我在这个问题上看到(如何阻止 Linux 发送 ICMP“目标无法访问”响应?)有很多讨论指出您不应该关闭 ICMP 无法访问的消息。我想知道为什么以及何时应该这样做?我也想知道怎么做。我知道它会破坏 MTU 路径发现,但还有什么?
在 cisco 设备上,您可以打开和关闭此功能,这肯定是有原因的。在他们的文档中,它只是说关闭它是为了提高安全性,因为更难获取有关您的网络的信息?这就是 cisco 文档所说的。我需要实现为我的公司打开和关闭开关的功能,所以我正在了解它。不管为什么我仍然必须这样做,但我想知道为什么要这样做或不给别人的答案。
当我想关闭 ICMP 重定向时,我会这样做:
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
对于无法访问的对象是否有类似的东西?
另一个线程上的用户是这样做的:
iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j DROP
这是一个好方法,然后我可以通过停止这种下降来再次打开它吗?
我应该告诉人们他们不需要这个功能吗?
编辑:在线我看到这个:
An attacker could gather information’s about your network when scanning it,
like unused IP’s and networks. When working with (interface-) Access-Lists,
a deny statement triggers an ICMP Type 3 Code 9/10 message
(Network/Host is Administratively Prohibited). When disabling ICMP unreachables
on the interface where …如何在不使用 NMAP 的情况下向主机提交时间戳和网络掩码请求的 ICMP 请求?
是否可以使用 hping3 之类的工具或任何本机 Linux/Windows 工具生成终端/命令行请求?
我正在使用 ping 命令来了解远程机器是否打开。但问题是,如果防火墙打开,远程机器不接受 ping 命令(ICMP Packect),并且假设远程机器关闭,因为 ping 状态返回 false。假设防火墙已打开,是否有其他方法可以知道远程计算机已打开或未打开。
我正在对不断断开的无线互联网连接进行故障排除。ISP 说无线电信号很好,所以它必须由我的 cisco asa 5505 提供。我不相信他们...
讨论假设如下:
远程站点公网ip为10.1.1.50,默认网关为10.1.1.1
当我从远程位置执行 tracert 到 10.1.1.50 时,tracert 的倒数第二跳是否始终为 10.1.1.1?
当连接断开时,倒数第二个跃点不是 10.1.1.1,但是 10.1.1.1 是可 ping 的,我可以对其进行跟踪。
我认为这是ISP的路由问题。
我的逻辑有效吗?如果 10.1.1.1 是可达的,它不应该是在我超时之前在 tracert 上的倒数第二跳吗?
我正在研究 Cisco IOS 的“良好实践”文档,其中一个控件告诉我禁用路由器中的 ICMP 重定向数据包。听起来很合理。所以我去 Cisco Packet Tracker(一个漂亮的小网络模拟器程序)中测试它。在我的虚拟路由器的 IOS CLI 中,我输入以下内容:
jcios01#config term
Enter configuration commands, one per line. End with CNTL/Z.
jcios01(config)#interface GigabitEthernet9/0
jcios01(config-if)#no ip mask-reply
^
% Invalid input detected at '^' marker.
我很困惑。这就是文件告诉要做的。启用,“配置术语”,“接口”,然后“无 ip 掩码回复”。我是不是忘记了什么?
是的,我是思科新手。
如果我有两个 shell 打开每个 ping 同一台主机,这两个 shell 如何区分每个 shell 返回的 ICMP 响应?
我正在寻找在一组网络中在线的所有主机。
我想找出170.10全网所有在线的主机。. (有~64K 可能的主机)。我尝试扫描的网络是内部本地网络。
我使用了 nmap 工具。但是大约需要50分钟,这太长了。在 64K 主机中,可能只有大约 20-40 台主机在线。但问题是它们可能位于可能的 256 个网络中的任何一个(或一个或多个)网络中。
我正在寻找一种方法来快速解决这个问题。我不认为使用 ping 命令会有所帮助,因为 ping 64K 主机不会更快。
我正在寻找任何替代解决方案,也许将 ICMP 数据包直接广播到所有 256 个网络或类似的东西。
任何想法/建议?谢谢。
这完全是一个孤立的事件,但我执行了以下命令:
ping 192.168.1.134
并得到了这个结果 [图像]:
Pinging 192.168.1.134 with 32 bytes of data:
Reply from 192.168.1.133: Destination host unreachable.
Reply from 192.168.1.134: bytes=32 time=75ms TTL=128
Reply from 192.168.1.134: bytes=32 time=83ms TTL=128
Reply from 192.168.1.134: bytes=32 time=96ms TTL=128
请注意第一个“无法访问”回复中的 .133。我想我不明白这是怎么可能的——即使是一个完全疯狂的巧合。
我的计算机正在向任意目的地发送 ICMP 数据包。我无法理解原因。数据包之一的转储是:
Internet Control Message Protocol
Type: 3 (Destination unreachable)
Code: 3 (Port unreachable)
Checksum: 0x811b [correct]
Internet Protocol, Src: 80.167.113.76 (80.167.113.76), Dst: 192.168.1.2 (192.168.1.2)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 131
Identification: 0x0631 (1585)
Flags: 0x00
0... .... = Reserved bit: Not set
.0.. .... = Don't …我在 INPUT 链上丢弃了所有 ICMP 类型 8 数据包,所以现在我看到日志条目,因为 Fabric 脚本尝试联系另一台服务器,如下所示:
kernel: INPUT DROP IN=eth0 OUT= SRC=<ip1> DST=<ip2> LEN=88 TOS=0x00 PREC=0xC0 TTL=50 ID=60964 PROTO=ICMP TYPE=3 CODE=3 [SRC=<ip2> DST=<ip1> LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=45897 DF PROTO=TCP SPT=34120 DPT=22022 WINDOW=14600 RES=0x00 SYN URGP=0 ]
但是,它们与我习惯的 tcp/udp 日志条目不同,特别是方括号中的部分。它的不同部分有什么关系?