解决ICMP timestamp请求响应漏洞:在您的防火墙上过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文

已于 2025-04-24 11:40:44 修改
阅读量1.2k 收藏 9
点赞数 6
分类专栏: 网络/运维 文章标签: 网络 网络安全 网络协议
于 2025-03-11 17:48:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41929714/article/details/146185287
版权

解决ICMP timestamp请求响应漏洞:在您的防火墙上过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文

解决ICMP timestamp请求响应漏洞:在您的防火墙上过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文

问题描述

服务器版本:CentOS 7.6

端口协议漏洞名称漏洞风险值风险等级威胁分类详细描述解决办法
ICMPICMP timestamp 请求响应漏洞2.1[低]远程信息泄露远程主机会回复 ICMP_TIMESTAMP 查询,并返回它们系统的当前时间。这可能允许攻击者攻击一些基于时间认证的协议。NSFOCUS 建议您采取以下措施以降低威胁:1. 在您的防火墙上过滤外来的 ICMP timestamp(类型 13)报文以及外出的 ICMP timestamp 回复报文。

解决方案

直接用命令添加防火墙规则:

firewall-cmd --permanent --zone=public --add-icmp-block=timestamp-reply

firewall-cmd --permanent --zone=public --add-icmp-block=timestamp-request

接下来,重启iptables服务,重启命令:

firewall-cmd --reload

检查新添加的规则是否有效,检查命令:

iptables -L -n

可以看到关键输出:

Chain FWDI_public_deny (1 references)
target     prot opt source               destination         
REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 14 reject-with icmp-host-prohibited
REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 13 reject-with icmp-host-prohibited

Chain IN_public_deny (1 references)
target     prot opt source               destination         
REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 14 reject-with icmp-host-prohibited
REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 13 reject-with icmp-host-prohibited

Firewalld 规则链解析:IN_public_deny 和 FWDI_public_deny

1. Chain IN_public_deny

IN_public_denyfirewalld 规则链的一部分,主要用于 拒绝进入(Inbound)“public”区域的流量

作用:
  • 该链用于处理进入 public zone(公共区域) 的流量,阻止或拒绝特定的数据包。
  • 适用于 外部访问服务器 时的安全控制,例如限制 SSH、HTTP、ICMP 等协议的访问。
  • 规则根据 firewalld 的策略配置,决定哪些流量被拒绝。

2. Chain FWDI_public_deny

FWDI_public_deny 规则链用于 转发(Forward)public 区域的流量,即服务器作为网关或路由器时的流量控制。

作用:
  • 该链负责检查 public zone 相关的转发流量,并拒绝不符合安全策略的数据包。
  • 适用于 NAT、路由或网关设备,确保 受控的转发策略,防止未授权的流量通过服务器转发。

