ICMP timestamp請求響應漏洞 防火牆上過濾外來的ICMP timestamp（類型 13）報文以及外出的ICMP timestamp回復報文

ICMP timestamp請求響應漏洞 防火牆上過濾外來的ICMP timestamp（類型 13）報文以及外出的ICMP timestamp回復報文

---

  

 ICMP timestamp請求響應漏洞

詳細描述	遠程主機會回復ICMP_TIMESTAMP查詢並返回它們系統的當前時間。 這可能允許攻擊者攻擊一些基於時間認證的協議。
解決辦法	NSFOCUS建議您采取以下措施以降低威脅： * 在您的防火牆上過濾外來的ICMP timestamp（類型 13）報文以及外出的ICMP timestamp回復報文。
威脅分值	2.1
危險插件	否
發現日期	1997-08-01
CVE編號	CVE-1999-0524
CNNVD編號	CNNVD-199708-003
CNCVE編號	CNCVE-19990524
CVSS評分	2.1

 

解決步驟如下：

（說明：如果 /etc/sysconfig/ 目錄下沒有 iptables 文件，需要安裝 iptables，請參考：https://www.cnblogs.com/miracle-luna/p/13714709.html）

 

1、修改 iptables 文件

在/etc/sysconfig/iptables 文件中，增加如下內容：

-A INPUT -p icmp --icmp-type timestamp-request -j DROP
-A INPUT -p icmp --icmp-type timestamp-reply -j DROP

 

修改后，iptables 文件內容如下：

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

# 過濾外來的ICMP timestamp（類型 13）報文以及外出的ICMP timestamp回復報文
-A INPUT -p icmp --icmp-type timestamp-request -j DROP -A INPUT -p icmp --icmp-type timestamp-reply -j DROP -A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

 

2、保存 iptables 文件

service iptables save

 

3、重載 iptables 文件

systemctl reload iptables

或者 

service iptables reload

 

4、重啟 iptables 服務

systemctl restart iptables

或者

service iptables restart

 

5、查看 iptables 狀態

systemctl status iptables

或者

service iptables status