Linux防火墙上过滤外来ICMP timestamp请求响应和禁止Traceroute探测

近期在给云服务器做安全加固，针对ICMP timestamp请求响应漏洞和允许Traceroute探测两项漏洞做一个解决方案的说明。

漏洞一、

漏洞名称：ICMP timestamp请求响应漏洞   CVE编号： CVE-1999-0524    风险等级低 ，协议ICMP

详细描述：远程主机会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间。这可能允许攻击者攻击一些基于时间认证的协议。

解决办法：NSFOCUS建议您采取以下措施以降低威胁：在您的防火墙上过滤外来的ICMP timestamp（类型 13）报文以及外出的ICMP timestamp回复报文。

在防火墙增加：

 iptables -A INPUT -p ICMP --icmp-type timestamp-request -j DROP
 iptables -A INPUT -p ICMP --icmp-type timestamp-reply -j DROP

漏洞二、

漏洞名称：允许Traceroute探测  CVE编号： CVE-1999-0633   风险等级低 ，协议ICMP

详细描述：本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。

解决办法：在防火墙出入站规则中禁用echo-reply（type 0）、time-exceeded（type 11）、destination-unreachable（type 3）类型的ICMP包。

在防火墙增加：

  iptables -A INPUT -p ICMP --icmp-type echo-reply -j DROP
  iptables -A OUTPUT -p ICMP --icmp-type echo-reply -j DROP
  iptables -A INPUT -p ICMP --icmp-type time-exceeded -j DROP
  iptables -A OUTPUT -p ICMP --icmp-type time-exceeded -j DROP
  iptables -A INPUT -p ICMP --icmp-type destination-unreachable -j DROP
  iptables -A OUTPUT -p ICMP --icmp-type destination-unreachable -j DROP

 查看防火墙策略：iptables -L -n