这两个规则链在 firewalld 中配合 public 区域的安全策略,确保 不允许的流量被拒绝,增强服务器的安全性。

ICMP timestamp请求响应漏洞 防火墙过滤外来ICMP timestamp类型 13报文以及外出ICMP timestamp回复报文
ideal-lingyun
08-12 2036
ICMP timestamp请求响应漏洞 防火墙过滤外来ICMP timestamp类型 13报文以及外出ICMP timestamp回复报文
ICMP时间戳请求发送
10-29
一个对ICMP时间戳请求报文发送的实现。网上大部分是linux的代码,CPP的很少,这里上传一个CPP的
ICMP timestamp请求响应漏洞 修复 Traceroute探测漏洞 修复 linux 7
04-09
ICMP timestamp请求响应漏洞 修复 Traceroute探测漏洞 修复 使用firewall-cmd打开关闭防火墙与端口 linux 7 ICMP timestamp请求响应漏洞 修复 Traceroute探测漏洞 修复 使用firewall-cmd打开关闭防火墙与端口 linux 7 ICMP timestamp请求响应漏洞 修复 Traceroute探测漏洞 修复 使用firewall-cmd打开关闭防火墙与端口 linux 7 ICMP timestamp请求响应漏洞 修复 Traceroute探测漏洞 修复 使用firewall-cmd打开关闭防火墙与端口 linux 7 ICMP timestamp请求响应漏洞 修复 Traceroute探测漏洞 修复 使用firewall-cmd打开关闭防火墙与端口 linux 7 ICMP timestamp请求响应漏洞 修复 Traceroute探测漏洞 修复 使用firewall-cmd打开关闭防火墙与端口 linux 7 ICMP timestamp请求响应漏洞 修复 Traceroute探测漏洞 修复 使
Linux漏洞修复:禁用外来ICMP timestamp和禁止Traceroute探测
最新发布
weixin_43993310的博客
04-21 1220
禁用外来ICMP timestamp和禁止Traceroute探测漏洞修复
ICMP timestamp请求响应漏洞
qq_32054169的博客
05-16 2万+
漏洞描述 远程主机会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间。 这可能允许攻击者攻击一些基于时间认证的协议。 解决方案 NSFOCUS建议您采取以下措施以降低威胁: * 在您的防火墙过滤外来ICMP timestamp类型 13报文以及外出ICMP timestamp回复报文。 具体解决方式就是禁用ICMP timestamp-request,编辑etc/sy...
【问题处理】常见Linux安全漏洞处理
Luxf0的博客
11-08 7931
本文介绍常见Linux安全漏洞及对应处理措施
在您的防火墙过滤外来ICMP timestamp(类型 13)
weixin_34390996的博客
07-18 9679
今天收到安全厂商的评估报告,线上一台CentOS的系统被告知漏洞如下:ICMP timestamp请求响应漏洞解决方案:* 在您的防火墙过滤外来ICMP timestamp类型 13报文以及外出ICMP timestamp回复报文。google之,于是动手解决: 具体解决方式就是禁用ICMP timestamp-request,编辑etc/sysco...
漏洞防范与应对:从发现到修复的全攻略】ICMP timestamp请求响应漏洞,CVE编号:CVE-1999-0524,处理过程详解!!!
大唐有趣的小胡.
05-11 6459
本文详细介绍了ICMP timestamp请求响应漏洞(CVE-1999-0524)的发现与修复全过程。该漏洞允许远程攻击者通过ICMP_TIMESTAMP查询获取系统时间,进而可能攻击基于时间认证的协议。文章提供了两种修复方法:使用firewalld或iptables来阻止ICMP timestamp请求回复。修复步骤包括检查防火墙状态、添加阻止规则并重新加载配置。最后,文章强调了验证修复效果的重要性,并提醒运维人员在启动防火墙前需确认所有业务通信需求并规划好放行策略。通过本文的指南,读者可以有效地防范
Linux防火墙过滤ICMP timestamp请求响应漏洞和Traceroute探测
kyoideal11的博客
07-16 1003
解决办法:在防火墙出入站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)类型ICMP包。解决办法:NSFOCUS建议您采取以下措施以降低威胁:在您的防火墙过滤外来ICMP timestamp类型 13报文以及外出ICMP timestamp回复报文漏洞名称:ICMP timestamp请求响应漏洞 CVE编号: CVE-1999-0524 风险等级低 ,协议ICMP
debian 解决“在防火墙中禁用Time Exceeded类型ICMP包”和“在您的防火墙过滤外来ICMP timestamp类型 13报文以及外出ICMP timestamp回复报文
Sonsay的专栏
05-07 5519
sudo iptables -A INPUT -p ICMP --icmp-type timestamp-request -j DROP sudo iptables -A INPUT -p ICMP --icmp-type timestamp-reply -j DROP sudo iptables -A INPUT -p ICMP --icmp-type time-exceeded -j DROP sudo iptables -A OUTPUT -p ICMP --icmp-type time-excee.
windows7怎么验证防火墙过滤外来ICMP timestamp类型 13报文以及外出ICMP timestamp回复报文漏洞是否修复成功
07-13
要验证在 Windows 7 上防火墙过滤外来ICMP Timestamp类型 13报文以及外出ICMP Timestamp 回复报文漏洞是否修复成功,您可以执行以下步骤: 1. 确保您已经按照上述步骤设置了防火墙规则来过滤 ICMP ...
winidows怎么在防火墙过滤外来ICMP timestamp类型 13报文以及外出ICMP timestamp回复报文
07-13
在 Windows 操作系统上,您可以通过以下步骤在防火墙过滤外来ICMP timestamp类型 13报文以及外出ICMP timestamp 回复报文: 1. 打开 Windows 防火墙设置。您可以通过按下 Win + R 键,在运行对话框中...
windows7怎么在防火墙过滤外来ICMP timestamp类型 13报文以及外出ICMP timestamp回复报文
07-13
在 Windows 7 上,您可以通过以下步骤在防火墙过滤外来ICMP Timestamp 报文以及外出ICMP Timestamp 回复报文: 1. 打开控制面板,选择 "系统和安全"。 2. 在 "系统和安全" 页面中,选择 "Windows 防火墙"。...
在您的防火墙过滤外来ICMP timestamp(类型 13) 如何处理?
weixin_40555654的博客
12-13 1万+
防火墙过滤外来ICMP timestamp(类型 13) 漏洞名称 ICMP时间戳检测(原理扫描) 受影响IP 192.168.31. 漏洞等级 信息 CVE编号 CVE-1999-0524 CVSS评分 0 CNNVD编号 CNNVD-199708-00
在Linux防火墙过滤外来ICMP timestamp和禁止Traceroute探测
zhh763984017的博客
11-04 3万+
由于等保测评要求,最近需要协助加固Linux的云服务器,修复这两个漏洞,故查阅了相关资料,整理起来以便以后回看 环境:Centos6.9 ICMP timestamp 请求响应漏洞 解决方案: 在您的防火墙过滤外来ICMP timestamp类型13报文以及外出ICMP timestamp回复报文。 具体解决方式就是禁用ICMP timestamp-request,编辑etc/sys...
ICMP timestamp请求响应漏洞处理(CVE-1999-0524)
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
02-24 4万+
一、漏洞描述 漏洞描述:远程主机响应ICMP时间戳请求。 时间戳回复回复时间戳消息的ICMP消息。 它由时间戳的发送者发送的始发时间戳以及接收时间戳和发送时间戳组成。 这个信息理论上可以用来开发其他服务中基于时间的弱随机数发生器。 风险级别低。 二、加固处理 1)防火墙过滤外来(INPUT)ICMP timestamp类型13报文以及外出(OUTPUT)ICMP timestamp回复报文 即在防火墙上禁用ICMP timestamp-request;或在系统内置防火墙上编辑iptable规则
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值