Por que alguns servidores web não respondem a solicitações icmp?

Qual é o objetivo de bloquear / eliminar o tráfego ICMP de entrada em um servidor público da Web? É comum que seja bloqueado?

Eu tive que testar se um servidor estava acessível em vários locais (testado em vários servidores localizados em diferentes estados / países). Eu confiaria no ping como um método rápido e confiável para determinar se um servidor estava online / acessível em rede. Depois de não receber uma resposta em algumas caixas, tentei usar o lynx para carregar o site, e funcionou.

Atualmente, é bastante comum abandonar o ICMP, pois é um método genérico a ser usado para fins de negação de serviço. Um host com largura de banda maior ou vários hosts executando ping repetidamente em um único servidor da Web pode utilizar toda a largura de banda.

Outros podem cair para diminuir sua presença na Internet, sendo potencialmente esquecidos pelo tráfego de varredura em massa.

Embora seja comum, eu argumentaria que ele oferece pouco valor e faz pouco para minimizar DoS e pegada, limitando o potencial de diagnóstico.

Além da proteção duvidosa do DoS e do perfil reduzido, há um motivo comum, mas esquecido, de um determinado IP não responder a pings: na verdade, ele não está atribuído a uma interface.

Redirecionar tuplas de IP / protocolo / porta para os vários serviços desejados oferece maior densidade de serviços em uma rede menor.

Por exemplo, suponha que seu provedor de serviços de Internet direcione 1.2.3.4/30 para você. Você tem três opções:

• Encaminhe-os normalmente. Deixa dois IPs utilizáveis, um dos quais deve ser seu gateway, para um único host.
• IP externo NAT para IP interno. Deixa quatro anfitriões.
• Redirecione o tráfego para serviços internos, conforme necessário. O SMTP (TCP 25), o DNS (TCP / UDP 53) e o site corporativo (TCP 80.443) podem existir em um único endereço externo.

A terceira maneira é cada vez mais comum. A maioria dos administradores (inclusive eu), ao configurá-lo, não se preocupa em redirecionar o ICMP para que ele caia no firewall.

Não há mal nenhum em bloquear o ICMP tipo 0 (resposta de eco), mas o bloqueio de todo o tráfego ICMP interrompe as respostas do cliente se qualquer link no caminho de nova execução tiver uma MTU menor que o tamanho máximo do segmento de envio da conexão TCP. Isso acontece porque o servidor da Web não pode mais receber pacotes de código 4 do tipo 3 do ICMP (destino inacessível; fragmentação necessária e conjunto de DF).

Na prática, isso não é um grande problema, porque qualquer pessoa que precise encapsular o tráfego também deve configurar um mecanismo para lidar com a multiplicidade de servidores Web que possuem pilhas TCP, que são dificultadas por firewalls mal configurados.

Ajuda com ataques de negação de serviço. Não há razão real para precisar do site aberto para executar ping do público.

Além disso, ele não fornece as estatísticas do site; um host ou IP pode facilmente responder por um conjunto de servidores de balanceamento de carga no back-end (executar um ping em mysite.com não informa se todos os servidores estão funcionando corretamente por trás do nome).

Pode ser uma política da empresa descartar tráfego desnecessário ou permitir apenas que o tráfego da porta 80 e SSL seja redirecionado internamente para outros servidores.

Acho que a outra pergunta seria: por que se preocupar em permitir que sistemas externos executem ping em seus servidores se eles realmente não precisam?