ở rìa mạng của bạn. Không phải trên mỗi máy tính. Điều đó sẽ chỉ khiến quản trị viên của bạn nhổ hết tóc khỏi đầu trong thất vọng khi có sự cố xảy ra và tất cả các công cụ phân tích bình thường đều thất bại. (Trong trường hợp này: Amazon có thể chặn nó ở rìa của đám mây).
- Tấn công từ chối dịch vụ dựa trên ICMP. Xử lý chúng giống như các cuộc tấn công DOS khác: Giới hạn tốc độ.
- Điều duy nhất hợp lệ: Nếu bạn đang ở trong một mạng không an toàn, bạn có thể muốn chặn hoặc vô hiệu hóa bộ định tuyến đã thay đổi lệnh. Obfix: sử dụng máy chủ của bạn trên một mạng an toàn.
Lưu ý rằng có những hướng dẫn 'cứng máy chủ' ngoài kia khuyên bạn nên chặn ICMP. Họ đã sai (hoặc ít nhất là không đủ chi tiết). Chúng thuộc cùng loại với "bảo mật" không dây thông qua lọc MAC hoặc ẩn SSID.