Protegir el teu ordinador contra ping

Sobre la comanda ping

Mitjançant el protocol ICMP, és a dir, el tan popular comandament fer ping podem saber si determinat ordinador està viu a la xarxa, si tenim rutes, camí cap a ell sense problemes.

Fins aquí sembla beneficiós i ho és, però com moltes bones eines o aplicacions, pot ser usat amb fins perjudicials, per exemple un DDoS amb ping, la qual cosa es pot traduir en 100.000 peticions amb ping per minut o per segon, la qual cosa podria col·lapsar l'ordinador final o la nostra xarxa.

Sigui com sigui, en determinades ocasions nosaltres desitgem que el nostre ordinador no respongui a les sol·licituds de ping per part d'altres a la xarxa, és a dir, que aparent no estar connectat, per a això hem desactivar la resposta de l'protocol ICMP en el nostre sistema.

Com verificar si tenim habilitat l'opció de resposta a l'ping

Existeix en el nostre sistema un arxiu que ens permet definir de forma extremadament simple, si tenim habilitat la resposta a l'ping o no, és: / proc / sys / net / ipv4 / icmp_echo_ignore_all

Si aquest fitxer conté un 0 (zero), llavors tot aquell que ens faci un ping obtindrà una resposta sempre que el nostre ordinador estigui en línia, però, si li posem un 1 (un) llavors no importa si la nostra PC està connectada o no, aparentarà no estar-ho.

O sigui, amb la següent comanda editarem aquest arxiu:

sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all

canviem el 0 per un 1 i pressionem [Ctrl] + [O] per guardar, i després [Ctrl] + [X] per sortir.

A punt, i al nostre ordinador NO respon als ping d'altres.

Alternatives per a protegir-nos d'atacs de ping

Una altra alternativa és evidentment usant un tallafocs, mitjançant iptables es pot fer també sense molts embolics:

sudo iptables -A INPUT -p icmp -j DROP

Després recordin, les regles d'iptables es netegen quan es reinicia l'ordinador, hem mitjançant algun mètode guardar els canvis, bé mitjançant iptables-save i iptables-restore, com fent nosaltres mateixos un script.

I això ha estat tot 🙂


El contingut d'l'article s'adhereix als nostres principis de ètica editorial. Per notificar un error punxa http://secbcaixabank.info/SECB-COVIDXNUMX-DENUNCIA-INSPECCION-PROTOCOLO-.pdf.

17 comentaris, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   neysonv va dir

    exelente aportació. digues-me, serviria per evitar peticions d'desconeccion ??? com quan volen crackearnos la xarxa usant aircrack-ng. dic perquè si aparentment estem desconnectats tampoc ens podran enviar aquestes peticions. gràcies per l'aportació

    1.    PopArch va dir

      No funciona d'aquesta manera, això sol bloc els icmp echo response, així si algú vol provar la connexió amb un icmp echo request teu ordinador farà icmp fet ignori i per tant la persona que està intentant provar connexió va a obtenir una resposta tipus «host seems to be down or blocking ping probes», però si algú aquesta monitoritzant la xarxa amb airodump o alguna eina similar va poder veure que aquestes connectat per que aquestes eines el que fan és que analitzen els paquets que s'envien a l' AP o que es reben de l'AP

  2.   FrankSanabria va dir

    Cal anotar, que només és temporal, després de reiniciar el teu pc tornarà a rebre pings, per deixar-ho permanent, pel que fa a la primera truc configura l'arxiu /etc/sysctl.conf i a la fi afegir net.ipv4.icmp_echo_ignore_all = 1 i pel que fa a el segon tip és similar però més «Llarg» (Guarda Conf de Iptables, fer un script d'interfície up que s'executi a l'iniciar el sistema, i aquestes coses)

  3.   mmm va dir

    Hola. Pot ser que estigui una mica malament ?? o què podria ser? perquè en ubuntu no existeix tal fitxer ......

  4.   Franz va dir

    Va estar impecable com sempre.
    Una petita observació, a l'hora de tancar nano no és mes ràpid Ctrl + X i després sortir amb I o S
    respectes

  5.   Yukiteru va dir

    Excel·lent tip, @KZKG, jo faig ús de la mateixa tip entre molts altres per tal de millorar la seguretat del meu PC i dels dos servidors amb els quals treball, però per evitar-me la regla iptables, faig ús de sysctl i de la seva carpeta de configuració /etc/sysctl.d/ amb un arxiu a què adjunt les comandes necessàries perquè amb cada reinici es carreguin i el meu sistema Bootee amb tots els valors ja modificats.

    En el cas d'utilitzar aquest mètode només creuen un arxiu XX-local.conf (XX pot ser un nombre de l'1 a l'99, jo el tinc a 50) i escriguin:

    net.ipv4.icmp_echo_ignore_all = 1

    Ja amb això tenen el mateix resultat.

    1.    jsan92 va dir

      Solució bastant simple, gràcies
      Quins altres comandaments tens en aquest arxiu?

      1.    Yukiteru va dir

        Qualsevol comandament que tingui a veure amb variables de sysctl i pugui ser manipulat per mitjà de sysctl pot ser utilitzat d'aquesta manera.

      2.    FrankSanabria va dir

        Per veure els diferents valors que pots ingressar a l'sysctl escriu en el teu terminal sysctl -a

  6.   Solrak Rainbowarrior va dir

    En openSUSE no he pogut editar-lo.

  7.   David va dir

    Bones.
    Una altra manera mes rapida seriosa utilitzant sysctl

    #sysctl -w net.ipv4.icmp_echo_ignore_all = 1

  8.   cpollane va dir

    Com es va dir, en IPTABLES també es pot rebutjar una petició de ping per a tot mitjançant:
    iptables -A INPUT -p icmp -j DROP
    Ara, si volem rebutjar qualsevol petició almenys una en específic podem fer-ho de la següent manera:
    Declarem variables:
    IFEXT = 192.168.16.1 #mi IP
    IPAUTORITZADA = 192.168.16.5
    iptables -A INPUT -i $ IFEXT -s $ IPAUTORIZADA -p icmp -m icmp -icmp-type echo-request -m length -length 28: 1322 -m limit -limit 2 / sec -limit-burst 4 -j ACCEPT

    D'aquesta manera autoritzem només a aquesta IP al fet que de ping a la nostra PC (però amb límits).
    Espero els sigui útil.
    Salu2

  9.   amantedelinux ... nolook.com va dir

    vagi, les diferències entre usuaris, mentre que els windowseros parlem de com jugar halo o the evil within els de Linux avorreixen a el món amb coses com aquesta.

    1.    KZKG ^ Gaara va dir

      I és per això que els windowseros després només saben jugar, mentre que els linuxeros són els que realment saben administració avançada de US, xarxes, etc.
      Gràcies per regalar-nos la teva visita 😀

  10.   userarch va dir

    Coordiales Salutacions
    El tema d'es molt útil i ajuda en alguna mesura.
    Gràcies.

  11.   Gonzalo va dir

    quan s'assabentin els de windows d'això ja debò es tornen bojos

  12.   lolo va dir

    en iptables que cal posar la ip al imput i en el DROP alguna cosa mes?