1678375610,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区LianXC LianXC 二段 粉丝：0人 关注：0人

问题描述：

客户tracert流量经我司设备没有回显，指导客户打开回显，默认回显功能是关闭的，我想咨询，设备长期开回显，有何风险，谢谢

ip ttl-expires enable

ip unreachables enable

ip ttl-expires enable命令用来开启设备的ICMP超时报文的发送功能。undo ip ttl-expires命令用来关闭设备的ICMP超时报文的发送功能。 缺省情况下，ICMP超时报文发送功能处于关闭状态。

ip unreachables enable命令用来开启设备的ICMP目的不可达报文的发送功能。undo ip unreachables命令用来关闭设备的ICMP目的不可达报文的发送功能。 缺省情况下，ICMP目的不可达报文发送功能处于关闭状态。

组网及组网描述：

6小时前提问

没风险

6小时前回答 (7)

毫无风险，为何厂商把这个功能默认关闭掉？查华为防火墙资料，要开回显，要配置ICMP超时报文功能 ip ttl-expires enable 关闭Tracert报文攻击防范功能 undo firewall defend tracert enable ，如果按华为的思路，是不是可以这么理解，存在一种tracert攻击方法。

LianXC

https://blog.csdn.net/tladagio/article/details/103735127

LianXC

https://support.huawei.com/entERPrise/zh/knowledge/EKB1000506369

LianXC

Tracert报文攻击：攻击者利用TTL为0时返回的ICMP超时报文，和到达目的地址时返回的ICMP端口不可达报文来发现报文到达目的地所经过的路径，它可以窥探网络的结构。 https://www.sohu.com/a/576891329_445400

LianXC

Tracert报文攻击：探测网络结构 利用TTL为0时返回的ICMP超时报文和到达目的地址时返回的ICMP端口不可达报文来发现报文到达目的地所经过的路径，探测网络结构 防范手段：对于检测到的超时的ICMP报文或UDP报 文，或者目的端口不可达的报文，给予丢弃处理 注意事项：华为防火墙默认不会对超时报文做回复，ip ttl-expires enable 开启回复 ———————————————— 版权声明：本文为CSDN博主「静下心来敲木鱼」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。 原文链接：https://blog.csdn.net/m0_49864110/article/details/127822864

LianXC

我觉得回复“没风险”三个字，轻描淡写，太过草率了

LianXC

既然需要这个功能，开开就行，不会对业务造成影响，可以探测网络节点路径

Tracert报文攻击：探测网络结构

利用TTL为0时返回的ICMP超时报文和到达目的地址时返回的ICMP端口不可达报文来发现报文到达目的地所经过的路径，探测网络结构

防范手段：对于检测到的超时的ICMP报文或UDP报 文，或者目的端口不可达的报文，给予丢弃处理

注意事项：华为防火墙默认不会对超时报文做回复，ip ttl-expires enable 开启回复
————————————————
版权声明：本文为CSDN博主「静下心来敲木鱼」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/m0_49864110/article/details/127822864

6小时前回答

1、风险是相对的

2、如果说存在的风险，那就是攻击者会利用ttl回显，探测网络完整路径

5小时前回答

你正在,H3C设备开ip ttl-expires / unreachables enable会引入什么风险