四、有关防止ip欺骗攻击的内核网络参数

假设有如下的情景：

在缺省状态下，路由器根据包的目的地址进行转发，所以路由器缺省是对来自任何地方的包进行转发的。如上图所示，假如路由器的2.2.2.2接口（也即广域网接口）接收到一个包，该包的源地址为1.1.1.100（也即为Intranet地址），虽然这是不可能或者说是不合理的，但是由于路由器的特性，路由器还是会将这个不合法的包转发到Intranet。从而让黑客有了可乘之机，为其进行ip欺骗攻击打开了方便之门。

幸好，我们可以通过Linux的内核系统参数“反向路径过滤”来防止这种情况，该参数位于/proc/sys/net/ipv4/conf/下的各个子目录中的rp_filter文件。参数值为整数，可能的值有：

2 － 进行全面的反向路径过滤，推荐在边缘路由器上使用。但是要注意，在复杂的网络环境中，如果使用了静态路由或rip、ospf路由协议时，不推荐使用该值。

1 － 是该参数的缺省值，它只对直接连接的网络进行反向路径过滤。

0 － 不进行反向路径过滤。

应用实例：

建立如下的脚本，文件名为rp.sh

#/bin/bash for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 2 > $i done
　　 然后更改文件权限chmod 755 rp.sh

最后执行 ./rp.sh

五、针对每一网络接口的内核网络参数

通过针对每一网络接口的内核网络参数，你可以为诸如eth0、eth1等具体的网络接口指
定响应的内核网络参数。

注意：/proc/sys/net/ipv4/conf/all/下的参数将应用于所有的网络接口。

1．accept_redirects：该参数位于/proc/sys/net/ipv4/conf/DEV/accept_redirects（DEV表示具体的网络接口），如果你的主机所在的网段中有两个路由器，你将其中一个设置成了缺省网关，但是该网关在收到你的ip包时发现该ip包必须经过另外一个路由器，这时这个路由器就会给你发一个所谓的“重定向”icmp包，告诉将ip包转发到另外一个路由器。参数值为布尔值，1表示接收这类重定向icmp 信息，0表示忽略。在充当路由器的linux主机上缺省值为0，在一般的linux主机上缺省值为1。建议将其改为0，或者使用“安全重定向”（见下文）以消除安全性隐患。

2．log_martians：将包含非法地址信息的ip包记录到内核日志。参数值为布尔值。

应用实例：

上面我们讲过rp_filter反向路径过滤参数，同时我们可以执行下面的语句

echo “1” > /proc/sys/net/ipv4/conf/all/log_martians
　　 然后就可以将进行ip假冒的ip包记录到/var/log/messages。

3． forwarding：启用特定网络接口的ip转发功能。参数值为布尔值，1表示进行记录。

应用实例：

echo "1" > /proc/sys/net/ipv4/conf/eth0/forwarding
　　 4．accept_source_route：是否接受含有源路由信息的ip包。参数值为布尔值，1表示接受，0表示不接受。在充当网关的linux主机上缺省值为1，在一般的linux主机上缺省值为0。从安全性角度出发，建议你关闭该功能。

5．secure_redirects：前面我们已经提到过“安全重定向”的概念，其实所谓的“安全重定向”就是只接受来自网关的“重定向”icmp包。该参数就是用来设置“安全重定向”功能的。参数值为布尔值，1表示启用，0表示禁止，缺省值为启用。

6．proxy_arp：设置是否对网络上的arp包进行中继。参数值为布尔值，1表示中继，0表示忽略，缺省值为0。该参数通常只对充当路由器的linux主机有用。