咨询热线:
13156366963
风险描述
未在/etc/sysctl.conf禁用源路由:net.ipv4.conf.all.accept_source_route,net.ipv4.conf.default.accept_source_route
解决方案
1、在`/etc/sysctl.conf`设置:
# 检查是否禁用源路由数据包 net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0
4、执行:
sysctl -w net.ipv4.conf.all.accept_source_route=0 sysctl -w net.ipv4.conf.default.accept_source_route=0 sysctl -w net.ipv4.route.flush=1
温馨提示
将net.ipv4.conf.all.accept_source_route和net.ipv4.conf.default.accept_source_route设置为0将禁止系统接受源路由数据包。 假设该系统能够将数据包路由到一个接口上的Internet可路由地址和另一个接口上的私有地址。 假设私有地址不可路由到Internet可路由地址,反之亦然。 在正常路由环境下,来自Internet可路由地址的攻击者无法使用该系统作为到达私有地址系统的方式。 但是,如果允许源路由数据包,则可以使用它们来访问专用地址系统,因为可以指定路由,而不是依赖于不允许此路由的路由协议。