有一个简单的规则,可以写出来阻止一个ping ipo死亡?
大多数现代操作系统不受“死亡”攻击的影响。 从IPCHAINS HOWTO( http://www.linux.org/docs/ldp/howto/IPCHAINS-HOWTO-5.html ):
5.3过滤掉死亡
现在,Linux机器对着名的“死亡之瓶”(Ping of Death)是免疫的,其中包括发送一个非法大的ICMP数据包,这个数据包在接收机的TCP堆栈中溢出缓冲区,造成严重破坏。
如果您正在保护可能易受攻击的盒子,则可以简单地阻止ICMP片段。 普通的ICMP数据包不够大,不需要碎片,所以除了大的ping之外,你不会破坏任何东西。 我听说(未经证实)报告说有些系统只需要超大ICMP数据包的最后一个片段就会破坏它们,所以不build议只阻塞第一个片段。
你可以用这样的东西去掉icmp碎片:
iptables -A FORWARD -p icmp -f -j DROP 但是,除非你试图保护一些非常旧的设备,否则这可能是不必要的。