所以,我们最近从LIR获得了我们的/ 48前缀,并开始小规模部署在实验室中。
让我感到奇怪的是http://ipv6-test.com/这样的网站坚持允许传入的ICMP Echo请求。 我明白为什么你应该允许ICMPv6传出,但传入? 即使这只是一个平?
所以,我的问题是:除了可能的利用ICMP的DDoS攻击,在允许传入的ICMP回应请求方面是否有缺点?
我读了RFC4890( https://www.ietf.org/rfc/rfc4890.txt ),但在那里找不到明确的答案。
A.5。 ICMPv6回声请求和回声响应
build议
没有人认为在精心devise的IPv6networking上扫描攻击存在很大的风险(见第3.2节),因此默认情况下应该允许连接检查。
鉴于RFC已经快10年了,这一点仍然有效吗? 此外,RFC不区分传出和传入方向。
我总是觉得v4的build议是在网关处阻止ICMP,但是v6又一次严重依赖于ICMP。
那么,有什么build议?
这第一点不是你的问题的直接答案。 我只是把它包括在其中,但是没有意识到ICMPv6的重要性。
IPv6确实需要某些ICMP消息types才能通过。 最重要的是Packet-Too-Big和Parameter-Problem。 如果你阻止这些,那么你将会遇到连接问题。
另外:ARP的IPv6等价物是邻居发现,也使用ICMP数据包。 无状态自动configuration是邻居发现的一部分,所以也需要ICMP。
在IPv4中有一个误解,即所有传入的ICMP应该被阻塞,你可以逃脱。 对于IPv6,您至less需要允许某些ICMP。 看看https://tools.ietf.org/html/rfc4890 ,它包含了一些如何在不破坏协议的情况下过滤ICMP的非常好的build议。
你的问题的答案阻止传入的ICMP回应请求是好的。 我个人不这样做,因为允许他们使debugging更容易,但如果你不想让他们在你不必。 如果你允许他们运行,主要的风险是,如果有人发现一个稳定(非临时/隐私)的地址,例如你的笔记本电脑,那么他们可以继续ping它,看看它什么时候打开。 这可能被认为是隐私风险。 他们将不得不首先find这样的地址,因为对于传出连接,它将使用其临时隐私地址。