CentOS 上的ICMP 安全配置

Published on Jan 21, 2021 in Linux with 0 views and 0 comments

允许Traceroute探测

本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。

在防火墙中禁用Time Exceeded类型的ICMP包

firewall-cmd --add-icmp-block=time-exceeded --permanent

远程主机会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间。

这可能允许攻击者攻击一些基于时间认证的协议。

firewall-cmd --add-icmp-block=timestamp-reply --permanent
firewall-cmd --add-icmp-block=timestamp-request --permanent

重启防火墙

firewall-cmd --reload

Share WeiBo Twitter QZone WeChat ← → ↑ ↓