当前位置:首页 > 疑难杂症 > 正文内容

使用firewalld解决允许Traceroute探测漏洞

virtualman8个月前 (07-11)疑难杂症3267

允许Traceroute探测漏洞解决方法

image.png

详细描述 本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。

解决办法 在防火墙出站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)类型的ICMP包。


1、关闭Traceroute探测的方法

firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p ICMP --icmp-type 0 -m comment --comment "deny traceroute" -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p ICMP --icmp-type 3 -m comment --comment "deny traceroute" -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p ICMP --icmp-type 11 -m comment --comment "deny traceroute" -j DROP


2、重新载入防火墙配置

firewall-cmd --reload


3、查看防火墙规则

firewall-cmd --direct --get-all-rules


相关文章

【解决】如何将MySQL8.0的数据文件导入到MySQL5.6的版本中

解决方法:    1、打开sql文件,将文件中的所有    2、utf8mb4_0900_ai_ci替换为utf8_general_ci    3、utf8mb4替换为utf8  ...

OpenSSH CBC模式信息泄露漏洞(CVE-2008-5161)【原理扫描】

OpenSSH CBC模式信息泄露漏洞(CVE-2008-5161)【原理扫描】

1、执行 vim /etc/ssh/sshd_config2、将文件最后加入:Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-gcm@openssh.com,aes256-gcm@openssh.c...

解决SSH版本信息可被获取漏洞

解决SSH版本信息可被获取漏洞

描述:SSH服务允许远程攻击者获得ssh的具体信息,如版本号等等。这可能为攻击者发动进一步攻击提供帮助。   解决方法: 如果banner包含敏感信息,NSFOCUS建议您采取以下几类措施以降低威胁: * 修改源代码或者配置文件改变SSH服务的缺省banner...

检测到目标XXX响应头缺失漏洞【NGINX版】

检测到目标XXX响应头缺失漏洞【NGINX版】

检测到目标X-Content-Type-Options响应头缺失详细描述:X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME...

探测到SSH服务器支持的算法解决方法

探测到SSH服务器支持的算法解决方法

描述:本插件用来获取SSH服务器支持的算法列表    解决方法:无解!...

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。