很多人觉得“ping 一下无所谓”,但在生产环境或公网服务器上,禁 ping 至少有三大好处:
·降低暴露风险:黑客的第一步通常是大规模 IP 扫描。禁 ping 后,扫描工具会认为这台 IP 处于离线或不可达状态,能有效避开脚本小子的无差别扫射,降低成为目标的概率。
·防御 DDoS 攻击:Ping 洪水攻击(ICMP Flood)会瞬间耗尽带宽和系统资源。禁用 ping 响应,相当于从源头切断了一条常见的攻击路径。
·减少网络开销:虽然单个 ping 包很小,但如果成千上万个恶意 ping 请求涌来,积少成多也会消耗可观资源。
凡事有利有弊。禁 ping 后,你无法从外部快速判断服务器是否存活,会增加排查难度。因此,推荐对公网服务器禁 ping,内部网络则可以视情况保留。