ICMP timestamp请求响应漏洞 防火墙上过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文
|
解决步骤如下:
(说明:如果 /etc/sysconfig/ 目录下没有 iptables 文件,需要安装 iptables,请参考:https://www.cnblogs.com/miracle-luna/p/13714709.html)
1、修改 iptables 文件
在/etc/sysconfig/iptables 文件中,增加如下内容:
-A INPUT -p icmp --icmp-type timestamp-request -j DROP
-A INPUT -p icmp --icmp-type timestamp-reply -j DROP
修改后,iptables 文件内容如下:
# sample configuration for iptables service # you can edit this manually or use system-config-firewall # please do not ask us to add additional ports/services to this default configuration *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT # 过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文 -A INPUT -p icmp --icmp-type timestamp-request -j DROP -A INPUT -p icmp --icmp-type timestamp-reply -j DROP -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
2、保存 iptables 文件
service iptables save
3、重载 iptables 文件
systemctl reload iptables
或者
service iptables reload
4、重启 iptables 服务
systemctl restart iptables
或者
service iptables restart
5、查看 iptables 状态
systemctl status iptables
或者
service iptables status