在 Oracle® Solaris 11.2 中确保网络安全

退出打印视图

更新时间: 2014 年 9 月
 
 

如何禁止 ICMP 重定向

路由器使用 ICMP 重定向消息通知主机更多指向目标的直接路由。非法的 ICMP 重定向消息可能导致 "man-in-the-middle"(中间人)攻击。

开始之前

您必须成为分配有 "Network Management"(网络管理)权限配置文件的管理员。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限

  1. 将 IP 包的忽略重定向属性设置为 1,然后检验当前值。

    ICMP 重定向消息可修改主机的路由表且未通过验证。此外,重定向包的处理可增加系统 CPU 需求。

    # ipadm set-prop -p _ignore_redirect=1 ipv4
    # ipadm set-prop -p _ignore_redirect=1 ipv6
    # ipadm show-prop -p _ignore_redirect ipv4
    PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv4  _ignore_redirect  rw   1         1            0         0,1
    # ipadm show-prop -p _ignore_redirect ipv6
    PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
    ipv6  _ignore_redirect  rw   1         1            0         0,1
  2. 防止发送 ICMP 重定向消息。

    这些消息包括可显示网络拓扑的一部分的路由表信息。

    # ipadm set-prop -p send_redirects=off ipv4
    # ipadm set-prop -p send_redirects=off ipv6
    # ipadm show-prop -p send_redirects ipv4
    PROTO PROPERTY          PERM CURRENT  PERSISTENT   DEFAULT  POSSIBLE
    ipv4  send_redirects    rw   off      off          on       on,off
    
    # ipadm show-prop -p send_redirects ipv6
    PROTO  PROPERTY        PERM CURRENT   PERSISTENT   DEFAULT  POSSIBLE
    ipv6  send_redirects   rw   off       off          on       on,off

    有关更多信息,请参见Oracle Solaris 11.2 可调参数参考手册 中的send_redirects(ipv4 或 ipv6)ipadm(1M) 手册页。