怎么防止服务器被 traceroute?

2016-06-16 14:34:12 +08:00
 zaishanfeng

// allow

echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all

// block

echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

// permanent block (edit /etc/sysctl.conf)

net.ipv4.conf.icmp_echo_ignore_all = 1

这样设置能防止被 ping, 却不能防止被 traceroute, 大家是怎么解决的

4989 次点击
所在节点    问与答
6 条回复
zaishanfeng
2016-06-16 15:02:56 +08:00
以解决, traceroute 可以使用 icmp 和 udp, 以上只禁止了 icmp

linux 下 traceroute 使用的 udp 端口是 33434-33529

so

iptables -A INPUT -p udp --dport 33434:33529 -j DROP
bazingaterry
2016-06-16 15:18:04 +08:00
trace route 也可以 tcp 的,除非禁掉所有网络吧……
fengxing
2016-06-16 15:20:43 +08:00
关机
bearice
2016-06-16 15:22:54 +08:00
可以 randomize ttl ,这样大部分 tercert 工具都能懵逼
j4fun
2016-06-16 16:06:48 +08:00
drop 掉即可, iptables -t nat -A INPUT -t ttl -ttl 1 -j drop
j4fun
2016-06-16 16:07:57 +08:00
喵的打错了居然不能编辑。。。宝宝的积分啊= =!
。。 iptables -t nat -A INPUT -m ttl --ttl 1 -j drop ...

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/286165

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX