安全性最佳做法是確認您的 VMware 虛擬應用裝置主機會拒絕 IPv6 ICMP 重新導向訊息。

執行這項作業的原因和時機

路由器使用 ICMP 重新導向訊息來通知主機,目的地存在更直接的路由器。惡意的 ICMP 重新導向訊息容易產生攔截式攻擊。這些訊息會修改主機的路由器資料表且未經驗證。若無其他必要用途,請務必將您的系統設定為忽略這些訊息。

程序

  1. VMware 虛擬應用裝置主機上執行 # grep [01] /proc/sys/net/ipv6/conf/*/accept_redirects|egrep "default|all" 命令,確認這些主機會拒絕 IPv6 重新導向訊息。

    如果主機設定為拒絕 IPv6 重新導向,則此命令會傳回下列結果:

    /proc/sys/net/ipv6/conf/all/accept_redirects:0

    /proc/sys/net/ipv6/conf/default/accept_redirects:0

  2. 若要將虛擬應用裝置主機設定為拒絕 IPv4 重新導向訊息,請在文字編輯器中開啟 /etc/sysctl.conf 檔案。
  3. 查看開頭為 net.ipv6.conf 的幾行的值。

    如果下列項目的值未設為零,或是下列項目不存在,請將下列項目新增至檔案,或相應更新現有項目。

    net.ipv6.conf.all.accept_redirects=0
    net.ipv6.conf.default.accept_redirects=0
  4. 儲存變更並關閉檔案。