Linux防火墙禁止Traceroute探测（CVE-1999-0633）

漏洞名称： 允许Traceroute探测

CVE编号： CVE-1999-0633

风险等级： 低 ，协议ICMP

详细描述： 本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。

解决办法： 在防火墙出入站规则中禁用echo-reply（type 0）、time-exceeded（type 11）、destination-unreachable（type 3）类型的ICMP包。

防火墙增加规则

iptables -A INPUT -p ICMP --icmp-type echo-reply -j DROP  
iptables -A OUTPUT -p ICMP --icmp-type echo-reply -j DROP  
iptables -A INPUT -p ICMP --icmp-type time-exceeded -j DROP  
iptables -A OUTPUT -p ICMP --icmp-type time-exceeded -j DROP  
iptables -A INPUT -p ICMP --icmp-type destination-unreachable -j DROP  
iptables -A OUTPUT -p ICMP --icmp-type destination-unreachable -j DROP

查看防火墙策略

iptables -L -n