V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
zaishanfeng
V2EX  ›  问与答

怎么防止服务器被 traceroute?

  •  
  •   zaishanfeng · 2016-06-16 14:34:12 +08:00 · 4996 次点击
    这是一个创建于 3089 天前的主题,其中的信息可能已经有所发展或是发生改变。

    // allow

    echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all

    // block

    echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

    // permanent block (edit /etc/sysctl.conf)

    net.ipv4.conf.icmp_echo_ignore_all = 1

    这样设置能防止被 ping, 却不能防止被 traceroute, 大家是怎么解决的

    zaishanfeng
        1
    zaishanfeng  
    OP
       2016-06-16 15:02:56 +08:00
    以解决, traceroute 可以使用 icmp 和 udp, 以上只禁止了 icmp

    linux 下 traceroute 使用的 udp 端口是 33434-33529

    so

    iptables -A INPUT -p udp --dport 33434:33529 -j DROP
    bazingaterry
        2
    bazingaterry  
       2016-06-16 15:18:04 +08:00
    trace route 也可以 tcp 的,除非禁掉所有网络吧……
    fengxing
        3
    fengxing  
       2016-06-16 15:20:43 +08:00
    关机
    bearice
        4
    bearice  
       2016-06-16 15:22:54 +08:00
    可以 randomize ttl ,这样大部分 tercert 工具都能懵逼
    j4fun
        5
    j4fun  
       2016-06-16 16:06:48 +08:00
    drop 掉即可, iptables -t nat -A INPUT -t ttl -ttl 1 -j drop
    j4fun
        6
    j4fun  
       2016-06-16 16:07:57 +08:00
    喵的打错了居然不能编辑。。。宝宝的积分啊= =!
    。。 iptables -t nat -A INPUT -m ttl --ttl 1 -j drop ...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2797 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 12:44 · PVG 20:44 · LAX 04:44 · JFK 07:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.