ฉันได้ค้นคว้าเกี่ยวกับเรื่องนี้เป็นจำนวนมากและพบว่ามีการอ้างอิงบางอย่างที่ขัดแย้งกัน

IPV6 ตัวอย่างเช่นRFC4890กล่าวว่าควรอนุญาตให้ใช้ประเภทต่อไปนี้เพื่อการทำงานที่เหมาะสมที่สุด:

Type 1, 2, 3, 4, 128, 129 and for mobility assistance also 144, 145, 146 and 147.

อย่างไรก็ตามแหล่งข้อมูลนี้ไม่ได้กล่าวถึงการให้ความช่วยเหลือด้านการเคลื่อนไหว: (ยกเว้นประเภทที่ 1 และ 4 ด้วยเช่นกัน)

Type 128, 129, 2, 3 and for NDP and SLAAC 133, 134, 135, 136 and 137

ในทางตรงกันข้ามการอ้างอิงอดีตกล่าวว่า NDP และ SLAAC ไม่จำเป็นต้องมีความสนใจเป็นพิเศษเนื่องจากพวกเขาจะลดลงอยู่แล้ว แล้วใครถูก? เป็นการดีที่สุดที่จะยอมให้สิ่งเหล่านี้ที่กล่าวถึงโดยทั้งสองแหล่งอยู่ในความปลอดภัยหรือไม่?

IPV4: น่า แปลกที่ข้อมูลอ้างอิงไม่มีคำแนะนำสำหรับ IPv4 แต่แหล่งอื่นบอกว่าIPv4 ประเภท 8, 0, 3 และ 11 จำเป็นสำหรับ IPv4 มีข้อมูลอ้างอิงอย่างเป็นทางการที่แนะนำ IPv4 ICMP ใดบ้างที่ควรได้รับอนุญาต

อัปเดต: แม้ว่าคำตอบจะดี แต่ฉันคิดว่ามันธรรมดาเกินไปที่จะยอมรับว่าเป็นวิธีแก้ปัญหาที่แท้จริง หากการบล็อกไม่ใช่คำตอบ การจำกัดอัตราจะต้องเป็นวิธีที่เหมาะสมในการป้องกันระดับ ฉันเชื่อว่าคำตอบด้วยตัวอย่างโค้ดที่ถูกต้องจะมั่นใจกว่า

answer

ไม่ควรบล็อก ICMP ทั้งหมด ไม่ใช่โดยค่าเริ่มต้น นี่อาจเป็นรายการปฏิเสธแทนที่จะเป็นรายการที่อนุญาต

เริ่มต้นด้วยการจำกัดอัตราแต่ไม่ใช่การกรอง ICMP

อ่านRFC 4890 ส่วนที่ 3เกี่ยวกับข้อควรพิจารณาด้านความปลอดภัยที่คาดหวัง โดยเฉพาะอย่างยิ่งการเปลี่ยนเส้นทางแพ็กเก็ตการโอนสาย แต่มาตรฐานกำหนดให้ต้องอยู่ในลิงก์ในเครื่อง การปฏิเสธบริการในปริมาณมาก แต่บ่อยครั้งสามารถบรรเทาได้ด้วยการจำกัดอัตรา บางทีการค้นพบโฮสต์ แต่ก็ไม่ได้เปิดเผยอะไรมาก ICMP ไม่อันตรายมาก