允许Traceroute探测漏洞解决方法

允许Traceroute探测漏洞解决方法

详细描述 本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。
解决办法 在防火墙出站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)类型的ICMP包。

1、关闭Traceroute探测的方法

firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p ICMP --icmp-type 0 -m comment --comment "deny traceroute" -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p ICMP --icmp-type 3 -m comment --comment "deny traceroute" -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p ICMP --icmp-type 11 -m comment --comment "deny traceroute" -j DROP

 

2、重新载入防火墙配置

firewall-cmd --reload

 

3、查看防火墙规则

firewall-cmd --direct --get-all-rules

posted @ 2022-10-20 12:54  昵称昵称昵称  阅读(5538)  评论(0编辑  收藏  举报