linux icmp 时间戳过滤,centos – 使用firewalld阻止ICMP时间戳和时间戳回复

最新推荐文章于 2024-05-22 15:17:34 发布
最新推荐文章于 2024-05-22 15:17:34 发布
阅读量1.2k 收藏
点赞数
文章标签: linux icmp 时间戳过滤

操作系统:CentOS 7.0

根据安全扫描的结果,有人建议我们阻止ICMP时间戳&使用防火墙的时间戳回复消息(CVE-1999-0524).我已经使用firewalld为SSH设置了一些基本的IP过滤以及允许HTTPS,但我对此感到困惑.

我唯一能想到的是firewall-cmd –add-icmp-block,但我找不到似乎与timestamp或timestamp回复相关的icmptype.

可用的类型(firewall-cmd –get-icmptypes)如下:

destination-unreachable echo-r​​eply echo-r​​equest参数 – 问题重定向路由器 – 广告路由器 – 请求源 – 超时超时.

如何使用firewalld阻止ICMP时间戳请求?

firewalld附带一组默认的预定义ICMP类型,您可以使用它们:

# firewall-cmd --get-icmptypes

destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded timestamp-reply timestamp-request

解析器(/usr/lib/python2.7/site-packages/firewall/core/io/icmptype.py)不仅限于这些类型,并且允许扩展:

首先,根据man iptables-extensions(8),部分icmp:

icmp (IPv4-specific)

