حول الأمر ping
من خلال بروتوكول ICMP ، أي الأمر الشائع بينغ يمكننا معرفة ما إذا كان جهاز كمبيوتر معين حيًا على الشبكة ، وإذا كانت لدينا طرق ، فأنا أمشي إليه دون مشاكل.
حتى الآن يبدو الأمر مفيدًا ، ومع ذلك ، مثل العديد من الأدوات أو التطبيقات الجيدة ، يمكن استخدامه لأغراض ضارة ، على سبيل المثال DDoS مع ping ، والذي يمكن أن يترجم إلى 100.000 طلب مع ping في الدقيقة أو في الثانية ، مما قد يؤدي إلى تعطل الكمبيوتر النهائي أو شبكتنا.
مهما كان الأمر ، في مناسبات معينة ، نريد أن لا يستجيب جهاز الكمبيوتر الخاص بنا لطلبات ping من الآخرين على الشبكة ، أي أن يبدو أنه غير متصل ، لذلك يجب علينا تعطيل استجابة بروتوكول ICMP في نظامنا.
كيفية التحقق مما إذا قمنا بتمكين خيار استجابة ping
يوجد ملف في نظامنا يسمح لنا بتعريفه بطريقة بسيطة للغاية ، إذا تم تمكين استجابة ping أم لا ، فهو: / proc / sys / net / ipv4 / icmp_echo_ignore_all
إذا كان هذا الملف يحتوي على 0 (صفر) ، فسيحصل أي شخص يرسل اتصالاً إلينا على رد عندما يكون جهاز الكمبيوتر الخاص بنا متصلاً بالإنترنت ، ومع ذلك ، إذا وضعنا 1 (واحد) ، فلا يهم ما إذا كان جهاز الكمبيوتر الخاص بنا متصلاً أم لا ، يبدو أنه ليس كذلك.
بمعنى آخر ، باستخدام الأمر التالي ، سنقوم بتحرير هذا الملف:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
نقوم بتغيير 0 ل 1 ونضغط على [Ctrl] + [O] للحفظ ، ثم على [Ctrl] + [X] للخروج.
جاهز ، جهاز الكمبيوتر الخاص بنا لا يستجيب لاختبار اتصال الآخرين.
بدائل لحماية أنفسنا من هجمات ping
بديل آخر هو استخدام جدار الحماية ، باستخدام يبتابليس يمكن أيضًا أن يتم ذلك دون الكثير من المتاعب:
sudo iptables -A INPUT -p icmp -j DROP
ثم تذكر ، يتم تنظيف قواعد iptables عند إعادة تشغيل الكمبيوتر ، يجب علينا بطريقة ما حفظ التغييرات ، إما من خلال iptables-save و iptables-Restore أو عن طريق عمل نص برمجي بأنفسنا.
وكان هذا هو 🙂
مساهمة ممتازة. قل لي ، هل يعمل على تجنب طلبات قطع الاتصال ؟؟؟ مثل عندما يريدون كسر الشبكة باستخدام aircrack-ng. أقول لأنه إذا تم فصلنا على ما يبدو ، فلن يتمكنوا من إرسال مثل هذه الطلبات إلينا. شكرا على الادخال
إنه لا يعمل بهذه الطريقة ، فهذا يمنع فقط استجابة صدى icmp ، لذلك إذا أراد شخص ما اختبار الاتصال مع طلب echo icmp ، فسيقوم جهاز الكمبيوتر الخاص بك بتجاهل echo echo وبالتالي سيحصل الشخص الذي يحاول اختبار الاتصال على نوع الاستجابة "يبدو أن المضيف معطل أو يحظر تحقيقات ping" ، ولكن إذا كان شخص ما يراقب الشبكة باستخدام airodump أو بعض الأدوات المماثلة ، فسيكون قادرًا على رؤية أنك متصل لأن هذه الأدوات تحلل الحزم التي تم إرسالها إلى AP أو وردت من AP
وتجدر الإشارة إلى أنه مؤقت فقط ، بعد إعادة تشغيل جهاز الكمبيوتر الخاص بك ، سيتلقى الأمر pings مرة أخرى ، لجعله دائمًا ، فيما يتعلق بالخدعة الأولى ، قم بتكوين ملف /etc/sysctl.conf وفي النهاية أضف net.ipv4. icmp_echo_ignore_all = 1 وفيما يتعلق بالنصيحة الثانية متشابهة ولكنها أطول "(احفظ Iptables Conf ، أنشئ برنامج نصي للواجهة يتم تنفيذه عند بدء تشغيل النظام ، والأشياء)
مرحبا. هل يمكن أن يكون هناك خطأ ما؟ أو ما يمكن أن يكون؟ لأنه في أوبونتو لا يوجد مثل هذا الملف ......
