解决允许Traceroute探测:防火墙出站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)

于 2025-03-12 11:22:03 发布
阅读量465 收藏 6
点赞数 5
分类专栏: 网络/运维 文章标签: 网络 网络安全 网络协议 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41929714/article/details/146199581
版权

解决允许Traceroute探测:在防火墙出站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)类型的ICMP包

解决允许Traceroute探测:在防火墙出站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)类型的ICMP包

问题描述

服务器版本:CentOS 7.6

端口协议服务漏洞名称漏洞风险值风险等级威胁分类详细描述解决办法
UDP允许Traceroute探测1[低]远程信息泄露本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。在防火墙出站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)类型的ICMP包。

解决方案

1. 添加 rich rules 规则

sudo firewall-cmd --permanent --add-icmp-block=echo-reply
sudo firewall-cmd --permanent --add-icmp-block=time-exceeded
sudo firewall-cmd --permanent --add-icmp-block=destination-unreachable

2. 重新加载防火墙

sudo firewall-cmd --reload

3. 验证规则

sudo firewall-cmd --list-icmp-blocks

在这里插入图片描述

影响

这样配置后,系统将不会发送 ICMP echo-reply(回显应答)、time-exceeded(超时)、destination-unreachable(目标不可达) 类型的 ICMP 出站包,并且设置会在系统重启后依然生效。

