最佳安全性做法就是確認主機系統會拒絕 IPv4 網際網路控制訊息通訊協定 (ICMP) 重新導向。路由器會使用 ICMP 重新導向訊息,告知伺服器特定目的地有直接路由。這些訊息包含了來自於系統路由表的資訊,可能會透露部分網路拓撲。
程序
- 在主機系統上執行 # grep [01] /proc/sys/net/ipv4/conf/*/send_redirects|egrep "default|all",確認系統是否拒絕 IPv4 ICMP 重新導向。
- 設定主機系統以拒絕 IPv4 ICMP 重新導向。
- 開啟 /etc/sysctl.conf 檔案以設定主機系統。
- 若值未設定為
0
,請新增下列項目至檔案,或相對應地更新現有項目。將值設定為0
。net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0
- 儲存變更並關閉檔案。
- 執行
# sysctl -p
以套用組態。