最佳安全性做法就是確認主機系統會忽略 IPv6 網際網路控制訊息通訊協定 (ICMP) 重新導向訊息。惡意的 ICMP 重新導向訊息可能會允許攔截式攻擊。路由器會使用 ICMP 重新導向訊息,告知主機目的地有更直接的路由。這些訊息會修改主機的路由表,而且未通過驗證。

程序

  1. 在主機系統上執行 # grep [01] /proc/sys/net/ipv6/conf/*/accept_redirects|egrep "default|all" 命令,檢查是否忽略 IPv6 重新導向訊息。
  2. 設定主機系統以忽略 IPv6 ICMP 重新導向訊息。
    1. 開啟 /etc/sysctl.conf 設定主機系統,使其忽略 IPv6 重新導向訊息。
    2. 若值未設定為 0,請新增下列項目至檔案,或相對應地更新現有項目。將值設定為 0
      net.ipv6.conf.all.accept_redirects=0
      net.ipv6.conf.default.accept_redirects=0 
      
    3. 儲存變更並關閉檔案。
    4. 執行 # sysctl -p 以套用組態。