回答:
ICMPパケットを使用してネットワークを攻撃できる特定のケースがあります。この種の問題は今日では一般的ではありませんが、そのような問題が発生する状況があります。これは、ICMPリダイレクトまたはICMPタイプ5パケットの場合です。ICMPリダイレクトは、ホストの選択に基づいて1つのネットワークからのより良いルーティングパスを指定するためにルーターによって使用されるため、基本的にパケットのルーティング方法と宛先に影響します。
ICMPリダイレクトを介して、ホストはローカルネットワーク内からアクセスできるネットワーク、およびそのような各ネットワークに使用されるルーターを見つけることができます。セキュリティの問題は、ICMPリダイレクトを含むICMPパケットは偽造が非常に簡単であり、基本的には攻撃者がICMPリダイレクトパケットを偽造するのがかなり容易であるという事実に由来しています。
その後、攻撃者は基本的にホストのルーティングテーブルを変更し、選択したパスで外部ホストにトラフィックを分散できます。新しいパスは、ルーターによって10分間アクティブに保たれます。この事実とこのようなシナリオに伴うセキュリティリスクのため、すべてのパブリックインターフェイスからのICMPリダイレクトメッセージを無効にする(無視する)ことをお勧めします。
ファイルを編集する必要があります /etc/sysctl.conf
そして変化
###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
に
###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
次に、上記のカーネルパラメーターの変更を適用します。
$ sudo sysctl -p
転送が無効になっている場合(ルーターではない場合)、net.ipvX.conf.all.accept_redirectsの値は、インターフェース固有の値(たとえば、net.ipvX.conf.eth0.accept_redirects)の論理和がとられることに注意してください。send_redirectsは常にORされます。
完全な修正は次のとおりです。
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
「デフォルト」設定を使用するには、ネットワークインターフェイスを再度セットアップする必要があります。