企業中禁ping和tracert有什麼實際意義？

1樓：董俊傑

從安全掃瞄上來說，icmp仍然是最高效的掃瞄方式，最少只需要1個包就能判斷主機是否對外服務。而採用tcp的掃瞄方式至少每個常用埠得發乙個掃瞄的syn包，從效率上講就差了好多。因此秉著增加敵人困難度就是對自己有利的防禦方針，很多企業直接對公網提供服務的機器都禁止icmp回包，但內網一般是不會禁止的，因為內網是可信任的安全域，沒必要採取這種增加運維複雜度的防禦措施。

traceroute也同理，因為windows下的traceroute就是基於icmp實現的。

2樓：車小胖

企業禁ping/traceroute，如同作繭自縛，扳石頭砸自己的腳。

這是典型的因噎廢食！ICMP（IP Control Management Protocol）的設計初衷就是解決IP包在傳輸過程中遇到一些錯誤而報告源主機的一種機制。而源主機可能會因為ICMP被禁而無法到達源主機，源主機不知道網路發生了一些問題而造成通訊障礙。

企業禁止ping/traceroute，是禁止外部IP來ping/traceroute 企業內部主機，內部主機之間應該是可以互相ping/traceroute的，但是萬一內部主機與外部主機有通訊障礙了，禁止了ping/traceroute該如何排錯呢？用什麼工具呢？所以全面地禁止ping/traceroute不是一種明智的選擇！

據我對企業網的了解，公司一般會禁防火牆的traceroute，即禁止ICMP TTL expired，ICMP Destination Unreachable，這兩個對應的就是traceroute 的工作原理，所以當traceroute 終點是防火牆、或途徑防火牆，traceroute 的顯示一般就是* * * ，讓你看不出它的IP（雖然有時你可以嘗試猜得出），這點在一定程度上可以將firewall 隱藏起來。

但即使是防火牆，一般也不禁止Ping，即不會禁止 ICMP type 0/8，即 ICMP Echo Request / Reply，這樣可以非常方便網路排錯，但是為了減少大流量的ping包對網路裝置CPU資源的影響，會採用CoPP（Control Plane Policy）限速機制來限制ICMP傳送速率。比如限制 ICMP rate 為 1 秒乙個，這樣的速率既便於排錯又可以避免通過ICMP的網路攻擊。

既然大家愛看，我就補充一點乾貨：

同學們了解Path MTU Discovery的工作原理嗎？

依靠將IP包裡DF == 1 （ Don't Fragment ），如果在傳輸路徑中遇到 IP packet size > MTU，將被丟棄，同時發ICMP type 3 /code 4 給源主機，告訴它需要分片，而如果網路不分青紅皂白禁了 ICMP，那就無法傳送ICMP type 3 /code 4 給源主機了，只是把包默默地丟棄，而源主機卻被蒙在鼓裡不知情，還會一直傳送資料，資料全部進入了乙個大大地流量黑洞，這就是為什麼有時使用者無法訪問網路的乙個原因。所以對於ICMP要謹慎小心，要知道ICMP本來就是IP的乙個輔助協議，竟然把它禁了，由此引起的後果有沒有權衡過？

3樓：

沒啥實際意義，該能搞還是能搞。

traceroute 什麼時候能把網路拓撲搞出來了？真高階。我自己布的網路，有些細節還要查拓撲圖或者直接進機房看呢。

4樓：ken lee

一般企業禁ping和tracert是出於安全目的而這樣的，比如vlan口，IP閘道器，就可以知道整個內網網路構造，對於網路安全角度來說是很有必要的，從網路安全來說，禁止ping和tracert，從系統安全來說，計算機名稱標準規範、IP繫結，從監控軟體，ad域控，系統管理軟體等限制響應許可權來保護公司內部網路的安全

5樓：孫迦

網上查了一下，基本都是出於安全考慮。但是有說根據TTL值判斷伺服器為何種作業系統，這點不怎麼靠譜。主要就是@杜一所說的，為了隱藏。還有就是防止有人閒的沒事ping-t閘道器。。。

企業中禁ping和tracert有什麼實際意義？

Vtuber中企業勢和社團勢和個人勢的最基本的區別在哪

六西格瑪在企業中的具體運用和價值如何？

在當今的企業級開發和 web 開發中，演算法還有用嗎？

其他用戶還看了：