From: Can Erkin Acar (can.acar@pro-g.com.tr)
Date: Fri 06 May 2005 - 11:37:49 EEST
ozgur uncuoglu wrote:
> icmp hakkında pek az şey biliyorum.snort loglarında
> ICMP Large ICMP Packet
> ICMP Destination Unreachable Communication Administratively Prohibited
> ICMP PING NMAP
>
> gibi kayıtlar görüyorum.
ICMP internetin 'kontrol protokolu' dur. Her kontrol mekanizmasi gibi
duzgun calismamasi bir takim sorunlar (MTU problemleri, timeoutlar vb)
ortaya cikartir.
Bir takim ICMP tipleri ECHO vb. daha cok 'debugging' amacli olup
kapatilmasi sistem yoneticisinin tercihine kalmistir. Tabii bunun
bile yan etkileri olabilir (orn. makine uzerinde icmp kapatildigi icin
ping atamayan ve makineyi kapali sanan LB switchler ve bunun basinda
kafayi yiyen adminler).
Diger bir tur ICMP mesaji ise bir IP paketi ile ilgili hata mesajlarini
icerir, ve payload olarak icerisinde hata olusturan paketin basligini
icerir. Internetin saglam calismasi icin bu hata mesajlarina ihtiyac
vardir.
Tabii ki her protokolu oldugu gibi ICMP yi de kotuye kullanmak mumkun,
ancak pire icin yorgan yakmamak da onemli.
OpenBSD/pf dogru sekilde davranip, tuttugu baglanti durum bilgileri
(state) ile eslesen ICMP hata mesajlarini state kapsaminda ele aliyor
(yani hata mesaji icerisindeki paketi kontrol ederek state ile
eslestiriyor)
> iptables ile hangi icmp tiplerini engelleyebilirim.hangisini kapatmak
> sorun yaratır?
Bu kadar aciklamadan sonra iptables icin kolay bir cozum bilmiyorum
dogrusu.
-- Dr. Can E. Acar Pro-G Bilisim Guvenligi ve Arastirma Ltd. http://www.pro-g.com.tr _______________________________________________ Linux-ag mailing list Linux-ag@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-ag