我目前工作的公司不允许通过防火墙发出ping 请求,出于“安全原因”,我对为什么这是一个问题感到困惑。
在您向我指出(例如)这个问题之前,请注意我不是在谈论响应从网络外部发出的 ping 请求。我说的是从公司网络内部 ping。
因此,例如,我试图解决 Linux VM 上的网络问题,并且(天真地)假设 ping google.com 会告诉我是否有任何连接(mtr没有安装在这个 VM 上,或者我会使用那个),并且所有迹象都指向一些网络问题,或者我之前能够通过的代理服务器的配置发生变化(使用cntlm)。
真的有正当理由阻止您自己的用户 ping 外部服务器吗?
如果您允许 ICMP 回显请求(类型 8,代码 0),那么大概您将允许 ICMP 回显回复(类型 0,代码 0)返回。ICMP 回显回复可用于目标网络的反向映射,即使有过滤设备(例如外围的防火墙)。虽然这是一种古老的攻击,但现代防火墙可以轻松阻止它(假设它们配置正确)。
Smurf DDOS 攻击首先利用中间网络响应广播 icmp 消息,然后向后续受害者发送 IMCP 回显请求。
这是关于 ICMP 攻击的白皮书- 它很旧但仍然有效并且包含很好的信息。
上面已经很好地介绍了 C&C 通信,但这是另一篇关于隐蔽通道的旧论文,其中展示了一些示例,特别是围绕 Loki 使用回显请求和回复。
也可以使用ptunnel使用 ICMP 回显请求和回复建立 TCP 连接,从而绕过其他防火墙限制(如果您允许 ICMP 请求发出和回复)。在之前的测试中,这种连接是可靠且有弹性的。
想到的一些:
我敢肯定还有其他人,但是您为什么不直接问他们该特定安全措施的目标呢?
一些攻击者可能会使用出站 ICMP 数据包从受害机器发送数据,请阅读有关隐蔽通道的更多信息。