漏洞名称

描述

建议解决办法

允许Traceroute探测

使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。

在防火墙出站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)类型的ICMP包

ICMP 时间戳检测(CVE-1999-0524)

远程主机响应ICMP时间戳请求。这可能允许攻击者攻击一些基于时间认证的协议。

过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文。

修复方法

iptables

-I INPUT -p icmp --icmp-type 0 -j DROP
-I OUTPUT -p icmp --icmp-type 0 -j DROP
-I INPUT -p icmp --icmp-type 3 -j DROP
-I OUTPUT -p icmp --icmp-type 3 -j DROP
-I INPUT -p icmp --icmp-type 11 -j DROP
-I OUTPUT -p icmp --icmp-type 11 -j DROP
-I INPUT -p icmp --icmp-type 13 -j DROP
-I OUTPUT -p icmp --icmp-type 13 -j DROP
-I INPUT -p icmp --icmp-type 14 -j DROP
-I OUTPUT -p icmp --icmp-type 14 -j DROP

ufw


-I ufw-before-input -p icmp --icmp-type 0 -j DROP
-I ufw-before-output -p icmp --icmp-type 0 -j DROP
-I ufw-before-input -p icmp --icmp-type 3 -j DROP
-I ufw-before-output -p icmp --icmp-type 3 -j DROP
-I ufw-before-input -p icmp --icmp-type 11 -j DROP
-I ufw-before-output -p icmp --icmp-type 11 -j DROP
-I ufw-before-input -p icmp --icmp-type 13 -j DROP
-I ufw-before-output -p icmp --icmp-type 13 -j DROP
-I ufw-before-input -p icmp --icmp-type 14 -j DROP
-I ufw-before-output -p icmp --icmp-type 14 -j DROP

重启防火墙,测试 ping traceroute 无响应,问题解决。

引用文章

https://blog.csdn.net/tacity/article/details/127992854