Ubuntu 22.04 一次及其繁琐的 允许 Traceroute 探测漏洞修复之旅

原创 已于 2022-11-23 10:18:08 修改 · 3k 阅读 · 3
标签
#ubuntu #linux #运维
于 2022-11-23 01:59:10 首次发布
本文分享了解决Ubuntu系统中Traceroute探测问题的过程。作者通过深入研究iptables及ufw防火墙配置,最终实现了禁止Traceroute探测的目标。

前言:允许 Traceroute 探测是绿盟漏洞扫描器报出来的一个漏洞,如下图:

我的系统是ubuntu 22.04,但由于是用户提供的虚拟机,会有些定制的部分,具体定制了哪部分就不知道了,直接描述问题。

==========

解决问题的心路历程:

1、traceroute 地址有返回信息,很简单的问题

        查询了网上的很多内容,说是通过iptables 生成规则并且执行就可以,但是我的系统iptables不是以服务形态出现的,没有办法使用 services restart iptables 、 systemctl reload iptables 等命令进行重启,导致网上的命令使用后都无法生效;

2、管理员在系统安装了ufw,并做了配置

        使用fuw status 可以看到只开了22/80 两个端口,其他的都是关闭状态,但是查遍全网都没有如果合同ufw禁止使用udp端口的问题,后来看到了一个帖子是这么说的:

        ufw展示iptable的配置方式,具体实现还是通过iptables进行执行,看来还是得通过iptables入手解决问题。

3、查找iptables的配置文件,怎么也找不到,使用 iptables-save 命令可以看到保存了一大堆的策略,可是不知道这些策略出自哪里

        通过 whereis iptables  发现了一个目录 /usr/share/ufw的目录,下面还有个iptables的目录,里面有一些配置文件,我感觉是找对了地方,但修改了半天还是无效。

最低0.47元/天 解锁文章
traceroute/tracert--获取网络路由路径
萌兔兔MMQ!!
08-19 3287
当然每次数据包由某一同样的出发点(source)到达某一同样的目的地(destination)走的路径可能会不一样,但基本上来说大部分时候所走的路由是相同的。注:ubuntutraceroute www.baidu.com全是×,但ping可通,这主要是因为ubuntu下默认的traceroute发送的是UDP包,应该加参数-I(使用ICMP包),traceroute -I www.baidu.com.出现这样的情况,可能是防火墙封掉了ICMP的返回信息,所以我们得不到什么相关的数据包返回数据。
【网络技术】【traceroute】【Linux虚拟机(Ubuntu)】无法traceroute至谷歌【及解决方法】
weixin_43031313的博客
01-18 1996
网关地址变为192.168.15.254,与主机网卡位于同一网段内,traceroute可以达到。这一步就停止了(相当于卡住了),是由于虚拟机当前的网络模式为。从traceroute命令的返回内容可以看出,路由寻找在。网关地址为10.0.2.2,无法traceroute至。谷歌(www.google.com),但是却。(IP地址:192.168.15.123)。),对比之前ping命令显示的IP(在网络设置中将网络模式改为。Ubuntu虚拟机可以。),位于同一网段下。
手把手复现CVE-2023-38545:在Ubuntu 22.04上编译有漏洞的curl 7.74.0并触发堆溢出
weixin_28704239的博客
05-06 250
本文详细介绍了如何在Ubuntu 22.04上复现CVE-2023-38545漏洞,包括编译有漏洞的curl 7.74.0版本、搭建SOCKS5代理环境以及触发堆溢出。通过实际操作揭示漏洞的内存管理机制和状态机设计缺陷,帮助安全研究人员深入理解该漏洞的本质和防护措施。
允许Traceroute探测漏洞和ICMP timestamp请求响应漏洞解决方法(三)
冰恋云的专栏
07-06 4266
解决办法 在防火墙出站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)类型的ICMP包。详细描述 本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。1、关闭Traceroute探测的方法。2、重新载入防火墙配置。
ping和Traceroute命令祥解
热门推荐
阿泰
04-08 2万+
ping命令详解使用 ping可以测试计算机名和计算机的 ip 地址,验证与远程计算机的连接,通过将 icmp 回显数据包发送到计算机并侦听回显回复数据包来验证与一台或多台远程计算机的连接,该命令只有在安装了 tcp/ip 协议后才可以使用。 现在打开你的ms-dos(开始→程序→ms-dos),用win2000的朋友打开cmd.exe(这是win2000下的ms-dos,开始→程序→附件→"
ubuntu 网络常用命令
xie__jin__cheng的博客
07-05 1650
ubuntu 网络常用命令
Linux服务器iptables三层隔离体系:策略、链路与状态层实战
最新发布
weixin_33743880的博客
06-20 312
服务器网络隔离是零信任架构的基础能力,其本质并非简单封禁IP或端口,而是基于最小权限原则构建有方向、有状态、可审计的通信控制体系。核心原理在于协同策略层(默认拒绝+白名单建模)、链路层(物理接口绑定与多网卡识别)和状态层(conntrack连接跟踪),从而规避iptables顺序匹配、规则冲突、容器逃逸等典型失效场景。该技术广泛应用于金融、游戏、电商等高安全要求的内网环境,支撑数据库、Redis、微服务等关键组件的精细化访问控制。本文以CentOS 7真实生产环境为基准,详解如何在传统服务器及Docker混
漏洞解决
tiki的博客
12-31 1万+
漏洞解决一、允许Traceroute探测1.Q:漏洞名称:允许Traceroute探测2.A:解决途径:二、ICMP timestamp请求响应漏洞1.Q:漏洞名称:ICMP timestamp请求响应漏洞2.A:解决途径:三、SSH版本信息可被获取1.Q:漏洞名称:SSH版本信息可被获取2.A:解决途径:四、远端WEB服务器上存在/robots.txt文件1.Q:漏洞名称:远端WEB服务器上存在/robots.txt文件2.A:解决途径:有待补充 一、允许Traceroute探测 1.Q:漏洞名称:允许T
ubuntu(20.04)-shell脚本(4)-vmstat-iostat-expr-netstat-arp-Tracert-Route-NBTStat
aggie4628的专栏
04-20 939
vmstat的-S和-M参数(大写和MB)将会以MB为单位输出。vmstat 好iostat 两个命令都适用于所有主要的类unix系统、linux的软件包。建议使用man vmstat 查看具体,vmstat 分模式分字段的,下面是vm模式下的。Windows用的是arp -a(-a可被视为all,即全部的意思),但它也可以接。如果我们有多个网卡,那么使用arp -a加上接口的IP地址,就可以只。vmstat命令的-s参数,将输出各种事件计数器和内存的统计信息。-a和-g参数的结果是一样的,多年。
ubuntu20.04 desktop安装traceroute命令
Sinck7的博客
11-03 3585
弹窗提示,个人选择了Yes。其他镜像源地址见以下链接。
Wireshark - 【学习笔记】(Ubuntu18.04)、协议分析(IP、ARP、ICMP、DNS、UDP、TCP、DHCP、HTTP、HTTPS、FTP、Telnet)
LawssssCat的博客
11-20 4287
在csdn看到好的文章想转载,无奈找不到转载的功能,只能想办法了。 首先确定原文允许转载 在文章开头处一般有版权声明,如图 转载时要注明出处和作者 如何转载 用谷歌浏览器加载文章地址,打开文章 F12打开Developer Tools,并打开Elements页面 将文章开头部分的文字作为关键字在Elements界面搜索 以此文为例:h...
Ubuntu安装traceroute报错
剪刀石头布
04-19 1118
Reading package lists... DoneBuilding dependency tree Reading state information... DonePackage traceroute is not available, but is referred to by another package.This may mean that the package ...
ubuntu】尝试9个网络功能
gongdiwudu的专栏
11-03 5366
经常用ubuntu,但是对它的网络功能知之不多,终于有一个机会能把这些网络功能罗列一下,等日后慢慢查询使用。
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)
分享型博主
07-26 8360
文章来自一份绿盟安全评估中的服务器漏洞扫描分析结果,据市场研究公司Gartner研究报告称“实施漏洞管理的企业会避免近90%的攻击”。可以看出,及时的漏洞修补可以在一定程度上防止病毒、攻击者的威胁。这个报告是合作单位的服务器安全评估出来的,帮忙协助处理下,希望对看到的小伙伴有所帮助,有问题咱们一起讨论实践哦。
ubuntu查看路由跳数
huangwei8827488的博客
06-16 519
主要用于追踪数据包到目标地址所经过的路径,但它也可以显示每个跳站的IP地址和相应的跳数。在Ubuntu中,你可以使用。命令来查看路由表,其中。在终端中,你可以使用。命令是更现代的选择。
允许Traceroute探测漏洞解决方法
hryzxjh的博客
05-09 5976
解决办法 在防火墙出站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)类型的ICMP包。详细描述 本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。允许Traceroute探测漏洞解决方法。1、关闭Traceroute探测的方法。2、重新载入防火墙配置。
linuxtraceroute使用教程
weixin_53641036的博客
03-16 5443
1、首先我们开启ubuntu虚拟机,并且确保其能上网。安装traceroute软件。执行命令"apt-get install traceroute"进行安装。 2、我们介绍traceroute软件的命令格式为 traceroute [参数选项] hostname,域名或 IP地址。 首先我们执行第一条命令为"traceroute www.sina.com",对新浪地址进行追踪。 此处我们对结果加以说明: 记录按序列号从1开始,每个纪录就是一跳 ,每跳表示一个网关,我们看到每行有三个时间,单位是 ms,..
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞(1)
2401_84545291的博客
05-13 2570
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值