使用iptabls策略来禁止主机被ping以及相关漏洞处理

最新推荐文章于 2024-05-11 13:14:41 发布
最新推荐文章于 2024-05-11 13:14:41 发布
阅读量854 收藏 2
点赞数
文章标签: 安全 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44207346/article/details/130253763
版权

因为安装环境的时候没有安装iptables-service服务,因此只用在现有的策略的基础上,添加

iptables -A INPUT -i ens192 -p icmp -m icmp --icmp-type 8 -j DROP

在这里插入图片描述
执行了以上命令,就是禁止其他主机来ping该主机

CVE-1999-0524漏洞处理

iptables -A INPUT -p ICMP --icmp-type timestamp-request -j DROP
iptables -A INPUT -p ICMP --icmp-type timestamp-reply -j DROP
iptables -A OUTPUT -p ICMP --icmp-type timestamp-request -j DROP
iptables -A OUTPUT -p ICMP --icmp-type timestamp-reply -j DROP

执行了以上命令是处理CVE-1999-0524

CVE-1999-0633

iptables -A INPUT -p ICMP --icmp-type echo-reply -j DROP
iptables -A INPUT -p ICMP --icmp-type time-exceeded -j DROP
iptables -A INPUT -p ICMP --icmp-type destination-unreachable -j DROP
iptables -A OUTPUT -p ICMP --icmp-type echo-reply -j DROP
iptables -A OUTPUT -p ICMP --icmp-type time-exceeded -j DROP
iptables -A OUTPUT -p ICMP --icmp-type destination-unreachable -j DROP

执行了以上命令是处理CVE-1999-0633

在这里插入图片描述
其中代码为15、16的信息报文已经作废。

通过Netwox模拟情况:

  • 使用netwox发送请求

在这里插入图片描述

  • 看到已经返回,如下图所示

在这里插入图片描述

  • 通过tcpdump从服务器上抓包,导入wareshark如下图所示,有type13,type14,type2的反馈

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  • 为服务器添加策略后抓包,包中只有type14,没有其余信息,说明策略生效

在这里插入图片描述
在这里插入图片描述

花蹦蹦精他哥
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用iptables禁止PING
weixin_34026276的博客
12-12 4716
使用iptables禁止PING echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all 这下是别人不能ping你,你也不能ping别人 将其值改为1后为禁止PING 将其值改为0后为解除禁止PING 其实使用iptable也很简单(INPUT链默认是DROP...
IP策略实现服务器禁止Ping
09-30
有什么办法可以使自己的服务器在在线状态下逃脱搜索呢?安装和设置防火墙当然是解决问题的最佳途径。如果您没有安装防火墙,创建一个禁止所有计算机Ping本机IP地址的安全策略,可以实现同样的功能。
服务器禁止ping的设置方法(图文)
01-20
频繁地使用Ping命令会导致网络堵塞、降低传输效率,为了避免恶意的网络攻击,一般都会拒绝用户Ping服务器。为实现这一目的,不仅可以在防火墙中进行设置,也可以在路由器上进行设置,并且还可以利用Windows 2000/2003系统自身的功能实现。无论采用哪种方式,都是通过禁止使用ICMP协议来实现拒绝Ping动作。以在Windows Server 2003中设置IP策略拒绝用户Ping服务器为例,具体操作步骤如下:1.添加IP筛选器第1步,依次单击“开始/管理工具/本地安全策略”,打开“本地安全设置”窗口。右键单击左窗格的“IP安全策略,在本地计算机”选项,执行“管理IP筛选器表和筛选器操作”
通过 iptables 禁止 ping
m0_47696151的博客
08-25 8708
ping 实现原理是, ICMP包分为 echo-request 和 echo-reply。 使主机不被 ping 方法1 直接拒绝icmp 的请求包 sudo iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT 这时候尝试ping这台主机的话会出现 Reply from 192.168.50.131: Destination port unreachable. 方法2 直接丢弃 icmp 的请求包 sudo iptables -A
漏洞防范与应对:从发现到修复的全攻略】ICMP timestamp请求响应漏洞CVE编号:CVE-1999-0524,处理过程详解!!!
最新发布
大唐有趣的小胡.
05-11 1786
本文详细介绍了ICMP timestamp请求响应漏洞CVE-1999-0524)的发现与修复全过程。该漏洞允许远程攻击者通过ICMP_TIMESTAMP查询获取系统时间,进而可能攻击基于时间认证的协议。文章提供了两种修复方法:使用firewalld或iptables来阻止ICMP timestamp请求和回复。修复步骤包括检查防火墙状态、添加阻止规则并重新加载配置。最后,文章强调了验证修复效果的重要性,并提醒运维人员在启动防火墙前需确认所有业务通信需求并规划好放行策略。通过本文的指南,读者可以有效地防范
Linux如何防止ping攻击,iptables 如何防止 syn ddos ping 攻击
weixin_39891158的博客
05-14 234
该楼层疑似违规已被系统折叠隐藏此楼查看此楼配置防火墙防止syn,ddos攻击[root@m176com ~]# vim /etc/sysconfig/iptables 在iptables中加入下面几行 #anti syn,ddos -A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT -A FORWARD ...
CentOS7 IPv6 禁止PING 使用iptables限制
jugt的博客
11-06 726
以下是利用iptables丢弃掉来自外网请求的ICMP包,达到禁Ping的效果。在SSH中输入以下命令,回车后直接生效无需重启iptables。
linux更新iptables版本_【漏洞预警】CNNVD 关于Linux和FreeBSD内核多个安全漏洞情况的通报...
weixin_29310605的博客
02-03 391
近日,国家信息安全漏洞库(CNNVD)收到关于Linux和FreeBSD内核多个安全漏洞(CNNVD-201906-681、CVE-2019-11477)(CNNVD-201906-682、CVE-2019-11478)(CNNVD-201906-683、CVE-2019-11479)(CNNVD-201906-703、CVE-2019-5599)情况的报送。攻击者可以远程利用这些漏洞,...
通过IP安全策略 WIN2003禁止PING
09-30
现在网上恶意攻击日益增多,人们都不想被他人搜索到自己的IP地址以求安全,那么到底有什么办法可以使自己的服务器在在线状态下逃脱搜索呢?
使用Python测试Ping主机IP和某端口是否开放的实例
09-18
今天小编就为大家分享一篇使用Python测试Ping主机IP和某端口是否开放的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
学好iptables防火墙拒绝信息泄露
masonyong的博客
07-13 1678
防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux 内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则...
ICMP时间戳请求发送
10-29
一个对ICMP时间戳请求报文发送的实现。网上大部分是linux的代码,CPP的很少,这里上传一个CPP的
Nginx文件解析漏洞的原理与复现
LJH1999ZN的博客
03-30 7395
一、Nginx的简介 Nginx (engine x) 是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等 二、Nginx漏洞的原理 1,Nginx越界读取缓存漏洞CVE-2017-7529) 可以读取到缓存文件中位于“HTTP返回包体”前的“文件头”、“HTTP返回包头”
ICMP timestamp请求响应漏洞处理(CVE-1999-0524)
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
02-24 3万+
一、漏洞描述 漏洞描述:远程主机响应ICMP时间戳请求。 时间戳回复是回复时间戳消息的ICMP消息。 它由时间戳的发送者发送的始发时间戳以及接收时间戳和发送时间戳组成。 这个信息理论上可以用来开发其他服务中基于时间的弱随机数发生器。 风险级别低。 二、加固处理 1)防火墙上过滤外来(INPUT)的ICMP timestamp(类型13)报文以及外出(OUTPUT)的ICMP timestamp回复报文 即在防火墙上禁用ICMP timestamp-request;或在系统内置防火墙上编辑iptable规则
Xshell 连接 linux慢
YlanHds的博客
05-03 676
Connecting to 172.16.0.11:22... Connection established. To escape to local shell, press 'Ctrl+Alt+]'. Last login: Wed May 2 22:38:38 2018 from vrouter如上:解决办法vi /etc/ssh/sshd_config 将#UseDNS yes改为 Use...
目标主机 showmount -e 信息泄露(CVE-1999-0554)漏洞修复方案
xiqi439的博客
10-11 1473
场景描述: 我共享主机是192.168.12.15 ,将15上的目录共享到192.168.12.12和192.168.12.14上面。但是我再另外一台机器192.168.12.13上执行showmount -e 192.168.12.15时,泄露了共享目录信息。mountd:192.168.12.12,192.168.12.14 #<==添加客户端IP地址,相当于白名单。mountd:all #<==添加该行,相当于黑名单。2、白名单外的地址都加黑名单。
CentOS 7.9安全漏洞修复
lucycat的博客
09-30 2412
CentOS 7.9修复CVE-2008-5161安全漏洞
检测到远端X服务正在运行中(CVE-1999-0526)漏洞解决
看着博客敲代码
04-16 1万+
检测到远端X服务正在运行中(CVE-1999-0526), 详细描述: X11协议是一种基于客户端/服务器模型的协议。X Server监听在6000/TCP端口,接受客户端发来的各种命令请求,服务器执行完命令后将事件返回给客户端。 如果允许从任意IP连接X Server的话,攻击者可能登录X Server并记录使用同一X Server的其它X Client的所有击键操作,这将包括帐号、密码等敏感信息。 解决方案: 查看默认的target [root@localhost ~]# systemctl get-d
可通过HTTP获取远端WWW服务信息
doublebaidu的博客
08-20 3万+
最近在项目中服务器检查出“可通过HTTP获取远端WWW服务信息”的问题,通过在网络上查找资料解决问题 漏洞截图 问题描述:本插件检测远端HTTP Server信息。这可能使得攻击者了解远程系统类型以便进行下 一步的攻击。 在目标主机上安装了apache服务器,所以问题是apache暴露的,apache版本"httpd-2.4.39" 解决方法: Apache中关闭目录浏览功能: 打开Apache配...
只允许主机PC1可以ping服务器,禁止其他所有主机ping服务器
05-25
要实现这个功能,你需要在服务器上进行配置。 你可以使用防火墙来限制哪些主机可以ping服务器。具体来说,你需要在服务器上创建一个防火墙规则,只允许主机PC1的IP地址能够ping服务器。 以下是在Linux服务器上实现此功能的步骤: 1. 打开终端并以root身份登录服务器 2. 输入以下命令以打开防火墙端口: ``` sudo ufw allow ssh sudo ufw enable ``` 3. 输入以下命令以添加防火墙规则,仅允许主机PC1的IP地址ping服务器: ``` sudo ufw deny from any to any icmp echo-request sudo ufw allow from PC1_IP_Address to any icmp echo-request sudo ufw status ``` 请将 `PC1_IP_Address` 更改为允许ping服务器的主机PC1的IP地址。 4. 最后,测试此功能,从PC1尝试ping服务器,如果成功,则表示仅PC1可以ping服务器。如果失败,则表示配置可能存在问题,请检查配置并重试。 注意:在某些情况下,可能需要在路由器上执行类似的操作,以确保其他主机无法ping服务器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值