英特尔 AMT（主动管理技术）如何不干扰 TCP/IP 主机堆栈？

Question 1

在配置 AMT 监听共享 IP 地址后，我运行了卡斯帕德在上面的评论中。（example.com当然，针对我自己的带有 SSH 服务器的远程主机，实际上并非如此）结果如下：

正面测试用例（使用端口不是AMT 使用)

$ nc -p 16991 example.com 22
SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1.4
^C
$

负面测试用例（使用 AMT 使用的端口）：

$ nc -p 16992 example.com 22
$

（几分钟后，负面测试用例超时并返回到 shell 提示符。）

正如您所看到的，返回端口 16992 的数据包在到达主机的 TCP/IP 堆栈之前被丢弃。

建议：如果可靠的网络对您很重要，请不要在与主机 TCP/IP 堆栈相同的 IP 地址上启用 AMT！

Answer

在配置 AMT 监听共享 IP 地址后，我运行了卡斯帕德在上面的评论中。（example.com当然，针对我自己的带有 SSH 服务器的远程主机，实际上并非如此）结果如下：

正面测试用例（使用端口不是AMT 使用)

$ nc -p 16991 example.com 22
SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1.4
^C
$

负面测试用例（使用 AMT 使用的端口）：

$ nc -p 16992 example.com 22
$

（几分钟后，负面测试用例超时并返回到 shell 提示符。）

正如您所看到的，返回端口 16992 的数据包在到达主机的 TCP/IP 堆栈之前被丢弃。

建议：如果可靠的网络对您很重要，请不要在与主机 TCP/IP 堆栈相同的 IP 地址上启用 AMT！

Question 2

英特尔论坛上有一个争议帖子主机 IP 与 Intel AMT 设备 IP 之间的映射建议

使用静态 IP 操作时，必须为 AMT 和主机配置不同的 IP 地址。

并解释道：

当您使用静态 IP 配置 vPro 计算机时，AMT 将使用称为可管理性 mac 的 mac 地址，该地址仅在静态 IP 模式下起作用。可管理性 mac 地址与主机提供的 mac 地址不同。

我确认在 AMT 和主机上使用 DHCP 会导致路由问题。例如 ping 误导：

64 bytes from 192.168.1.11: icmp_seq=18 ttl=64 time=0.559 ms
64 bytes from 192.168.1.11: icmp_seq=18 ttl=255 time=0.614 ms (DUP!)
64 bytes from 192.168.1.11: icmp_seq=19 ttl=64 time=0.579 ms
64 bytes from 192.168.1.11: icmp_seq=19 ttl=255 time=0.630 ms (DUP!)
64 bytes from 192.168.1.11: icmp_seq=20 ttl=64 time=0.553 ms
64 bytes from 192.168.1.11: icmp_seq=20 ttl=255 time=0.602 ms (DUP!)

Answer

英特尔论坛上有一个争议帖子主机 IP 与 Intel AMT 设备 IP 之间的映射建议

使用静态 IP 操作时，必须为 AMT 和主机配置不同的 IP 地址。

并解释道：

当您使用静态 IP 配置 vPro 计算机时，AMT 将使用称为可管理性 mac 的 mac 地址，该地址仅在静态 IP 模式下起作用。可管理性 mac 地址与主机提供的 mac 地址不同。

我确认在 AMT 和主机上使用 DHCP 会导致路由问题。例如 ping 误导：

64 bytes from 192.168.1.11: icmp_seq=18 ttl=64 time=0.559 ms
64 bytes from 192.168.1.11: icmp_seq=18 ttl=255 time=0.614 ms (DUP!)
64 bytes from 192.168.1.11: icmp_seq=19 ttl=64 time=0.579 ms
64 bytes from 192.168.1.11: icmp_seq=19 ttl=255 time=0.630 ms (DUP!)
64 bytes from 192.168.1.11: icmp_seq=20 ttl=64 time=0.553 ms
64 bytes from 192.168.1.11: icmp_seq=20 ttl=255 time=0.602 ms (DUP!)

Question 3

从远程主机返回的数据包是否会被“黑洞”并永远无法到达操作系统？

来自远程主机的所有带有“AMT 端口”的数据包都不会到达任何操作系统。它们会被 Intel ME/AMT 拦截。默认情况下，它们是端口 16992-16995、5900（AMT 版本 6+）、623、664。

Answer

从远程主机返回的数据包是否会被“黑洞”并永远无法到达操作系统？

来自远程主机的所有带有“AMT 端口”的数据包都不会到达任何操作系统。它们会被 Intel ME/AMT 拦截。默认情况下，它们是端口 16992-16995、5900（AMT 版本 6+）、623、664。

Question 4

一种解决方案可能是使用来设置 Windows TCP 堆栈的端口netsh。

默认情况下，Windows 使用端口 49152 >> 65636（或任何上限）因此您可以非常安全地使用 AMT。您可以使用设置端口范围netsh。例如，我总是为外围机器使用大约 1000 个端口。

此外，英特尔会剥离 AMT 命令并将这些端口（实际上是 16991-16995！）上的所有其他流量传递给操作系统（如果存在操作系统）。因此，如果您有一个打开 AMT 范围内端口的应用程序，流量仍将通过操作系统传递给应用程序，因为就像我说的那样，英特尔只剥离了 AMT 管理命令。您的应用程序不太可能发送 AMT 命令。

Answer

一种解决方案可能是使用来设置 Windows TCP 堆栈的端口netsh。

默认情况下，Windows 使用端口 49152 >> 65636（或任何上限）因此您可以非常安全地使用 AMT。您可以使用设置端口范围netsh。例如，我总是为外围机器使用大约 1000 个端口。

此外，英特尔会剥离 AMT 命令并将这些端口（实际上是 16991-16995！）上的所有其他流量传递给操作系统（如果存在操作系统）。因此，如果您有一个打开 AMT 范围内端口的应用程序，流量仍将通过操作系统传递给应用程序，因为就像我说的那样，英特尔只剥离了 AMT 管理命令。您的应用程序不太可能发送 AMT 命令。

英特尔 AMT（主动管理技术）如何不干扰 TCP/IP 主机堆栈？

答案1

答案2

答案3

答案4

相关内容