O naredbi ping
Kroz ICMP protokol, odnosno popularnu naredbu ping možemo znati je li određeni računar živ na mreži, ako imamo rute, dolazim do njega bez problema.
Do sada se čini korisnim, ali se, međutim, kao i mnogi dobri alati ili aplikacije, može koristiti u štetne svrhe, na primjer DDoS s pingom, što može prevesti u 100.000 XNUMX zahtjeva s pingom u minuti ili u sekundi, što bi moglo srušiti kraj računara ili naše mreže.
Bilo kako bilo, u određenim prilikama želimo da naše računalo ne reagira na ping zahtjeve drugih na mreži, odnosno čini se da nije povezano, jer za to moramo onemogućiti odgovor ICMP protokola u našem sistemu.
Kako provjeriti jesmo li omogućili opciju ping odgovora
U našem sustavu postoji datoteka koja nam omogućuje definiranje na krajnje jednostavan način, ako smo omogućili ping odgovor ili ne, to je: / proc / sys / net / ipv4 / icmp_echo_ignore_all
Ako ta datoteka sadrži 0 (nula), tada će svi koji nas pingaju dobiti odgovor kad god je naše računalo na mreži, međutim, ako stavimo 1 (jedan), onda nije važno je li naš računar povezan ili nije, izgleda da nije.
Drugim riječima, sljedećom naredbom ćemo urediti tu datoteku:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
Mi mijenjamo 0 za a 1 i pritisnemo [Ctrl] + [O] za spremanje, a zatim [Ctrl] + [X] za izlaz.
Spremno, naš računar NE reaguje na ping drugih.
Alternative da se zaštitimo od ping napada
Druga alternativa je očigledno korišćenje zaštitnog zida, korišćenje iptables to se može učiniti i bez puno muke:
sudo iptables -A INPUT -p icmp -j DROP
Zatim upamtite, iptables pravila se čiste kada se računar ponovo pokrene, moramo nekim metodom spremiti promjene, bilo putem iptables-save i iptables-restore, bilo tako što ćemo sami napraviti skriptu.
I to je bilo to 🙂
odličan doprinos. Recite mi, da li bi to služilo za izbjegavanje zahtjeva za isključenje ??? kao kad žele provaliti mrežu koristeći aircrack-ng. Kažem, jer ako smo očigledno isključeni, neće nam moći poslati takve zahtjeve. Hvala na unosu
To ne funkcionira na taj način, ovo samo blokira icmp echo odgovor, pa ako neko želi testirati vezu sa icmp echo zahtjevom, vaše računalo će icmp echo ignorirati i stoga će osoba koja pokušava testirati vezu dobiti Tip odgovora "čini se da domaćin nije u funkciji ili blokira ping sonde", ali ako netko nadzire mrežu airodumpom ili nekim sličnim alatom, moći će vidjeti da ste povezani jer ti alati analiziraju pakete koji se šalju na AP ili primljen od AP
Treba imati na umu da je samo privremen, nakon ponovnog pokretanja računala dobit će ponovo pingove, kako bi ga učinio trajnim, s obzirom na prvi trik konfiguriranja datoteke /etc/sysctl.conf i na kraju dodajte net.ipv4. icmp_echo_ignore_all = 1 i s poštovanjem Drugi savjet je sličan, ali duži "(Spremi Iptables Conf, napravi skriptu sučelja koja se izvršava kad se sistem pokrene i ostalo)
Zdravo. Može li nešto biti loše? ili šta bi to moglo biti? jer u ubuntu nema takve datoteke ......
Bilo je besprijekorno kao i uvijek.
Malo zapažanje, prilikom zatvaranja nano-a nije brže Ctrl + X, a zatim izađite sa Y ili S
Poštovanje
Odličan savjet, @KZKG, isti isti koristim među mnogim drugima kako bih poboljšao sigurnost svog računara i dva servera s kojima radim, ali da bih izbjegao pravilo iptables, koristim sysctl i njegovu konfiguraciju direktorija / etc / sysctl. d / s datotekom kojoj pridružim potrebne naredbe tako da se sa svakim ponovnim pokretanjem učitaju i moj sistem pokrene sa svim vrijednostima koje su već izmijenjene.
U slučaju korištenja ove metode, samo kreirajte datoteku XX-local.conf (XX može biti broj od 1 do 99, imam je u 50) i napišite:
net.ipv4.icmp_echo_ignore_all = 1
Uz to, oni već imaju isti rezultat.
Prilično jednostavno rješenje, hvala
Koje još naredbe imate u toj datoteci?
Svaka naredba koja ima veze sa sysctl varijablama i kojom se može manipulirati putem sysctl-a može se koristiti na ovaj način.
Da biste vidjeli različite vrijednosti koje možete unijeti u tip sysctl u vašem terminalu sysctl -a
U openSUSE nisam uspio to urediti.
Dobro.
Još jedan brži način bio bi korištenje sysctl-a
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
Kao što je rečeno, u IPTABLES možete takođe odbiti zahtjev za ping za sve tako što ćete:
iptables -A ULAZ -p icmp -j DROP
Ako želimo odbiti bilo koji zahtjev osim određenog, to možemo učiniti na sljedeći način:
Deklarišemo varijable:
IFEXT = 192.168.16.1 # moj IP
OVLAŠTENI IP = 192.168.16.5
iptables -A ULAZ -i $ IFEXT -i $ OVLAŠTENI IP -p icmp -m icmp –icmp-type echo-request -m length -length 28: 1322 -m limit -limit 2 / sec -limit-burst 4 -j ACCEPT
Na ovaj način ovlašćujemo samo tu IP adresu da pinguje naš PC (ali s ograničenjima).
Nadam se da je korisno za vas.
Salu2
Wow, razlike među korisnicima, dok mi Windows korisnici govorimo o tome kako igrati halo ili zlo u Linuxu dosadi svijetu ovakvim stvarima.
I zato Windowseros tada zna samo igrati, dok su Linuxeros ti koji zaista poznaju naprednu administraciju OS-a, mreža itd.
Hvala vam što ste nas posjetili 😀
Coordiales Greetings
Tema je vrlo korisna i pomalo pomaže.
Hvala.
kad prozori saznaju za ovo, vidjet ćete da su poludjeli
u iptables da morate staviti ip u IMPUT i nešto drugo u DROP?