¿Son realmente malos los mensajes de redireccionamiento de ICMP?

8

Debido al potencial de ataque MITM, los mensajes de redireccionamiento ICMP deben bloquearse. Sin embargo, el propósito original del mensaje de redireccionamiento ICMP es informar al host de un mejor enrutador (o puerta de enlace).

Entonces, ¿hay un problema de velocidad al deshabilitar los mensajes de redireccionamiento ICMP en el host? ¿O es insignificante?

baeharam
fuente
En una red configurada correctamente, los redireccionamientos no ocurren y no son necesarios. El cumplimiento estricto de las reglas vería el paquete descartado: nunca reenvíe un paquete fuera de la interfaz en la que se recibió, pero nadie lo ha hecho durante décadas. No se puede confiar en los redireccionamientos , por lo que la mayoría de los hosts no los respetan, por lo que la mayoría de los administradores configuran sus enrutadores para no molestarse en enviarlos.
Ricky Beam

Respuestas:

8

ICMP re-dirige más a menudo se ven cuando se tiene un host o router Aen la misma subred con otros dos routers By Cy conectividad a ambos. Considere la siguiente red:

   |__192.168.1.0/24__|
   | |                |
     |
     |   |___192.168.8.0/24__|
     |   | |                 |
     B     C
|____|_____|____|
|       |       |
        A

Atendrá una ruta (probablemente un valor predeterminado) apuntando a B, y Btendrá una ruta más específica a la que 192.168.8.0/24apunta C.

Sin redireccionamientos ICMP, todo el tráfico de Aa 192.168.8.0/24será enrutadoA->B->C

Con ICMP re-direct habilitado, Binformará Aque Ces un mejor próximo salto y se enrutará el tráfico posterior A->C.

Obviamente, B es un salto adicional y, dependiendo del tipo de caja que sea, puede introducir latencia adicional.

Deshabilitar los redireccionamientos ICMP y rediseñar la red para evitar esta situación por completo sería la solución preferida, por ejemplo:

   |__192.168.1.0/24__|
   | |                |
     |
     |   |___192.168.8.0/24__|
     |   | |                 |
     B-----C
|____|__________|
|       |       |
        A

(o eliminar por Ccompleto y colgar 192.168.8.0/24 directamente apagado B).

Benjamin Dale
fuente
Entonces, ¿qué quiere decir es que la estructura de la red es más importante que la redirección ICMP?
baeharam
La redirección de ICMP indica que hay un enrutamiento subóptimo configurado e intenta resolver esto. En mi opinión, este es un problema de diseño
Benjamin Dale es el
1
En realidad, su rediseño simplemente elimina la posibilidad de usar una redirección ICMP para optimizar la ruta; todo lo que obtiene es una ruta inevitable A-> B-> C y viceversa (!). Un rediseño de optimización debería eliminar C y conectar su subred / enlace a B.
Zac67
Sí, esto se me ocurrió cuando estaba haciendo el rediseño:) Pero pensé que eliminar C podría haber cambiado demasiado las cosas, a veces C podría ser un requisito inevitable (proveedor / NTU de tercera parte a otra red, etc.)
Benjamin Dale
6

La redirección de ICMP es un remanente de una era de confianza, en parte porque las máquinas en red tenían administradores y BYOD era inimaginable.

Ignorar la redirección en el cliente significa que continuará enviándose a través de la puerta de enlace menos eficiente. Esto conducirá a un trabajo innecesario por parte de ese enrutador y al tráfico innecesario en su interfaz, reduciendo ligeramente el rendimiento para todos los que usan esa puerta de enlace.

También aumentará la latencia para el cliente, ya que cada paquete debe dar un salto adicional.

Sin embargo, en el caso general, en una red moderna ambos "costos" serán insignificantes.

La forma ideal de resolver el problema es agregar una ruta en el cliente para usar la puerta de enlace correcta. La redirección de ICMP proporcionó una forma de que ocurriera automáticamente, pero probablemente no se debe confiar, pero siguen siendo una pista de que existe una mejor ruta, y registrarlos permite considerar hacer tal cambio, tal vez después de consultar con los administradores de la red.

Rediseñar la red es probablemente lo incorrecto.

JCRM
fuente
Absolutamente: a veces la simplicidad de la configuración es mucho, mucho más importante que la eficiencia del paquete. He visto redes donde todo el enrutamiento era estático, muchas rutas "subóptimas", tráfico bajo, errores de configuración nunca. El administrador de red feliz mantuvo rutas estáticas perfectas en el enrutador central y eso fue todo. Mantenga siempre referencia a las prioridades de su propia organización. Ciertamente no rediseñe una red a menos que haya un problema real
jonathanjo
"en una red moderna, ambos" costos "serán insignificantes" - sí, pero solo mientras haya un ancho de banda de enlace amplio (que puede incluir en "moderno" ;-).
Zac67
Rutas estáticas en los hosts? estremecimiento simple, sí, pero muy difícil de capturar
Benjamin Dale