كان لا تشوبه شائبة كما هو الحال دائما.
ملاحظة صغيرة ، عند إغلاق nano ليس أسرع Ctrl + X ثم الخروج بـ Y أو S.
يحترم
نصيحة ممتازة ،KZKG ، أستخدم نفس النصيحة من بين العديد من الآخرين لتحسين أمان جهاز الكمبيوتر الخاص بي والخادمين اللذين أعمل معهم ، ولكن لتجنب قاعدة iptables ، أستخدم sysctl ومجلد التكوين / etc / sysctl .d / بملف أرفق به الأوامر اللازمة بحيث يتم تحميلها مع كل إعادة تشغيل ويتم تشغيل نظامي بكل القيم التي تم تعديلها بالفعل.
في حالة استخدام هذه الطريقة ، ما عليك سوى إنشاء ملف XX-local.conf (يمكن أن يكون XX رقمًا من 1 إلى 99 ، أمتلكه في 50) واكتب:
net.ipv4.icmp_echo_ignore_all = 1
مع ذلك لديهم بالفعل نفس النتيجة.
حل بسيط جدا ، شكرا
ما هي الأوامر الأخرى التي لديك في هذا الملف؟
يمكن استخدام أي أمر له علاقة بمتغيرات sysctl ويمكن معالجته من خلال sysctl بهذه الطريقة.
لمعرفة القيم المختلفة التي يمكنك إدخالها في نوع sysctl في الجهاز الطرفي sysctl -a
في openSUSE لم أتمكن من تحريره.
جيدة.
هناك طريقة أخرى أسرع وهي استخدام sysctl
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
كما قيل ، في IPTABLES يمكنك أيضًا رفض طلب ping لكل شيء عن طريق:
iptables -A المدخلات -p icmp -j DROP
الآن ، إذا أردنا رفض أي طلب باستثناء طلب معين ، فيمكننا القيام بذلك بالطريقة التالية:
نعلن المتغيرات:
IFEXT = 192.168.16.1 # my IP
عنوان IP المعتمد = 192.168.16.5
iptables -A INPUT -i $ IFEXT -s $ IP المصرح به -p icmp -m icmp –icmp-type echo-request-m length-length 28: 1322 -m limit -limit 2 / sec -limit-burst 4 -j ACCEPT
وبهذه الطريقة ، نسمح فقط لعنوان IP هذا باختبار اتصال جهاز الكمبيوتر الخاص بنا (ولكن مع وجود قيود).
آمل أن تكون مفيدة لك.
Salu2
واو ، الاختلافات بين المستخدمين ، بينما يتحدث windowseros عن كيفية لعب الهالة أو الشر داخل Linux الذي يملأ العالم بأشياء مثل هذه.
وهذا هو السبب في أن Windowseros لا يعرف سوى كيفية اللعب ، في حين أن Linuxeros هم الذين يعرفون حقًا الإدارة المتقدمة لنظام التشغيل والشبكات وما إلى ذلك.
شكرا لك على زيارتك لنا 😀
تحيات منسقية
موضوع مفيد جدا ويساعد إلى حد ما.
غراسياس.
عندما تكتشف النوافذ ذلك ، سترى أنها تصاب بالجنون
في iptables ، يجب عليك وضع IP في IMPUT وشيء آخر في DROP؟