DoS攻撃の中継点にされてしまった場合はechoを返さないように変更しましょう!

サーバをDoS攻撃の中継に利用されてしまった場合の対策のご紹介です。

kernelのパラメータ「icmp_echo_ignore_all」を無効にして、各ホストからのパケットを無視するようにします。

「0」にすることで、各ホストからの ICMP ECHO パケットを無視することができます。

恒久的に変更したい場合は、以下の設定を/etc/sysctl.confに追加します。

ちなみに、「icmp_echo_ignore_all」は「icmp_echo_ignore_broadcasts」とセットで説明されています。

icmp_echo_ignore_all 及び icmp_echo_ignore_broadcasts — 各ホストからの ICMP ECHO パケット、もしくはブロードキャスト及びマルチキャストのアドレスを起点とする ICMP ECHO パケットのみを無視することをそれぞれカーネルに許可します。0の値は、カーネルによる応答を許可し、1 の値はパケットを無視します。

引用元:redhat

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする