二、 IP 协议部分

　　IP协议是TCP/IP中最重要的协议之一，提供无连接的数据包传输机制，其主要功能有：寻址、路由选择、分段和组装。

　　1.禁用IP源路由

　　IP协议允许一台主机指定数据包通过你的网络的路由，而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是，这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像，或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障，否则应该关闭这个功能。

　　AIX5

　　#no -o ipsrcroutesend=0

　　#no -o ipsrcrouteforward=0

　　FreeBSD 5-7

　　#sysctl -w net.inet.ip.sourceroute=0

　　#sysctl -w net.inet.ip.accept_sourceroute=0

　　HP-UX 10

　　#ndd -set /dev/ip ip_src_route_forward 0

　　Linux2.4-2.6 #sysctl -w net.ipv4.conf.all.accept_source_route=0

　　#sysctl -w net.ipv4.conf.all.forwarding=0

　　#sysctl -w net.ipv4.conf.all.mc_forwarding=0

　　OpenBSD3-4 已经是缺省设置

　　Solaris8-10

　　#ndd -set /dev/ip ip_forward_src_routed 0

　　#ndd -set /dev/ip ip6_forward_src_routed 0

　　2.健全强制检查，也被称为入口过滤或出口过滤

　　Linux2.4-2.6

　　#sysctl -w net.ipv4.conf.all.rp_filter=1

　　3.记录日志和丢弃 "Martian"数据包

　　Linux2.4-2.6

　　#sysctl -w net.ipv4.conf.all.log_martians=1