This extension can be used if `–protocol icmp’ is specified. It prov

最低0.47元/天 解锁文章
weixin_39593523
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
icmp时间戳请求和应答程序实现_CentOS防火墙Firewalld阻止ICMP攻击方法
weixin_39612540的博客
01-18 1434
CENTOS FIREWALLD防火墙学习笔记(五)-Firewalld防火墙阻止ICMP攻击方法ICMP很多都很熟悉,提到ICMP大家首先想到的就是ping,其实,ping是一个程序,是用来探测主机到主机之间是否可通信的软件,ping使用的是ICMP协议。ICMP(Internet Control Message Protocol,Internet控制消息协议)协议规定:目的主机必须返回ICMP...
ICMP 的说明与解释
03-24
ICMP 的说明与解释ICMP 的说明与解释ICMP 的说明与解释ICMP 的说明与解释
Linux部分漏洞处理
最新发布
weixin_38863607的博客
05-22 529
ICMP timestamp请求响应漏洞是指,当网络设备接收到ICMP timestamp请求时,它会返回当前时间戳作为响应,这可能导致设备的时间戳被暴露,进而可能被用于计算机时间戳协议(TLS)的时间戳问题。如果你是开发人员并希望在应用程序中避免成为Traceroute探测的目标,可以在应用程序代码中实现相应的安全措施。请注意,禁用Traceroute可能会影响合法的网络诊断和监控,因此在实施任何安全措施之前,请确保了解所做更改的潜在影响,并确保有恢复访问的备选方案。允许Traceroute探测漏洞。
ICMP timestamp请求响应漏洞处理(CVE-1999-0524)
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
02-24 4万+
一、漏洞描述 漏洞描述:远程主机响应ICMP时间戳请求。 时间戳回复回复时间戳消息的ICMP消息。 它由时间戳的发送者发送的始发时间戳以及接收时间戳和发送时间戳组成。 这个信息理论上可以用来开发其他服务中基于时间的弱随机数发生器。 风险级别低。 二、加固处理 1)防火墙上过滤外来(INPUT)的ICMP timestamp(类型13)报文以及外出(OUTPUT)的ICMP timestamp回复报文 即在防火墙上禁用ICMP timestamp-request;或在系统内置防火墙上编辑iptable规则
ICMP timestamp请求响应漏洞处理(CVE-1999-0524)和允许Traceroute探测和OpenSSH CBC模式 弱加密算法漏洞(CVE-2008-5161)
qq_42430287的博客
06-30 1万+
ICMP timestamp请求响应漏洞处理(CVE-1999-0524)和允许Traceroute探测和OpenSSH CBC模式 弱加密算法漏洞(CVE-2008-5161)
ICMP权限许可和访问控制漏洞处理(CVE-1999-0524)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
10-24 5278
某次例行安全扫描,发现:ICMP权限许可和访问控制漏洞,编号:CVE-1999-0524,危险级别:低风险。利用该漏洞,远程主机会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间,ICMP信息如netmask和timestamp允许任意主机访问,这可能允许攻击者攻击一些基于时间认证的协议。:在防火墙上过滤外来的ICMP timestamp(类型 13)报文或14和/或代码0的ICMP数据包。
【漏洞防范与应对:从发现到修复的全攻略】ICMP timestamp请求响应漏洞,CVE编号:CVE-1999-0524,处理过程详解!!!
大唐有趣的小胡.
05-11 2924
本文详细介绍了ICMP timestamp请求响应漏洞(CVE-1999-0524)的发现与修复全过程。该漏洞允许远程攻击者通过ICMP_TIMESTAMP查询获取系统时间,进而可能攻击基于时间认证的协议。文章提供了两种修复方法:使用firewalld或iptables来阻止ICMP timestamp请求和回复。修复步骤包括检查防火墙状态、添加阻止规则并重新加载配置。最后,文章强调了验证修复效果的重要性,并提醒运维人员在启动防火墙前需确认所有业务通信需求并规划好放行策略。通过本文的指南,读者可以有效地防范
ICMP时间戳请求发送
10-29
一个对ICMP时间戳请求报文发送的实现。网上大部分是linux的代码,CPP的很少,这里上传一个CPP的
Linux/Unix关于时间和时间戳的命令行
09-15
Linux/Unix操作系统中,管理和处理时间以及时间戳主要依赖于命令行工具,尤其是`date`命令。时间戳,正如描述中所指出的,是一个数字,代表自1970年1月1日(UTC时间)00:00:00以来的秒数。在编程和系统管理中,...
icmp请求时间戳程序
12-03
简单实现基于raw socket 的请求时间戳的客户端程序。
windows2008-ICMP开通方法
08-20
windows2008默认是禁ping的,需要开通方可被ping
Linux登录日志时间戳转换工具
08-20
Linux登录日志时间戳转换工具,主要用于Linux系统登录分析,方便溯源。
oe.zip_linux 加密_transx Makefile_时间戳
09-22
在IT领域,尤其是在软件开发和系统安全中,`oe.zip_linux 加密_transx Makefile_时间戳` 这个标题揭示了几个关键概念,这些概念是深入理解和实践现代软件工程所必要的。 首先,`oe.zip_linux` 暗示这是一个在Linux...
linux时间戳转换
05-11
linux时间戳 和本地时间相互转换,不需要连接网络,主要就是提供一个时间转换
Python时间戳使用和相互转换详解
09-21
在Python编程中,时间戳是表示时间的一种方式,它是一个整数或浮点数,代表自1970年1月1日(UTC/GMT的午夜)以来的秒数,通常用于处理和存储时间数据。本文将详细介绍如何在Python中使用时间戳以及进行相互转换。 1...
centos-使用firewalld阻止ICMP时间戳时间戳回复
lizhihua0625的博客
04-20 1811
centos-使用firewalld阻止ICMP时间戳时间戳回复
reject -- * * 0.0.0.0/0 0.0.0.0/0 reject-witch icmp-host-prohibited
06-03
这是一条 iptables 规则,用于拒绝所有来源和目标地址的网络流量,并发送一个 ICMP Host Prohibited 消息。该规则如下所示: ``` reject -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited ``` 该规则中的各个部分含义如下: - `reject`:表示该规则将会拒绝匹配的网络流量。 - `--`:表示接下来的参数是匹配规则,而不是 iptables 命令的选项。 - `*`:表示匹配所有的 IP 协议(TCP、UDP、ICMP等)。 - `*`:表示匹配所有的网络接口。 - `0.0.0.0/0`:表示匹配所有的来源 IP 地址。 - `0.0.0.0/0`:表示匹配所有的目标 IP 地址。 - `reject-with icmp-host-prohibited`:表示如果匹配该规则,将发送一个 ICMP Host Prohibited 消息。 该规则的作用是拒绝所有的网络流量,并发送一个 ICMP Host Prohibited 消息告诉发送端请求被拒绝。这条规则通常在防火墙的最后一条,作为默认规则,用于阻止所有未被允许的流量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值