H3C设备开ip ttl-expires / unreachables enable会引入什么风险
- 0关注
- 0收藏,2205浏览
问题描述:
客户tracert流量经我司设备没有回显,指导客户打开回显,默认回显功能是关闭的,我想咨询,设备长期开回显,有何风险,谢谢
ip ttl-expires enable
ip unreachables enable
ip ttl-expires enable命令用来开启设备的ICMP超时报文的发送功能。undo ip ttl-expires命令用来关闭设备的ICMP超时报文的发送功能。 缺省情况下,ICMP超时报文发送功能处于关闭状态。
ip unreachables enable命令用来开启设备的ICMP目的不可达报文的发送功能。undo ip unreachables命令用来关闭设备的ICMP目的不可达报文的发送功能。 缺省情况下,ICMP目的不可达报文发送功能处于关闭状态。
组网及组网描述:
- 2023-03-09提问
- 举报
-
(0)
最佳答案
Tracert报文攻击:探测网络结构
利用TTL为0时返回的ICMP超时报文和到达目的地址时返回的ICMP端口不可达报文来发现报文到达目的地所经过的路径,探测网络结构
防范手段:对于检测到的超时的ICMP报文或UDP报 文,或者目的端口不可达的报文,给予丢弃处理
注意事项:华为防火墙默认不会对超时报文做回复,ip ttl-expires enable 开启回复
————————————————
版权声明:本文为CSDN博主「静下心来敲木鱼」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/m0_49864110/article/details/127822864
- 2023-03-09回答
- 评论(0)
- 举报
-
(0)
没风险
- 2023-03-09回答
- 评论(7)
- 举报
-
(0)
毫无风险,为何厂商把这个功能默认关闭掉?查华为防火墙资料,要开回显,要配置ICMP超时报文功能 ip ttl-expires enable 关闭Tracert报文攻击防范功能 undo firewall defend tracert enable ,如果按华为的思路,是不是可以这么理解,存在一种tracert攻击方法。
https://blog.csdn.net/tladagio/article/details/103735127
https://support.huawei.com/enterprise/zh/knowledge/EKB1000506369
Tracert报文攻击:攻击者利用TTL为0时返回的ICMP超时报文,和到达目的地址时返回的ICMP端口不可达报文来发现报文到达目的地所经过的路径,它可以窥探网络的结构。 ***.***/a/576891329_445400
Tracert报文攻击:探测网络结构 利用TTL为0时返回的ICMP超时报文和到达目的地址时返回的ICMP端口不可达报文来发现报文到达目的地所经过的路径,探测网络结构 防范手段:对于检测到的超时的ICMP报文或UDP报 文,或者目的端口不可达的报文,给予丢弃处理 注意事项:华为防火墙默认不会对超时报文做回复,ip ttl-expires enable 开启回复 ———————————————— 版权声明:本文为CSDN博主「静下心来敲木鱼」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/m0_49864110/article/details/127822864
我觉得回复“没风险”三个字,轻描淡写,太过草率了
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明