配置服务器防止IP欺骗攻击
配置说明:
将rp_filter参数设置为1,可以对服务器每个进来的数据包,校验其反向路径是否是最佳路径。如果反向路径非最佳路径,则直接丢弃该数据包,这样可以有效防止服务器遭受IP欺骗攻击。
配置方法:
- 以root用户运行sysctl -a命令查询服务器所有接口的rp_filter参数配置。
sysctl -a | grep rp_filter | grep -v arp_filter net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.lo.rp_filter = 1 net.ipv4.conf.eth0.rp_filter = 1 net.ipv4.conf.eth1.rp_filter = 1
- 打开/etc/sysctl.conf文件,将步骤1查询的所有rp_filter为0的配置项修改为1,写入文件保存。
vi /etc/sysctl.conf net.ipv4.conf.all.rp_filter = 1
- 运行sysctl -p命令加载配置文件生效。
sysctl -p
开启反向路由校验之后可能导致网卡出现丢包现象,可检查系统路由设置,确保此为正常配置。
推荐值:1
检查方法:
以root用户运行sysctl -a命令查询服务器所有接口的rp_filter参数配置。
sysctl -a | grep rp_filter | grep -v arp_filter
预期结果:1
风险等级:中
「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」关注作者【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。评论
- 打开/etc/sysctl.conf文件,将步骤1查询的所有rp_filter为0的配置项修改为1,写入文件保存。