只禁用 Traceroute,保留 ICMP Echo 请求(ping)功能,可以使用以下方法限制 Traceroute 的使用,而不影响 ping:
使用防火墙规则:
配置防火墙规则以阻止 Traceroute 的 UDP 包:
sudo iptables -A INPUT -p udp --dport 33434:33523 -j DROP
iptables save
这将阻止 UDP 端口范围在 33434 到 33523 的 Traceroute 包。Traceroute 通常使用这些端口进行路由跟踪。
禁用 Traceroute 功能:
在某些 Linux 发行版上,可以通过设置 sysctl 参数来限制 ICMP 的某些特性,如限制 ICMP 的 TTL (Time-To-Live):
sudo sysctl -w net.ipv4.icmp_ratelimit=100
这可以限制 ICMP 报文的发送速率,使 Traceroute 变得更难执行。
这些方法将有助于限制 Traceroute 的使用,同时保留 ICMP Echo 请求(ping)功能。请注意,某些高级的网络探测工具或攻击工具可能会绕过这些限制,因此维护系统的安全性和定期更新仍然是非常重要的。
ICMP timestamp请求响应漏洞
iptables -A INPUT -p icmp --icmp-type timestamp-request -j DROP
iptables -A INPUT -p icmp --icmp-type timestamp-reply -j DROP
