最佳安全性做法就是確認主機系統會拒絕 IPv4 網際網路控制訊息通訊協定 (ICMP) 重新導向。路由器會使用 ICMP 重新導向訊息,告知伺服器特定目的地有直接路由。這些訊息包含了來自於系統路由表的資訊,可能會透露部分網路拓撲。

程序

  1. 在主機系統上執行 # grep [01] /proc/sys/net/ipv4/conf/*/send_redirects|egrep "default|all",確認系統是否拒絕 IPv4 ICMP 重新導向。
  2. 設定主機系統以拒絕 IPv4 ICMP 重新導向。
    1. 開啟 /etc/sysctl.conf 檔案以設定主機系統。
    2. 若值未設定為 0,請新增下列項目至檔案,或相對應地更新現有項目。將值設定為 0
      net.ipv4.conf.all.send_redirects=0
      net.ipv4.conf.default.send_redirects=0 
      
    3. 儲存變更並關閉檔案。
    4. 執行 # sysctl -p 以套用組態。