怎么防止服务器被 traceroute?

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 3067 天前的主题，其中的信息可能已经有所发展或是发生改变。

// allow

echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all

// block

echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

// permanent block (edit /etc/sysctl.conf)

net.ipv4.conf.icmp_echo_ignore_all = 1

这样设置能防止被 ping, 却不能防止被 traceroute, 大家是怎么解决的

6 条回复

zaishanfeng

2016-06-16 15:02:56 +08:00

以解决, traceroute 可以使用 icmp 和 udp, 以上只禁止了 icmp

linux 下 traceroute 使用的 udp 端口是 33434-33529

so

iptables -A INPUT -p udp --dport 33434:33529 -j DROP

bazingaterry

2016-06-16 15:18:04 +08:00

trace route 也可以 tcp 的，除非禁掉所有网络吧……

fengxing

2016-06-16 15:20:43 +08:00

关机

bearice

2016-06-16 15:22:54 +08:00

可以 randomize ttl ，这样大部分 tercert 工具都能懵逼

j4fun

2016-06-16 16:06:48 +08:00

drop 掉即可， iptables -t nat -A INPUT -t ttl -ttl 1 -j drop

j4fun

2016-06-16 16:07:57 +08:00

喵的打错了居然不能编辑。。。宝宝的积分啊= =！
。。 iptables -t nat -A INPUT -m ttl --ttl 1 -j drop ...