5.28. 禁用 ICMP 重定向接受
当主机使用非最优或已失效的路由到达特定目的地时,路由器会使用 ICMP 重定向数据包来通知主机正确的路由应该是什么。如果攻击者能够伪造 ICMP 重定向数据包,他或她可以更改主机上的路由表,并可能通过导致流量通过您不希望的路径来破坏主机的安全性。强烈建议禁用 ICMP 重定向接受,以保护您的服务器免受此漏洞的影响。
[root@deep] /# for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do
> echo 0 > $f
> done
|
[root@deep] /#
|
# Disable ICMP Redirect Acceptance
net.ipv4.conf.all.accept_redirects = 0
|
[root@deep] /# /etc/rc.d/init.d/network restart
Setting network parameters [ OK ]
Bringing up interface lo [ OK ]
Bringing up interface eth0 [ OK ]
Bringing up interface eth1 [ OK ]
|