Warum reagieren einige Webserver nicht auf icmp-Anfragen?

Was ist der Zweck des Blockierens / Löschens von eingehendem ICMP-Verkehr auf einem öffentlichen Webserver? Ist es üblich, dass es blockiert wird?

Ich musste testen, ob ein Server von verschiedenen Standorten aus zugänglich war (getestet auf verschiedenen Servern in verschiedenen Bundesstaaten / Ländern). Ich würde mich auf Ping als schnelle und zuverlässige Methode verlassen, um festzustellen, ob ein Server online / über das Netzwerk erreichbar ist. Nachdem ich auf einigen Boxen keine Antwort erhalten hatte, versuchte ich, die Site mit lynx zu laden, und es funktionierte.

Heutzutage ist es ziemlich üblich, ICMP zu löschen, da dies eine generische Methode für Denial-of-Service-Zwecke ist. Ein Host mit höherer Bandbreite oder mehrere Hosts, die wiederholt einen einzelnen Webserver anpingen, können die gesamte Bandbreite nutzen.

Andere fallen möglicherweise aus, um ihren Fußabdruck im Internet zu verringern, und werden daher möglicherweise vom Massenscan-Verkehr übersehen.

Obwohl es üblich ist, würde ich argumentieren, dass es wenig Wert bietet und wenig dazu beiträgt, DoS und Footprint zu minimieren und gleichzeitig das diagnostische Potenzial zu begrenzen.

Abgesehen vom zweifelhaften DoS-Schutz und dem verringerten Profil gibt es einen häufigen, aber übersehenen Grund, warum eine bestimmte IP möglicherweise nicht auf Pings reagiert: Sie ist eigentlich keiner Schnittstelle zugewiesen.

Durch die Umleitung (Portweiterleitung) von IP- / Protokoll- / Port-Tupeln zu den verschiedenen gewünschten Diensten erhalten Sie eine höhere Dienstdichte in einem kleineren Netzwerk.

Angenommen, Ihr ISP leitet 1.2.3.4/30 an Sie weiter. Sie haben drei Möglichkeiten:

• Leiten Sie sie normal weiter. Sie haben zwei verwendbare IP-Adressen, von denen eine Ihr Gateway sein muss, also ein einziger Host.
• NAT externe IP zu interner IP. Lässt Sie vier Gastgeber.
• Leiten Sie den Datenverkehr nach Bedarf zu internen Diensten um. SMTP (TCP 25), DNS (TCP / UDP 53) und Ihre Unternehmenswebsite (TCP 80.443) können alle unter einer einzigen externen Adresse vorhanden sein.

Der dritte Weg wird immer häufiger. Die meisten Administratoren (ich selbst eingeschlossen) machen sich beim Einrichten nicht die Mühe, ICMP umzuleiten, damit es nur an der Firewall abfällt.

Das Blockieren von ICMP-Typ 0 (Echoantwort) schadet nicht, aber das Blockieren des gesamten ICMP-Datenverkehrs unterbricht die Antworten an den Client, wenn eine Verbindung im Retun-Pfad eine MTU aufweist, die kleiner als die maximale Sendungssegmentgröße der TCP-Verbindung ist. Dies liegt daran, dass der Webserver keine ICMP-Typ-3-Code-4-Pakete mehr empfangen kann (Ziel nicht erreichbar; Fragmentierung erforderlich und DF festgelegt).

In der Praxis ist dies kein großes Problem, da jeder, der den Datenverkehr tunneln muss, auch einen Mechanismus für den Umgang mit der Vielzahl von Webservern einrichten muss, deren TCP-Stapel durch falsch konfigurierte Firewalls behindert werden.

Hilft bei Denial-of-Service-Angriffen. Kein wirklicher Grund müssen Sie die Seite geöffnet von der Öffentlichkeit anzusprechen.

Außerdem werden die Statistiken für die Website nicht angegeben. Ein Host oder eine IP könnte leicht für eine Lastausgleichsfarm von Servern im Back-End antworten (das Pingen einer mysite.com sagt Ihnen nicht, ob alle Server hinter dem Namen ordnungsgemäß funktionieren.)

Könnte nur die Richtlinie des Unternehmens sein, unnötigen Datenverkehr zu löschen oder nur zuzulassen, dass Port 80- und SSL-Datenverkehr intern auf andere Server umgeleitet werden.

Ich denke, die andere Frage wäre, warum Sie sich die Mühe machen sollten, dass externe Systeme Ihre Server anpingen, wenn dies wirklich nicht erforderlich ist.