Zaštitite svoj računar od pinga

O naredbi ping

Kroz ICMP protokol, odnosno popularnu naredbu ping možemo znati je li određeni računar živ na mreži, ako imamo rute, dolazim do njega bez problema.

Do sada se čini korisnim, ali se, međutim, kao i mnogi dobri alati ili aplikacije, može koristiti u štetne svrhe, na primjer DDoS s pingom, što može prevesti u 100.000 XNUMX zahtjeva s pingom u minuti ili u sekundi, što bi moglo srušiti kraj računara ili naše mreže.

Bilo kako bilo, u određenim prilikama želimo da naše računalo ne reagira na ping zahtjeve drugih na mreži, odnosno čini se da nije povezano, jer za to moramo onemogućiti odgovor ICMP protokola u našem sistemu.

Kako provjeriti jesmo li omogućili opciju ping odgovora

U našem sustavu postoji datoteka koja nam omogućuje definiranje na krajnje jednostavan način, ako smo omogućili ping odgovor ili ne, to je: / proc / sys / net / ipv4 / icmp_echo_ignore_all

Ako ta datoteka sadrži 0 (nula), tada će svi koji nas pingaju dobiti odgovor kad god je naše računalo na mreži, međutim, ako stavimo 1 (jedan), onda nije važno je li naš računar povezan ili nije, izgleda da nije.

Drugim riječima, sljedećom naredbom ćemo urediti tu datoteku:

sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all

Mi mijenjamo 0 za a 1 i pritisnemo [Ctrl] + [O] za spremanje, a zatim [Ctrl] + [X] za izlaz.

Spremno, naš računar NE reaguje na ping drugih.

Alternative da se zaštitimo od ping napada

Druga alternativa je očigledno korišćenje zaštitnog zida, korišćenje iptables to se može učiniti i bez puno muke:

sudo iptables -A INPUT -p icmp -j DROP

Zatim upamtite, iptables pravila se čiste kada se računar ponovo pokrene, moramo nekim metodom spremiti promjene, bilo putem iptables-save i iptables-restore, bilo tako što ćemo sami napraviti skriptu.

I to je bilo to 🙂


17 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   neysonv rekao je

    odličan doprinos. Recite mi, da li bi to služilo za izbjegavanje zahtjeva za isključenje ??? kao kad žele provaliti mrežu koristeći aircrack-ng. Kažem, jer ako smo očigledno isključeni, neće nam moći poslati takve zahtjeve. Hvala na unosu

    1.    PopArch rekao je

      To ne funkcionira na taj način, ovo samo blokira icmp echo odgovor, pa ako neko želi testirati vezu sa icmp echo zahtjevom, vaše računalo će icmp echo ignorirati i stoga će osoba koja pokušava testirati vezu dobiti Tip odgovora "čini se da domaćin nije u funkciji ili blokira ping sonde", ali ako netko nadzire mrežu airodumpom ili nekim sličnim alatom, moći će vidjeti da ste povezani jer ti alati analiziraju pakete koji se šalju na AP ili primljen od AP

  2.   Frank Sanabria rekao je

    Treba imati na umu da je samo privremen, nakon ponovnog pokretanja računala dobit će ponovo pingove, kako bi ga učinio trajnim, s obzirom na prvi trik konfiguriranja datoteke /etc/sysctl.conf i na kraju dodajte net.ipv4. icmp_echo_ignore_all = 1 i s poštovanjem Drugi savjet je sličan, ali duži "(Spremi Iptables Conf, napravi skriptu sučelja koja se izvršava kad se sistem pokrene i ostalo)

  3.   mmm rekao je

    Zdravo. Može li nešto biti loše? ili šta bi to moglo biti? jer u ubuntu nema takve datoteke ......

  4.   Franz rekao je

    Bilo je besprijekorno kao i uvijek.
    Malo zapažanje, prilikom zatvaranja nano-a nije brže Ctrl + X, a zatim izađite sa Y ili S
    Poštovanje

  5.   yukiteru rekao je

    Odličan savjet, @KZKG, isti isti koristim među mnogim drugima kako bih poboljšao sigurnost svog računara i dva servera s kojima radim, ali da bih izbjegao pravilo iptables, koristim sysctl i njegovu konfiguraciju direktorija / etc / sysctl. d / s datotekom kojoj pridružim potrebne naredbe tako da se sa svakim ponovnim pokretanjem učitaju i moj sistem pokrene sa svim vrijednostima koje su već izmijenjene.

    U slučaju korištenja ove metode, samo kreirajte datoteku XX-local.conf (XX može biti broj od 1 do 99, imam je u 50) i napišite:

    net.ipv4.icmp_echo_ignore_all = 1

    Uz to, oni već imaju isti rezultat.

    1.    jsan92 rekao je

      Prilično jednostavno rješenje, hvala
      Koje još naredbe imate u toj datoteci?

      1.    yukiteru rekao je

        Svaka naredba koja ima veze sa sysctl varijablama i kojom se može manipulirati putem sysctl-a može se koristiti na ovaj način.

      2.    Frank Sanabria rekao je

        Da biste vidjeli različite vrijednosti koje možete unijeti u tip sysctl u vašem terminalu sysctl -a

  6.   Solrak Rainbow Warrior rekao je

    U openSUSE nisam uspio to urediti.

  7.   David rekao je

    Dobro.
    Još jedan brži način bio bi korištenje sysctl-a

    #sysctl -w net.ipv4.icmp_echo_ignore_all = 1

  8.   cpollane rekao je

    Kao što je rečeno, u IPTABLES možete takođe odbiti zahtjev za ping za sve tako što ćete:
    iptables -A ULAZ -p icmp -j DROP
    Ako želimo odbiti bilo koji zahtjev osim određenog, to možemo učiniti na sljedeći način:
    Deklarišemo varijable:
    IFEXT = 192.168.16.1 # moj IP
    OVLAŠTENI IP = 192.168.16.5
    iptables -A ULAZ -i $ IFEXT -i $ OVLAŠTENI IP -p icmp -m icmp –icmp-type echo-request -m length -length 28: 1322 -m limit -limit 2 / sec -limit-burst 4 -j ACCEPT

    Na ovaj način ovlašćujemo samo tu IP adresu da pinguje naš PC (ali s ograničenjima).
    Nadam se da je korisno za vas.
    Salu2

  9.   loverdelinux ... nolook.com rekao je

    Wow, razlike među korisnicima, dok mi Windows korisnici govorimo o tome kako igrati halo ili zlo u Linuxu dosadi svijetu ovakvim stvarima.

    1.    KZKG ^ Gaara rekao je

      I zato Windowseros tada zna samo igrati, dok su Linuxeros ti koji zaista poznaju naprednu administraciju OS-a, mreža itd.
      Hvala vam što ste nas posjetili 😀

  10.   userarch rekao je

    Coordiales Greetings
    Tema je vrlo korisna i pomalo pomaže.
    Hvala.

  11.   Gonzalo rekao je

    kad prozori saznaju za ovo, vidjet ćete da su poludjeli

  12.   lolo rekao je

    u iptables da morate staviti ip u IMPUT i nešto drugo u DROP?