路由器使用 ICMP 重定向消息通知主机更多指向目标的直接路由。非法的 ICMP 重定向消息可能导致 "man-in-the-middle"(中间人)攻击。
开始之前
您必须成为分配有 "Network Management"(网络管理)权限配置文件的管理员。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
ICMP 重定向消息可修改主机的路由表且未通过验证。此外,重定向包的处理可增加系统 CPU 需求。
# ipadm set-prop -p _ignore_redirect=1 ipv4 # ipadm set-prop -p _ignore_redirect=1 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 1 1 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 1 1 0 0,1
这些消息包括可显示网络拓扑的一部分的路由表信息。
# ipadm set-prop -p send_redirects=off ipv4 # ipadm set-prop -p send_redirects=off ipv6 # ipadm show-prop -p send_redirects ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 send_redirects rw off off on on,off # ipadm show-prop -p send_redirects ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 send_redirects rw off off on on,off
有关更多信息,请参见Oracle Solaris 11.2 可调参数参考手册 中的send_redirects(ipv4 或 ipv6)和 ipadm(1M) 手册页。