Относно командата ping
Чрез протокола ICMP, тоест популярната команда пинг Можем да знаем дали определен компютър е жив в мрежата, ако имаме маршрути, вървя до него без проблеми.
Засега изглежда полезно и въпреки това, както много добри инструменти или приложения, той може да се използва с вредни цели, например DDoS с ping, който може да се превърне в 100.000 XNUMX заявки с ping в минута или в секунда, което би могло срива крайния компютър или нашата мрежа.
Както и да е, в определени случаи искаме компютърът ни да не реагира на заявки за пинг от други в мрежата, тоест да изглежда, че не е свързан, за това трябва да деактивираме отговора на протокола ICMP в нашата система.
Как да проверим дали сме активирали опцията за пинг отговор
В нашата система има файл, който ни позволява да дефинираме по изключително лесен начин, ако имаме активиран или не пинг отговор, той е: / proc / sys / net / ipv4 / icmp_echo_ignore_all
Ако този файл съдържа 0 (нула), тогава всеки, който ни изпише, ще получи отговор, когато компютърът ни е онлайн, но ако поставим 1 (един), няма значение дали компютърът ни е свързан или не, ще изглежда, че не е.
С други думи, със следната команда ще редактираме този файл:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
Променяме 0 за 1 и натискаме [Ctrl] + [O], за да запазим, и след това [Ctrl] + [X] за изход.
Готови, нашият компютър НЕ реагира на пинга на другите.
Алтернативи за защита от пинг атаки
Друга алтернатива очевидно е използването на защитна стена, като се използва IPTABLES може да се направи и без много караница:
sudo iptables -A INPUT -p icmp -j DROP
След това не забравяйте, че правилата на iptables се почистват, когато компютърът се рестартира, трябва по някакъв метод да запазим промените, или чрез iptables-save и iptables-restore, или като направим сами скрипт.
И това беше това 🙂
отличен принос. Кажете ми, би ли послужило за избягване на искания за изключване ??? като когато искат да пробият мрежата с помощта на aircrack-ng. Казвам, защото ако очевидно сме прекъснати, те няма да могат да ни изпращат такива искания. Благодаря за приноса
Това не работи по този начин, това само блокира реакцията на icmp echo, така че ако някой иска да тества връзката със заявка на icmp echo, компютърът ви ще игнорира icmp echo и следователно човекът, който се опитва да тества връзката, ще получи Тип отговор „хостът изглежда е блокиран или блокира пинг сонди“, но ако някой наблюдава мрежата с airodump или друг подобен инструмент, той ще може да види, че сте свързани, тъй като тези инструменти анализират пакетите, изпратени до AP или получено от AP
Трябва да се отбележи, че той е само временен, след рестартиране на вашия компютър той отново ще получи пинг, за да го остави постоянен, по отношение на първия трик конфигурирайте файла /etc/sysctl.conf и в края добавете net.ipv4.icmp_echo_ignore_all = 1 и с уважение Вторият съвет е подобен, но по-дълъг "(Save Iptables Conf, създайте интерфейсен скрипт, който се изпълнява при стартиране на системата и други неща)
Здравей Може ли нещо да не е наред? или какво може да бъде? защото в ubuntu няма такъв файл ......
Беше безупречно, както винаги.
Малко наблюдение, при затваряне на nano не е по-бързо Ctrl + X и след това излезте с Y или S
Респекти
Отличен съвет, @KZKG, използвам същия съвет сред много други, за да подобря сигурността на моя компютър и двата сървъра, с които работя, но за да избегна правилото iptables, използвам sysctl и неговата папка конфигурация /etc/sysctl.d/ с файл, към който прикачвам необходимите команди, така че при всяко рестартиране те да се зареждат и системата ми да се стартира с всички вече модифицирани стойности.
В случай на използване на този метод, просто създайте файл XX-local.conf (XX може да бъде число от 1 до 99, имам го в 50) и напишете:
net.ipv4.icmp_echo_ignore_all = 1
С това те вече имат същия резултат.
Доста просто решение, благодаря
Какви други команди имате в този файл?
По този начин може да се използва всяка команда, която е свързана с sysctl променливи и може да бъде манипулирана чрез sysctl.
За да видите различните стойности, които можете да въведете за типа sysctl във вашия терминал sysctl -a
В openSUSE не успях да го редактирам.
Добър.
Друг по-бърз начин би бил използването на sysctl
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
Както казахме, в IPTABLES можете също да отхвърлите заявка за ping за всичко, като:
iptables -A ВХОД -p icmp -j ИЗПУСКАНЕ
Сега, ако искаме да отхвърлим която и да е заявка с изключение на конкретна, можем да го направим по следния начин:
Декларираме променливи:
IFEXT = 192.168.16.1 # мой IP
РАЗРЕШЕНО IP = 192.168.16.5
iptables -A INPUT -i $ IFEXT -s $ AUTHORIZED IP -p icmp -m icmp –icmp-type echo-request -m length -length 28: 1322 -m limit -limit 2 / sec -limit-burst 4 -j ACCEPT
По този начин ние разрешаваме само този IP да пинг на нашия компютър (но с ограничения).
Надявам се да ви е полезно.
Salu2
Уау, разликите между потребителите, докато Windowseros говорят за това как да играете ореол или злото в Linux, отегчавайки света с неща като това.
И затова Windowseros тогава знаят само как да играят, докато Linuxeros са тези, които наистина познават напредналото администриране на OS, мрежи и т.н.
Благодарим Ви, че ни посетихте 😀
Coordiales Поздрави
Темата на е много полезна и помага до известна степен.
Благодаря.
когато прозорците разберат за това, ще видите, че полудяват
в iptables, че трябва да поставите ip в IMPUT и нещо друго в DROP?