如何调整Linux内核设置以抵御ICMP重定向攻击?
- 内容介绍
- 文章标签
- 相关推荐
本文共计657个文字,预计阅读时间需要3分钟。
直接禁用TCP和UDP、ICMP重定向报文,是防止被利用进行路由攻击的最有效方式。这并非依赖防火墙过滤,而是从内核行为层面切断攻击入口,特别适用于不直接处理路由器的业务服务器。
关闭 IPv4 和 IPv6 的重定向收发
必须同时禁用“接收”和“发送”,否则仍存在被误导或被当跳板的风险:
- 禁收:防止主机误信伪造重定向,错误更新本地路由表
- 禁发:避免本机因配置异常(如网关错设)主动广播重定向,成为攻击中转点
在 /etc/sysctl.d/99-secure.conf(推荐)或 /etc/sysctl.conf 中添加以下内容:
net.ipv4.conf.all.accept_redirects = 0<br>net.ipv4.conf.default.accept_redirects = 0<br>net.ipv4.conf.all.send_redirects = 0<br>net.ipv4.conf.default.send_redirects = 0<br>net.ipv6.conf.all.accept_redirects = 0<br>net.ipv6.conf.default.accept_redirects = 0
IPv6 默认不启用 send_redirects,但显式设为 0 更稳妥。
本文共计657个文字,预计阅读时间需要3分钟。
直接禁用TCP和UDP、ICMP重定向报文,是防止被利用进行路由攻击的最有效方式。这并非依赖防火墙过滤,而是从内核行为层面切断攻击入口,特别适用于不直接处理路由器的业务服务器。
关闭 IPv4 和 IPv6 的重定向收发
必须同时禁用“接收”和“发送”,否则仍存在被误导或被当跳板的风险:
- 禁收:防止主机误信伪造重定向,错误更新本地路由表
- 禁发:避免本机因配置异常(如网关错设)主动广播重定向,成为攻击中转点
在 /etc/sysctl.d/99-secure.conf(推荐)或 /etc/sysctl.conf 中添加以下内容:
net.ipv4.conf.all.accept_redirects = 0<br>net.ipv4.conf.default.accept_redirects = 0<br>net.ipv4.conf.all.send_redirects = 0<br>net.ipv4.conf.default.send_redirects = 0<br>net.ipv6.conf.all.accept_redirects = 0<br>net.ipv6.conf.default.accept_redirects = 0
IPv6 默认不启用 send_redirects,但显式设为 0 更稳妥。