安全性最佳做法是確認您的 VMware 虛擬應用裝置主機拒絕 IPv4 ICMP 重新導向訊息。

執行這項作業的原因和時機

路由器使用 ICMP 重新導向訊息來通知主機,目的地存在更直接的路由器。惡意的 ICMP 重新導向訊息容易產生攔截式攻擊。這些訊息會修改主機的路由器資料表且未經驗證。如果不需要這些訊息,請確保您的系統設定為忽略這些訊息。

程序

  1. VMware 應用裝置主機上執行 # grep [01] /proc/sys/net/ipv4/conf/*/accept_redirects|egrep "default|all" 命令,以確認這些主機拒絕 IPv4 重新導向訊息。

    如果主機設定為拒絕 IPv4 重新導向,則此命令會傳回下列內容:

    /proc/sys/net/ipv4/conf/all/accept_reidrects:0

    /proc/sys/net/ipv4/conf/default/accept_redirects:0

  2. 如果需要將虛擬應用裝置主機設定為拒絕 IPv4 重新導向訊息,請在文字編輯器中開啟 /etc/sysctl.conf 檔案。
  3. 查看開頭為 net.ipv4.conf 的幾行的值。

    如果以下項目的值未設定為零或是這些項目不存在,請新增至檔案或相應地更新現有項目。

    net.ipv4.conf.all.accept_redirects=0
    net.ipv4.conf.default.accept_redirects=0
  4. 儲存您進行的任何變更並關閉檔案。