ICMP geniş bir komut koleksiyonundan oluşur. Tüm bunlara izin verilmemesi ağınızı tuhaf yollarla kesecektir.
ICMP, "traceroute" ve "ping" (ICMP echo request) gibi şeylerin çalışmasına izin verir. Böylece bu bölüm normal teşhis için oldukça faydalıdır. Ayrıca, modern bir DNS sunucusunda, daha hızlı sorgulamak için farklı bir makine seçmenize yardımcı olabilecek bir DNS sunucusu (erişilemez bağlantı noktası) çalıştırdığınızda geri bildirim için kullanılır.
Yol MTU keşfi için ICMP kullanılır. Muhtemelen işletim sisteminiz gönderdiği TCP paketlerinde "DF" (parçalanma) setleridir. Yol boyunca bir şey bu paket boyutunu işleyemezse, ICMP "gerekli parçalanma" paketini geri almayı beklemektedir. Tüm ICMP'yi engellerseniz , makineniz temel olarak bir PMTU "karadelik" algılamak için bir zaman aşımı kullanan ve asla doğru şekilde optimize edilmeyen diğer geri dönüş mekanizmalarını kullanmalıdır.
ICMP'nin çoğunu etkinleştirmek için muhtemelen birkaç iyi neden daha vardır.
Şimdi sorunuzu neden devre dışı bırakacağınız:
ICMP'nin bir kısmını devre dışı bırakma nedenleri :
- Bir ev sahibinin saldırmaya çalışmadan önce hayatta olup olmadığını görmek için ICMP yankı isteğini (aka ping) kullanan eski stil solucanlarından koruma. Günümüzde modern bir solucan zaten deniyor ve artık etkili değil.
- Altyapınızı gizleme. Bunu yapmak istiyorsanız, lütfen ağınızın kenarında engelleyin. Her bilgisayarda değil. Bu sadece bir şeyler ters gittiğinde ve tüm normal analiz araçları başarısız olduğunda yöneticinizin tüm saçlarını kafasından hayal kırıklığına uğratmasına neden olur. (Bu durumda: Amazon bulutun kenarında engelleyebilir).
- ICMP'ye dayalı hizmet reddi saldırıları. Bunları diğer DOS saldırılarıyla aynı şekilde işleyin: Hız sınırı.
- Tek geçerli olan: Güvenli olmayan bir ağdaysanız, yönlendiricinin değişti komutunu engellemek veya devre dışı bırakmak isteyebilirsiniz. Sorun: Sunucularınızı güvenli bir ağda kullanın.
ICMP'yi engellemeyi öneren 'sunucu sertleştirme' el kitaplarının olduğunu unutmayın. Yanlış (ya da en azından yeterince ayrıntılı değil). MAC filtreleme veya SSID'yi gizleme yoluyla kablosuz 'güvenlik' ile aynı kategoriye girerler.