Что такое переадресация ICMP и должны ли они быть заблокированы?

Question 1

npviewer.bin не входит в состав Chrome - это часть оболочки совместимости nspluginwrapper, которая позволяет использовать 32-битный Flash-плагин (и другие 32-разрядные плагины) в 64-разрядном браузере. Для 64-битного Chrome nspluginwrapper «похож» на 64-битный Flash-плагин. Но так нужен настоящий 64-битный Flash-плагин, который предпочтительнее, поэтому я бы предположил, что у вас недавно появился такой плагин, и, таким образом, Chrome больше не использует версию nspluginwrapper. У вас есть процесс chrome --type = plugin? Он был там все время, но с nspluginwrapper, это просто прокси для реального плагина, который работает в процессе npviewer.bin. Для собственного 64-битного плагина сам плагин работает.

Question 2

В соответствии с этой статьей

Существуют определенные случаи, когда ICMP-пакеты могут использоваться для атаки на сеть. Хотя этот тип проблемы сегодня не распространен, бывают ситуации, когда такие проблемы происходят. Это имеет место с переадресацией ICMP или пакетом ICMP Type 5. Переадресации ICMP используются маршрутизаторами для указания лучших маршрутов маршрутизации из одной сети на основе выбора хоста, поэтому в основном это влияет на маршрутизацию маршрутов и адресатов. С помощью переадресации ICMP хост может узнать, к каким сетям можно получить доступ из локальной сети, и какие маршрутизаторы будут использоваться для каждой такой сети. Проблема безопасности возникает из-за того, что ICMP-пакеты, включая переадресацию ICMP, чрезвычайно легко подделать, и в основном для злоумышленника было бы довольно легко подделать пакеты переадресации ICMP. Затем атакующий может в основном изменить таблицы маршрутизации вашего хоста и трафик дайвера на внешние хосты по пути по своему выбору; новый маршрут поддерживается маршрутизатором в течение 10 минут. Из-за этого факта и рисков безопасности, связанных с таким сценарием, по-прежнему рекомендуется отключить сообщения перенаправления ICMP (игнорировать их) со всех открытых интерфейсов.

Вам нужно отредактировать файл /etc/sysctl.conf

и изменить

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0

TO

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

Затем применить ядро изменения параметров выше:

$ sudo sysctl -p

Question 3

Question 4

Имейте в виду, что если переадресация отключена (мы не являемся маршрутизатором), значение net.ipvX.conf.all.accept_redirects будет значением ORed для интерфейса, например. net.ipvX.conf.eth0.accept_redirects. send_redirects всегда ORed.

Полное исправление будет следующим:

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0

Чтобы использовать настройки «по умолчанию», необходимо снова настроить сетевые интерфейсы.

Question 5

Имейте в виду, что если переадресация отключена (мы не являемся маршрутизатором), значение net.ipvX.conf.all.accept_redirects будет значением ORed для интерфейса, например. net.ipvX.conf.eth0.accept_redirects. send_redirects всегда ORed.

Полное исправление будет следующим:

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0

Чтобы использовать настройки «по умолчанию», необходимо снова настроить сетевые интерфейсы.

David Oliver · Accepted Answer · 25 May 2018 в 13:01

В соответствии с этой статьей

Существуют определенные случаи, когда ICMP-пакеты могут использоваться для атаки на сеть. Хотя этот тип проблемы сегодня не распространен, бывают ситуации, когда такие проблемы происходят. Это имеет место с переадресацией ICMP или пакетом ICMP Type 5. Переадресации ICMP используются маршрутизаторами для указания лучших маршрутов маршрутизации из одной сети на основе выбора хоста, поэтому в основном это влияет на маршрутизацию маршрутов и адресатов. С помощью переадресации ICMP хост может узнать, к каким сетям можно получить доступ из локальной сети, и какие маршрутизаторы будут использоваться для каждой такой сети. Проблема безопасности возникает из-за того, что ICMP-пакеты, включая переадресацию ICMP, чрезвычайно легко подделать, и в основном для злоумышленника было бы довольно легко подделать пакеты переадресации ICMP. Затем атакующий может в основном изменить таблицы маршрутизации вашего хоста и трафик дайвера на внешние хосты по пути по своему выбору; новый маршрут поддерживается маршрутизатором в течение 10 минут. Из-за этого факта и рисков безопасности, связанных с таким сценарием, по-прежнему рекомендуется отключить сообщения перенаправления ICMP (игнорировать их) со всех открытых интерфейсов.

Вам нужно отредактировать файл /etc/sysctl.conf

и изменить

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0

TO

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

Затем применить ядро изменения параметров выше:

$ sudo sysctl -p

Благодарю. Вам, вероятно, тоже нужно раскомментировать эти строки, нет? :) — jrdioko, 2 April 2012 в 23:15
Вы должны сделать это, чтобы принять изменения: sudo sysctl -p — user, 11 July 2012 в 12:20
Я не думаю, что установка net.ipv4.conf.all.accept_redirects = 0 делает что-либо; обратите внимание на или _ в файле. Если я правильно читаю secure_redirects [ frozentux.net/ipsysctl-tutorial/chunkyhtml/… ], это переопределяет net.ipv4.conf.all.accept_redirects = 0 — gerardw, 23 April 2018 в 18:02

Marek · Answer 2 · 25 May 2018 в 13:01

Имейте в виду, что если переадресация отключена (мы не являемся маршрутизатором), значение net.ipvX.conf.all.accept_redirects будет значением ORed для интерфейса, например. net.ipvX.conf.eth0.accept_redirects. send_redirects всегда ORed.

Полное исправление будет следующим:

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0

Чтобы использовать настройки «по умолчанию», необходимо снова настроить сетевые интерфейсы.

Marek · Answer 3 · 4 August 2018 в 17:08

Имейте в виду, что если переадресация отключена (мы не являемся маршрутизатором), значение net.ipvX.conf.all.accept_redirects будет значением ORed для интерфейса, например. net.ipvX.conf.eth0.accept_redirects. send_redirects всегда ORed.

Полное исправление будет следующим:

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0

Чтобы использовать настройки «по умолчанию», необходимо снова настроить сетевые интерфейсы.

Что такое переадресация ICMP и должны ли они быть заблокированы?

3 ответа

Другие вопросы по тегам:

Похожие вопросы: