Penso che la risposta all'eco in uscita sia più pericolosa della richiesta di echo in entrata a causa dell'amplificazione ICMP (limite di velocità o negazione di questo traffico). Tuttavia, dopo decenni di riflessioni su questo argomento, ho concluso che ICMP è più pericoloso che utile, e quindi dovrebbe essere bloccato in entrambe le direzioni, con accesso al traffico in uscita potenzialmente contraffatto.
Il meglio di tutti i mondi è route null su tutto ciò che potrebbe essere stateful-but-unwanted (connessioni TCP) e ACL riflessivi (prestazioni guidate) per qualsiasi stato, ma permessi e / o non completamente-stateful (datagrammi UDP ), mentre la rimozione di altri tipi di protocollo IP, in quanto non necessari. IPsec AH / ESP non è necessario, utilizzare invece OpenVPN (o simile).
Dopo aver bloccato il traceroute ICMP, devi anche fare i conti con traceroute basato su UDP, così come concetti tecnologici come quelli trovati negli strumenti 0trace, LFT e osstmm_afd.
Anche se le scansioni Nmas Xmas non vengono rilevate da Snort / Suricata, per non parlare degli attacchi basati su SQLi o Javascript (in qualsiasi direzione), dobbiamo riconoscere l'importanza dei rischi legati agli attacchi alla sicurezza delle applicazioni e delle reti contro l'infrastruttura moderna. Dovremmo negare, testare e verificare qualsiasi tipo di traffico di footprinting e non vedo perché questo non includa ICMP, ma in realtà non si avvia o non si ferma qui.