因此,我们最近从 LIR 获取了 /48 前缀,并开始在实验室中小规模部署它。
让我感到奇怪的是,像http://ipv6-test.com/坚持要求您允许传入 ICMP Echo 请求。我理解为什么您应该允许 ICMPv6 传出,但传入?即使只是一个 ping?
所以,我的问题是:除了可能利用 ICMP 进行 DDoS 攻击之外,允许传入 ICMP 回显请求还有什么缺点吗?
我读过 RFC4890 (https://www.ietf.org/rfc/rfc4890.txt),但找不到明确的答案。
A.5. ICMPv6 回显请求和回显响应
表明
人们认为,对于设计良好的 IPv6 网络来说,扫描攻击并不会造成重大风险(参见第 3.2 节),因此应该默认允许连接检查。
鉴于 RFC 已有近 10 年历史,这一点仍然有效吗?此外,RFC 不区分传出和传入方向。
我一直觉得 v4 的建议是在网关处阻止 ICMP,但 v6 严重依赖 ICMP。
那么,有什么建议吗?
答案1
第一部分并不是对你问题的直接回答。我只是想让那些没有意识到 ICMPv6 重要性的人知道这一点。
IPv6 确实需要某些 ICMP 消息类型才能通过。最重要的是 Packet-Too-Big 和 Parameter-Problem。如果您阻止这些消息,那么您将遇到连接问题。
另外:ARP 的 IPv6 等效项是邻居发现,它也使用 ICMP 数据包。无状态自动配置是邻居发现的一部分,因此也需要 ICMP。
在 IPv4 中,人们误以为所有传入的 ICMP 都应该被阻止,你可以侥幸逃脱。对于 IPv6,你确实需要至少允许一些 ICMP。请查看https://www.rfc-editor.org/rfc/rfc4890,它包含一些关于如何在不破坏协议的情况下过滤 ICMP 的非常好的建议。
你的问题的答案 阻止传入的 ICMP 回显请求是可以的。我个人不会这样做,因为允许它们会使调试变得容易得多,但如果您不想允许它们进入,则不必这样做。如果允许它们进入,您面临的主要风险是,如果有人找到一个稳定的(非临时/隐私)地址,例如您的笔记本电脑,那么他们可以继续 ping 它以查看它何时打开。这可能被视为隐私风险。但他们必须先找到这样的地址,因为对于传出连接,它将使用其临时隐私地址。