Так-ли страшен icmp?

Могу сказать точно - бить по голове нужно тех админов, которые пинги закрывают!

У меня все.

Да хрен с ними, с пингами. ICMP используют всякие действительно нужные штуки типа pmtu discovery.

Это ещё с чего? Ничего что новые Windows их тоже не умеют если ты не из ихней подсети..? Всех по голове бить теперь?

«Подменять» маршруты могут только маршрутизирующие устройства (если не рассматривать атаки со спуфингом). Если у вас с ними что-то не так, то «подмена» ими маршрута — это наименьшее из того, о чем вам следует беспокоиться. У ICMP есть ряд явно нужных опций, которые должны быть разрешены, запрещать остальные или нет частное дело каждого, имхо. На мой взгляд, есть масса гораздо более насущных проблем, которые требуют внимания.

Я советую весь закрывать. А главное - пинг закрыть, чтобы школодудосеры не могли понять точно когда ты «слетел» от их «атаки», а когда нет. Это для них главное.

Если держишь ресурс, тогда полностью ICMP закрывать смысла нет. IPTables вообще штука хорошая, но если захотят задудосить, то сделают это. Проксирование - более серьёзное решение.

ихней

Что-что?

ихней

facepalm.png
Есть слово «их». Нет слов «ихней», «ёёшней», «евошней», «еенной», «евонной» и т.п. Сложно понять, да?

Я советую весь закрывать.

Вот где настоящий faicepalm!

Сложно понять, да?

Ты о чём..? Домушник!

Я советую весь закрывать. А главное - пинг закрыть, чтобы школодудосеры не могли понять точно когда ты «слетел» от их «атаки», а когда нет.

Что им мешает с этой целью пытаться установить соединение по какому-нибудь из портов?

Клоунам и неучам (это про тебя, если что) слова не давали.

Отсутствие знаний и опыта.
Многие из них даже не знают о том, что блокировка пинга icmp != закрытые порты. У них схема такая:
1. Узнаем IP.
2. Открываем cmd или check-host.net / 2ip / etc.
3. Посылаем icmp запросы до IP. 4. Атакуем со Stresser / Booter - сервисов нужный IP до того момента, пока icmp запросы не перестанут отправляться. ??? PROFIT!
Если же запросы не идут, то такой школокулхацкер в обиде, ибо не может узнать точно «слетел» ли или нет. Считает такой IP «под защитой».

4. Атакуем со Stresser / Booter - сервисов нужный IP до того момента, пока icmp запросы не перестанут отправляться. ??? PROFIT!

И что это даст?
1) Я видел серваки которые отвечали на icmp, но из за досса они больше лежали чем стояли
2) И что как только сервер перестанет отвечать на icmp его можно оставлять? А ничего что он в себя придёт и будет дальше работать?

Никогда не блокировал icmp вообще. Брат жив.

Так-ли страшен icmp?

Нет.

Да ну, это предрассудки какие-то. Я вот ставлю себя на место кулхацкера - мне бы и в голову не пришло пинговать атакуемый сайт. Атаку ведь проводят не против машины, а против сервиса, который она предоставляет - значит надо контролировать как сервис лёг, и пофиг на то, как она пингуется.

С другой стороны, при ограничении трафика, наверное, можно так испинговать хост, что у него лимит трафика будет исчерпан и провайдер его просто отрубит от сети.. Но тут файрвол на хосту уже ничем не поможет, да и по ХТТП проще заливать объёмы.

Ладно, ладно, не тяфкай как уличный пёс на велосипидистов, иди закрой у себя весь icmp, и сиди потом, тупняки коннектов лови.

И откуда только у девушек берётся столько агрессии... Не понимаю. :(

Это для них главное

Это же лучше через брайзер смотреть.

Блокируй только ICMP redirects, делов то.

Что за литература то такая? Нигде кроме хабра таких советов не видел. Ты высеры этих даунов за литературу считаешь?

бить по голове нужно тех админов, которые пинги закрывают!

Админы - фиг с ними. Их крокодилы. А вот производителям ПО и железа, где это по-умолчанию, отрывать надо руки немедленно.

Ничего что новые Windows их тоже не умеют если ты не из ихней
подсети..? Всех по голове бить теперь?

Этих - первую очередь. В MS дебилы сидят конченные. Они свою ОС хомячкам продают, ХОМЯЧКМ ! Как разбираться с их проблемами ? И icmp echo на больших пакетах хоть качество канала можно проверить, загрузив его до пложенного лимита, а когда закрыто, то что ? Людей на выезд слать ? Зато файрвол...

Вот про «не из ихней подсети» - это где так ? Неужели хоть чуть-чуть одумались ?

Я советую весь закрывать.

Дельный совет. Впрочем, смотрю, тебе сказали уже. Могу лучше дать - кабель оторви совсем. :-)

Вот про «не из ихней подсети» - это где так ? Неужели хоть чуть-чуть одумались ?

Ты знаешь, спорить не буду, может я и не прав, может они всё блокируют. У меня стойкое ощущение, что из своей подсети, на ping отвечает вроде Windows7. Но могу ошибаться.

В MS дебилы сидят конченные.

Боюсь, что у этих дебилов есть за плечами мировой опыт, и он показывает, что пользы от закрытия того или иного, больше, чем вреда. Вот и закрывают. Не вижу тут маркетинга.

