一、操作系統版本
centos 7.3
二、漏洞列表
1、ICMP timestamp請求響應漏洞
2、允許Traceroute探測
三、修復方法
# ICMP timestamp請求響應漏洞
- 方式一
firewall-cmd --add-icmp-block=time-exceeded --permanent
- 方式二
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-request -m comment --comment "deny ICMP timestamp" -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-reply -m comment --comment "deny ICMP timestamp" -j DROP
# Traceroute探測漏洞
- 方式一
firewall-cmd --add-icmp-block=timestamp-reply --permanent
firewall-cmd --add-icmp-block=timestamp-request --permanent
- 方式二
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type 11 -m comment --comment "deny traceroute" -j DROP
四、防火牆支持的類型
firewall-cmd --get-icmptypes
五、重啟生效擴展指令
# 重新加載生效
firewall-cmd --reload
查看規則
firewall-cmd --direct --get-all-rules
檢查新添加的規則是否有效,檢查命令:iptables -L -n
五、操作系統發布日志
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7
六、參考文章
CentOS7修復幾個ICMP漏洞
https://blog.csdn.net/weixin_34186931/article/details/93092048
https://blog.csdn.net/chi0830/article/details/100590045