因此,我们最近从 LIR 获得了 /48 前缀,并开始在实验室中进行小规模部署。
让我感到奇怪的是,像http://ipv6-test.com/这样的网站坚持要求您允许传入的 ICMP Echo 请求。我明白为什么你应该允许 ICMPv6 传出,但传入?即使它只是一个ping?
所以,我的问题是:除了可能使用 ICMP 的 DDoS 攻击之外,允许传入的 ICMP 回声请求是否有任何缺点?
我阅读了 RFC4890 ( https://www.ietf.org/rfc/rfc4890.txt ),但在那里找不到明确的答案。
A.5. ICMPv6 回声请求和回声响应
表明
人们认为对设计良好的 IPv6 网络(参见第 3.2 节)进行扫描攻击不会带来重大风险,因此默认情况下应允许连接检查。
鉴于 RFC 已经快 10 年了,这一点仍然有效吗?此外,RFC 不区分传出和传入方向。
我一直觉得 v4 的建议是在网关阻止 ICMP,但话说回来,v6 严重依赖 ICMP。
那么,有什么建议吗?