什麼是 ICMP Type 13/14?
-
Type 13 (Timestamp Request):詢問目標主機的系統時間。
-
Type 14 (Timestamp Reply):目標主機回應它的系統時間。
資安風險在哪裡?
1. 設備資訊洩漏(系統時間/時區偵察)
-
回應 Timestamp Request 時,會洩漏主機的系統時間。
-
攻擊者可藉此判斷:
-
系統時區 (timezone)
-
系統時間是否正確(是否有 NTP 同步)
-
作業系統類型(某些裝置回應格式不同,如 Windows/Linux)
-
-
可作為進一步精準攻擊的「Fingerprinting」資料來源。
2. 橫向移動 / 偽裝偵測
-
攻擊者在內網橫向掃描時,透過 timestamp 回應比對裝置回應特徵。
-
某些設備型號會根據 Timestamp 回應的偏移值、格式而露餡。
-
攻擊者可利用這些細節資訊,去偽裝掃描行為以避開 IDS/IPS 偵測。
3. 時間偏移攻擊 (Blind Data Injection)
-
有些舊型設備或特殊系統若允許 Timestamp 封包,可被用來進行「時間偏移攻擊」。
-
雖然較罕見,但針對特定工控環境或 legacy 系統,會利用這些 timestamp 封包去誤導系統時序處理。
4. 資安檢核的低掛果實 (Low Hanging Fruit)
-
多數資安標準 (如 CIS Benchmarks、DISA STIG) 都建議關閉 ICMP Timestamp。
-
攻擊者看到 ICMP Timestamp 還能回應的環境,往往會認為資安防護薄弱。
常見的資安規範建議:
-
CIS Benchmark (Windows/Linux) → 建議封鎖 ICMP Type 13/14。
-
DISA STIG (美國國防部安全技術實作指南) → 要求關閉 Timestamp 回應。
-
台灣資安健診 (弱點掃描) → 某些掃描工具會將此列為「資訊洩漏」項目。
-
攻擊工具 (如 Nmap、Hping3) → 會預設掃描 timestamp 來輔助 OS Fingerprinting。
實務建議:
-
企業環境:除非有特定需求 (如診斷/測試用途),一律建議封鎖 ICMP Type 13/14。
-
若要保留 ICMP Ping 功能 (Echo Type 8/0) → 仍可只封鎖 Type 13/14,不影響一般 ping 連線診斷。
使用方式:
-
右鍵 → 以系統管理員身份執行。
-
封鎖/解封後可用
ping -n 1 -w 1 -4 <target>測試是否還會有 timestamp 回應(可用 Wireshark 檢查封包Type)。
沒有留言:
張貼留言