Мировой опыт чего? Создания проблемного решета?

Пока, никто, ничего лучше не предложил, если не считать Попова Дениса, и его BolgenOS, конечно.

Боюсь, что у этих дебилов есть за плечами мировой опыт,

По производсту говна. Это да. :-)

и он показывает, что пользы от закрытия того или иного, больше, чем вреда.

Ранние винды можно было завалить атакой через icmp, но это надо в консерватории править, а не закрываться файрволом спустя десятилетие, не находишь ? :-) Не помню, как оно называлось, отложилось про теардроп, но это другая штука (сейчас погуглил, освежил в памяти), с icmp не связанная.

Такя штука ещё есть: http://en.wikipedia.org/wiki/Smurf_attack
Но для этого не надо всё закрывать, надо просто не отвечать на icmp, приходящий на броадкастный адрес. В общем, всё решаемо, если думать головой, а не другими местами.

Боюсь, что все, абсолютно все твои доводы, померкнут перед тем, что Windows инсталляций 89 процентов, 10 процентов MacOS, 1 процент Linux - если рассматривать рабочие места. Так, что ты можешь говорить всё что угодно, но что есть, то есть... Взять тот-же Linux - там даже нету никакого антивируса. Вот так пойдёт оно в массы если - будет сразу полный ад и треш, уж не говоря про то, что популярные дистрибутивы имеют по-умолчанию вообще выключенный firewall. Windows XP - уже в прошлом, а современные версии Windows из коробки комплектуются firewall - относительно вменяемым, и антивирусом, так же хоть сколько-нибудь вменяемым.

померкнут перед тем, что Windows инсталляций 89 процентов

Мириады мух не могут ошибаться, знаю-знаю. :-)

Взять тот-же Linux - там даже нету никакого антивируса.

Начнём с того, что ClamAV таки есть. И DrWeb/KAV разное. А продолжим тем, что жизнь заразы в Linux имеет свою специфику, которая позволяет её плодиться, в основном, в виде скриптов в домашних каталогах. Ну и в кэшах браузеров, что, согласись, обуславливает простые способы для удаления оной.

уж не говоря про то, что популярные дистрибутивы имеют
по-умолчанию вообще выключенный firewall.

А зачем нужен файрвол, если все сервисы, так же, отключены ? Вот будешь сервисы поднимать, тогда начинай их прикрывать, если это необходимо. Файрвол нужен тогда, когда у тебя кто-то порты слушает, или у тебя роутер, и за тебя пройти можно.

а современные версии Windows из коробки комплектуются firewall - относительно вменяемым,

Только вот с невменяемыми настройками по-умолчанию.

Начнём с того, что ClamAV таки есть. И DrWeb/KAV разное.

А ты не в курсе, кстати, оно уже умеет ловить именно вирусы для Linux, а не для Windows?

А зачем нужен файрвол, если все сервисы, так же, отключены ?

Я думаю, что ребята из MS, имеют опыт промышленной эксплуатации Windows в промышленных масштабах, и огромных корпорациях. Наверно они пришли к тому, что таки да: firewall нужен, по-умолчанию всякому. Как бы нелепо это не звучало. :)

А ты не в курсе, кстати, оно уже умеет ловить именно вирусы для Linux, а не для Windows ?

Оно ловит по сигнатуре. Кто же виноват, что традиционных вин/дос вирусов в Linux на столько мало, что можно считать, что нет ? По крайней мере, в дикой природе. А черви-руткиты - это, как раз, то, о чём я написал, что руками выковыривается элементарно.

Я думаю, что ребята из MS, имеют опыт промышленной эксплуатации Windows

Я не уверен, что мой опыт хуже качеством. Думаю, даже, очень сильно наоборот. А есть люди с опытом и ещё побольше. Но не ребятам из MS учить, нет. ;-)

Наверно они пришли к тому, что таки да: firewall нужен

Он должен быть, потому как может оказаться нужен. А начальная настройка должна делаться именно исходя из наличия сервисов, подлежащих защите. Они дошли до необходимости наличия файрвола, на минуточку, лет через 20, как это стало реально нужно. Но дошли так, что лучше бы уж не доходили.

Ключевое слово - «в корпорациях». В сетке с AD дефолтные настройки файрвола никого не волнуют, они всё равно переписываются прикатившимися из GPO.

А вот у домашнего пользователя MS делает «как удобнее». В итоге закрытые пинги и чтобы открыть доступ к вещам, которые должны работать «из коробки» (типа PSexec или RDP) приходится поразвлекаться с правкой реестра и прочими плохо документированными вещами.

Ключевое слово - «в корпорациях». В сетке с AD дефолтные настройки файрвола никого не волнуют, они всё равно переписываются прикатившимися из GPO.

Именно.

А вот у домашнего пользователя MS делает «как удобнее». В итоге закрытые пинги и чтобы открыть доступ к вещам, которые должны работать «из коробки» (типа PSexec или RDP)...

Тут деление на ноль. 99,9 процентам домашнего пользователя это не нужно.

Не страшен.

Я советую весь закрывать.

https://en.wikipedia.org/wiki/Path_MTU_Discovery#Problems_with_PMTUD