CentOS7修复几个ICMP漏洞

一、环境说明

由于系统为CentOS7.2，版本比较老，使用的是firewall防火墙，只能使用firewall-cmd命令禁用掉部分icmp漏洞
参考 https://www.cnblogs.com/lsdb/p/8204578.html

二、漏洞修复

1.ICMP timestamp请求响应漏洞

描述：
远程主机会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间。 这可能允许者一些基于时间认证的协议
修复：

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-request -m comment --comment "deny ICMP timestamp" -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-reply -m comment --comment "deny ICMP timestamp" -j DROP

2.允许Traceroute探测漏洞

描述：
本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。或者也可以利用这些信息来了解目标网络的网络拓扑
修复：

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type 11 -m comment --comment "deny traceroute" -j DROP

注意：
修改完记得reload下

firewall-cmd --reload

查看添加的规则

firewall-cmd --direct --get-all-rules

三、漏洞测试

1.ICMP timestamp请求响应漏洞

参考 https://blog.csdn.net/q1007729991/article/details/72600130
下载好软件，通过make编译好；漏洞前后对比如下图

2.允许Traceroute探测漏洞

这个暂时还没找到测试方法，(＃￣～￣＃)，如果哪位大神知道，麻烦指点一下