调整内核网络参数提高Linux系统安全

四、 有关防止ip欺骗攻击的内核网络参数

假设有如下的情景：

　

            　　1.1.1.1 2.2.2.2

在缺省状态下，路由器根据包的目的地址进行转发，所以路由器缺省是对来自任何地方的包进行转发的。如上图所示，假如路由器的2.2.2.2接口（也即广域网接口）接收到一个包，该包的源地址为1.1.1.100（也即为Intranet地址），虽然这是不可能或说是不合理的，但是由于路由器的特性，路由器还是会将这个不合法的包转发到Intranet。从而让黑客有了可乘之机，为其进行ip欺骗攻击打开了方便之门。

幸好，我们能够通过Linux的内核系统参数“反向路径过滤”来防止这种情况，该参数位于/proc/sys/net/ipv4/conf/下的各个子目录中的rp_filter文档。参数值为整数，可能的值有：

2 － 进行全面的反向路径过滤，推荐在边缘路由器上使用。但是要注意，在复杂的网络环境中，假如使用了静态路由或rip、ospf路由协议时，不推荐使用该值。

1 － 是该参数的缺省值，他只对直接连接的网络进行反向路径过滤。

0 － 不进行反向路径过滤。

应用实例：

建立如下的脚本，文档名为rp.sh:

　　#/bin/bash

            　　for i in /proc/sys/net/ipv4/conf/*/rp_filter ;

            　　do

            　　echo 2 > $i

            　　done

然后更改文档权限chmod 755 rp.sh。

最后执行 ./rp.sh。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!