icmp时间戳请求漏洞

Post author: Charles
Post link: <a href="https://tvzr.com/2021/04/01/icmp-timestamp-request/" title="icmp时间戳请求漏洞">https://tvzr.com/2021/04/01/icmp-timestamp-request/
Copyright Notice: All articles in this blog are licensed under <a href="https://creativecommons.org/licenses/by-nc-sa/4.0/zh-CN" rel="noopener" target="_blank"> BY-NC-SA unless stating additionally.

Posted on 2021-04-01 In Linux Disqus:

最近安全审计那边提供了我们服务器的一个漏洞需要修复，该漏洞是ICMP 时间戳请求响应漏洞，具体修复过程在此记录一番。

漏洞描述

ICMP（Internet Control Message Protocol，Internet控制信息协议）为IP 堆栈发送简单的信息。由于ICMP过于简单，所以它对于网络的安全性有比较大的负面影响，攻击者可以利用ICMP进行网络扫描、拒绝服务（DoS）攻击和隧道攻击等各种危害网络安全的活动。最常用的ICMP应用就是通常被称为Ping的操作。攻击者可以利用ICMP协议来探测主机地址是否存活。远程主机响应一个ICMP时间戳请求，就允许攻击者知道你机器的时间，这可以帮助攻击者攻击那些基于主机时间的协议。

漏洞修复

1
2
3

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-request -m comment --comment "deny ICMP timestamp" -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-reply -m comment --comment "deny ICMP timestamp" -j DROP
firewall-cmd --reload

查看是否生效

[test@hostname ~]$ su - root
Password: 
Last login: Thu Apr  1 14:31:35 CST 2021 on pts/2
[[email protected] ~]# firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-request -m comment --comment 'deny ICMP timestamp' -j DROP
ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-reply -m comment --comment 'deny ICMP timestamp' -j DROP