【openwrt-21.02】mt7981 openwrt 增加mwan3支持,实现load balancing/failover
wgl307293845的博客
07-12 445
mwan3提供以下功能和能力基于数值权重分配的出站 WAN 流量负载均衡或使用多个 WAN 接口进行故障转移使用重复测试监控每个 WAN 连接,如果第一个 WAN 接口失去连接,则可以自动将出站流量路由到另一个 WAN 接口创建出站流量规则以自定义哪些出站连接应使用哪个 WAN 接口(基于策略的路由)。这可以根据源 IP、目标 IP、源端口、目标端口、IP 协议类型等进行定制支持物理和/或逻辑 WAN 接口可以在 globals 部分中配置用于标记传出流量的防火墙掩码(默认)。mwan3
允许Traceroute探测漏洞和ICMP timestamp请求响应漏洞解决方法(三)
冰恋云的专栏
07-06 3229
解决办法 在防火墙出站规则禁用echo-replytype 0)、time-exceededtype 11)、destination-unreachabletype 3)类型的ICMP包。详细描述 本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络网络拓扑。1、关闭Traceroute探测的方法。2、重新载入防火墙配置。
允许Traceroute探测漏洞解决方法
hryzxjh的博客
05-09 4826
解决办法 在防火墙出站规则禁用echo-replytype 0)、time-exceededtype 11)、destination-unreachabletype 3)类型的ICMP包。详细描述 本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络网络拓扑。允许Traceroute探测漏洞解决方法。1、关闭Traceroute探测的方法。2、重新载入防火墙配置。
在Windows中,你可以使用netsh命令行工具来配置防火墙规则,以禁用ICMP类型0(回显应答,echo-reply)、类型11(生命期超时,time-exceeded)和类型3(不可达,dest
qq_33654918的博客
03-29 716
命令行工具来配置防火墙规则,以禁用ICMP类型0(回显应答,echo-reply)、类型11(生命期超时,time-exceeded)和类型3(不可达,destination-unreachable)。请注意,你可能需要以管理员权限运行这些命令。此外,这些命令将应用于所有配置文件(公共、私有、域),如果你需要针对特定配置文件进行更改,请调整。在运行这些命令之前,请确保你了解这些更改可能会对系统的网络安全性产生的影响。在Windows中,你可以使用。
防火墙禁用出站规则
qq_43066440的博客
01-08 1736
http://www.5yun.org/10229.html
主机、web漏洞修复整理
JBbo01的博客
10-26 8737
系统运维安扫,检测主机、web等安全漏洞,现把发现的漏洞修复整理记录一下。
Windows下使用powershell修改防火墙
Garenliu的博客
06-26 3156
当时看到的这个时候,想着很简单,看我firewall-cmd大法,分分钟拿下,后来发现是Windows系统下,然后有了以下语句,注意,使用管理员打开powershell,powershell版本是。前两天,领导给了我一个漏扫报告,让我看着弄,其中上图这一条是花了一点时间的,做一个记录。,其余版本没有测试。
linux低微漏洞处理集合
shufusheng的博客
03-03 3005
linux低微漏洞处理集合
Centos8漏扫 ICMP timestamp请求响应漏洞&允许Traceroute探测解决方法
挣扎技术
03-04 1459
ICMP timestamp请求响应漏洞 firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-request -m comment --comment "deny ICMP timestamp" -j DROP firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp.
windows 允许traceroute探测 漏洞
最新发布
04-03
- **Time Exceeded (Type 11)** 和 **Destination Unreachable (Type 3)** 响应: 这些响应可以揭示网络设备的位置及其间的连接关系。 #### 修复方法 为了防止敏感信息泄露并增强网络安全防护能力,可以通过以下...
网络探测和诊断工具 - traceroute
ixxqq的博客
04-24 5107
一、概要traceroute是Linux和Mac OS等系统默认提供的用于网络诊断和探测最常用的工具,Windows系统提供了一个叫:tracert的工具,和traceroute工具的功能相同。通过IP地址或域名,traceroute探测数据包从源地址到目的地址之间经过哪些路由器,以及经过每个路由器的耗时。二、traceroute原理2.1 相关名词ICMPICMP全称...
traceroute程序-c语言实现
格物致知 学以致用
09-03 6829
traceroute程序-c语言实现 本traceroute程序用于学习IP数据报的TTL字段的作用以及ICMP协议作用(传递差错以及其他信息)。
1 Linux防火墙设置
qq_40907977的博客
11-09 2552
1、(ubuntu)从 iptables 过渡到 nftables 当前,有一个与 nftables 兼容的 iptables-nft 后端,但是很快,即使是它也不再提供了。另外,正如 Red Hat 开发人员所指出的那样,有时它可能会错误地转换规则。我们需要知道如何构建自己的 nftables,而不是依赖于 iptables 到 nftables 的转换器。 在 nftables 中,所有地址族都遵循一个规则。与 iptables 不同,nftables 在用户空间中运行,iptables 中的每个模块都
【问题处理】常见Linux安全漏洞处理
Luxf0的博客
11-08 7694
本文介绍常见Linux安全漏洞及对应处理措施
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)
分享型博主
07-26 7605
文章来自一份绿盟安全评估中的服务器漏洞扫描分析结果,据市场研究公司Gartner研究报告称“实施漏洞管理的企业会避免近90%的攻击”。可以看出,及时的漏洞修补可以在一定程度上防止病毒、攻击者的威胁。这个报告是合作单位的服务器安全评估出来的,帮忙协助处理下,希望对看到的小伙伴有所帮助,有问题咱们一起讨论实践哦。
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞
2301_82056337的博客
05-08 1174
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。详细描述: SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
linux服务器 iptables防火墙
weixin_44898541的博客
11-25 2379
设置服务器防火墙: 1.查看是否安装了iptables.,下图是安装成功。 systemctl status iptables 2.如果未安装,安装防火墙。 yum install iptables-services 3.编辑释放端口等。 vi /etc/sysconfig/iptables 3.1 释放8080端口: -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT 3.2 在防火墙禁用Time Exceeded类型
配置Windows 防火墙,仅允许配置的服务通过防火墙;禁止ICMP回显请求
m0_68941357的博客
11-11 3495
找到icmpv4 in 右键单击属性。打开防火墙点击高级设置。
CentOs7防火墙的命令
weixin_43566977的博客
03-27 783
一、下面是red hat/CentOs7关闭防火墙的命令! 1:查看防火状态 systemctl status firewalld service iptables status 2:暂时关闭防火墙 systemctl stop firewalld service iptables stop 3:永久关闭防火墙 systemctl disable firewalld chkconfig ipt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值