那些遇到过的问题

什么是 ICMP 重定向?它们应该被阻止吗?

jrd*_*oko 24 security firewall networking ufw

启用 ufw 和 Tiger 安全审核员后,我看到警告说:

The system accepts ICMP redirection messages
Run Code Online (Sandbox Code Playgroud)

什么是 ICMP 重定向消息?是否应该出于安全目的禁用它们?如果是这样,使用 ufw 防火墙的正确方法是什么?

Man*_*nha 30

根据这篇文章

在某些情况下,ICMP 数据包可用于攻击网络。虽然这种类型的问题在今天并不常见,但在某些情况下确实会发生此类问题。ICMP 重定向或 ICMP 类型 5 数据包就是这种情况。路由器使用 ICMP 重定向来根据主机选择指定一个网络中更好的路由路径,因此基本上它会影响数据包的路由方式和目的地。

通过 ICMP 重定向,主机可以找出可以从本地网络内部访问哪些网络,以及每个此类网络要使用哪些路由器。安全问题来自这样一个事实,包括ICMP重定向在内的ICMP数据包非常容易伪造,基本上攻击者很容易伪造ICMP重定向数据包。

然后,攻击者基本上可以更改主机的路由表,并在他/她选择的路径上更改指向外部主机的流量;路由器将新路径保持活动状态 10 分钟。由于这一事实以及此类场景中涉及的安全风险,仍然建议禁用来自所有公共接口的 ICMP 重定向消息(忽略它们)。

您需要编辑文件 /etc/sysctl.conf

和改变

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
Run Code Online (Sandbox Code Playgroud) 

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
Run Code Online (Sandbox Code Playgroud)

然后应用上面的内核参数修改:

$ sudo sysctl -p
Run Code Online (Sandbox Code Playgroud)

  • 您必须这样做才能接受更改:sudo sysctl -p (4认同)

归档时间:

查看次数:

78348 次

最近记录:

8 年,2 月 前
相关归档
如何测试两个盒子之间的网速? 210
Ubuntu 16.04 openconnect cisco vpn 无法获取 webvpn cookie 19
是否可以远程擦除系统? 9
Ubuntu 16.04:网络配置在哪里? 7
Ubuntu 22.04 激活网络连接失败 7
通过蓝牙 PAN 配置文件连接互联网? 5
阻止特定应用程序访问文件夹 5
如何永久设置 Ubuntu 20.04 的以太网速度? 3
Intel AX201 Wi-Fi 6 无法在 Ubuntu 21.04 上运行 3
这个“查找”命令有什么作用? 0
难疑归档
如何在 VirtualBox VM 中安装 Guest Additions? 517
如何将PDF转换为图像? 465
如何检查我的 GNOME-Shell 版本? 256
为什么`sudo cd /var/named` 不起作用? 221
从终端运行系统设置的命令是什么? 201
在 /var/www 中工作时如何避免使用 sudo? 190
如何找到目录的所有者和组? 182
如何防止最近的文件出现在 Unity 中? 152
通过终端将文件移动到垃圾箱的命令 143
如何安装 .bin 文件? 114