ICMP協(xié)議是什么意思,ICMP有哪些防護措施?

　　ICMP是“Internet Control Message Protocol”(Internet控制消息協(xié)議)的縮寫(xiě)。它是TCP/IP協(xié)議族的一個(gè)子協(xié)議，用于在IP主機、路由器之間傳遞控制消息�？刂葡�息是指網(wǎng)絡(luò )通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò )本身的消息。這些控制消息雖然并不傳輸用戶(hù)數據，但是對于用戶(hù)數據的傳遞起著(zhù)重要的作用。

　　我們在網(wǎng)絡(luò )中經(jīng)常會(huì )使用到ICMP協(xié)議，只不過(guò)我們覺(jué)察不到而已。比如我們經(jīng)常使用的用于檢查網(wǎng)絡(luò )通不通的Ping命令，這個(gè)“Ping”的過(guò)程實(shí)際上就是ICMP協(xié)議工作的過(guò)程。還有其他的網(wǎng)絡(luò )命令如跟蹤路由的Tracert命令也是基于ICMP協(xié)議的。

　　ICMP防護措施介紹：

　　ICMP最初開(kāi)發(fā)出來(lái)是為了"幫助"網(wǎng)絡(luò )，經(jīng)常被廣域網(wǎng)管理員用作診斷工具。但今天各種各樣的不充分的ICMP被濫用，沒(méi)有遵守RFC 792原先制訂的標準，要執行一定的策略可以讓它變得安全一些。

　　入站的ICMP時(shí)間標記(Timestamp)和信息請求(Information Request)數據包會(huì )得到響應，帶有非法或壞參數的偽造數據包也能產(chǎn)生ICMP參數問(wèn)題數據包，從而允許另外一種形式的主機搜尋。這仍使得站點(diǎn)沒(méi)有得到適當保護。

　　以秘密形式從主方到客戶(hù)方發(fā)布命令的一種通用方法，就是使用ICMP Echo應答數據包作為載波。 回聲應答本身不能回答，一般不會(huì )被防火墻阻塞。

　　首先，我們必須根據出站和入站處理整個(gè)的"ICMP限制"問(wèn)題。ICMP回聲很容易驗證遠程機器，但出站的ICMP回聲應該被限制只支持個(gè)人或單個(gè)服務(wù)器/ICMP代理(首選)。

　　如果我們限制ICMP回聲到一個(gè)外部IP地址(通過(guò)代理)，則我們的ICMP回聲應答只能進(jìn)入我們網(wǎng)絡(luò )中預先定義的主機。

　　重定向通�？梢栽诼酚善髦�間找到，而不是在主機之間。防火墻規則應該加以調整，使得這些類(lèi)型的ICMP只被允許在需要信息的網(wǎng)際連接所涉及的路由器之間進(jìn)行。

　　建議所有對外的傳輸都經(jīng)過(guò)代理，對內的ICMP傳輸回到代理地址的時(shí)候要經(jīng)過(guò)防火墻。這至少限制了ICMP超時(shí)數據包進(jìn)入一個(gè)內部地址，但它可能阻塞超時(shí)數據包。

　　當ICMP數據包以不正確的參數發(fā)送時(shí)，會(huì )導致數據包被丟棄，這時(shí)就會(huì )發(fā)出ICMP參數出錯數據包。主機或路由器丟棄發(fā)送的數據包，并向發(fā)送者回送參數ICMP出錯數據包，指出壞的參數。

　　總的來(lái)說(shuō)，只有公開(kāi)地址的服務(wù)器(比如Web、電子郵件和FTP服務(wù)器)、防火墻、聯(lián)入因特網(wǎng)的路由器有真正的理由使用ICMP與外面的世界對話(huà)。如果調整適當，實(shí)際上所有使用進(jìn)站和出站ICMP的隱密通訊通道都會(huì )被中止。

【ICMP協(xié)議是什么意思,ICMP有哪些防護措施?】相關(guān)文章：

舊城改造洞口防護的措施有哪些-洞口作業(yè)有哪些防護要求03-25

挖掘機安全操作的防護措施有哪些10-15

磨床的安全防護有哪些常識03-26

腳手架架設有哪些安全防護措施03-29

登革熱的預防措施有哪些06-07

冬季混凝土施工的防護措施03-19

避免網(wǎng)站被掛馬的措施有哪些?03-22

艾滋病的護理措施有哪些03-19

冠心病人護理措施有哪些03-13