O příkazu ping
Prostřednictvím protokolu ICMP, tedy populárního příkazu ping Můžeme vědět, jestli je určitý počítač v síti naživu, pokud máme trasy, mohu k němu bez problémů chodit.
Zatím se to jeví jako prospěšné a je to, stejně jako mnoho dobrých nástrojů nebo aplikací, lze použít pro škodlivé účely, například DDoS s ping, který může překládat do 100.000 XNUMX požadavků s ping za minutu nebo za sekundu, což by mohlo způsobit koncový počítač nebo naše síť.
Ať už je to jakkoli, při určitých příležitostech chceme, aby náš počítač nereagoval na požadavky ping od ostatních v síti, to znamená, aby nebyl připojen, proto musíme v našem systému deaktivovat odpověď protokolu ICMP.
Jak ověřit, zda jsme povolili možnost odpovědi ping
V našem systému je soubor, který nám umožňuje definovat velmi jednoduchým způsobem, pokud jsme povolili odpověď ping nebo ne, je to: / proc / sys / net / ipv4 / icmp_echo_ignore_all
Pokud tento soubor obsahuje 0 (nula), pak každý, kdo nám provede ping, dostane odpověď, kdykoli je náš počítač online, ale pokud dáme 1 (jeden), pak nezáleží na tom, zda je náš počítač připojen nebo ne, bude Zdá se, že není.
Jinými slovy, následujícím příkazem tento soubor upravíme:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
Měníme 0 pro a 1 a stiskneme [Ctrl] + [O] pro uložení a poté [Ctrl] + [X] pro ukončení.
Připraveno, náš počítač NEREGISTRUJE na ping ostatních.
Alternativy k ochraně před útoky ping
Další alternativou je samozřejmě použití brány firewall, použití iptables lze to také udělat bez velkých potíží:
sudo iptables -A INPUT -p icmp -j DROP
Pak si pamatujte, že pravidla iptables jsou při restartu počítače vyčištěna, musíme nějakým způsobem uložit změny, buď pomocí iptables-save a iptables-restore, nebo vytvořením skriptu sami.
A bylo to 🙂
vynikající příspěvek. Řekněte mi, sloužilo by to k tomu, aby se zabránilo žádostem o odpojení ??? jako když chtějí prolomit síť pomocí aircrack-ng. Říkám, protože pokud budeme zjevně odpojeni, nebudou nám moci takové žádosti zasílat. Díky za vstup
Nefunguje to tak, pouze to blokuje odezvu icmp echo, takže pokud někdo chce otestovat spojení s požadavkem icmp echo, váš počítač bude ignorovat icmp echo, a proto osoba, která se pokouší otestovat připojení, dostane Typ odpovědi „host se zdá být nefunkční nebo blokuje pingové sondy“, ale pokud někdo sleduje síť pomocí airodump nebo podobného nástroje, uvidí, že jste připojeni, protože tyto nástroje analyzují pakety odesílané do AP nebo přijato od AP
Je třeba poznamenat, že je to jen dočasné, po restartování vašeho počítače bude znovu přijímat pingy, aby to bylo trvalé, s ohledem na první trik nakonfigurujte soubor /etc/sysctl.conf a na konci přidejte net.ipv4.icmp_echo_ignore_all = 1 as ohledem Druhý tip je podobný, ale delší "(Uložit Iptables Conf, vytvořit skript rozhraní, který se spustí při spuštění systému atd.)
Ahoj. Může být něco špatně? nebo co to může být? protože v ubuntu takový soubor neexistuje ......
Bylo to bezchybné jako vždy.
Malé pozorování, když zavírání nano není rychlejší Ctrl + X a poté opuštění pomocí Y nebo S.
Respektuje
Vynikající tip, @KZKG, používám stejný tip mezi mnoha dalšími, abych zlepšil zabezpečení svého počítače a dvou serverů, se kterými pracuji, ale abych se vyhnul pravidlu iptables, používám sysctl a jeho konfiguraci složek / etc / sysctl. d / se souborem, ke kterému připojuji potřebné příkazy, takže se při každém restartu načtou a můj systém se spustí se všemi již upravenými hodnotami.
V případě použití této metody stačí vytvořit soubor XX-local.conf (XX může být číslo od 1 do 99, mám to za 50) a napsat:
net.ipv4.icmp_echo_ignore_all = 1
Už s tím mají stejný výsledek.
Docela jednoduché řešení, díky
Jaké další příkazy v tomto souboru máte?
Tímto způsobem lze použít jakýkoli příkaz, který souvisí s proměnnými sysctl a lze s ním manipulovat prostřednictvím sysctl.
Chcete-li zobrazit různé hodnoty, které můžete zadat do typu sysctl v terminálu sysctl -a
V openSUSE jsem to nebyl schopen upravit.
Dobře.
Další rychlejší způsob by bylo použití sysctl
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
Jak již bylo řečeno, v IPTABLES můžete také odmítnout požadavek ping na všechno:
iptables -A VSTUP -p icmp -j DROP
Nyní, pokud chceme odmítnout jakýkoli požadavek kromě konkrétního, můžeme to udělat následujícím způsobem:
Deklarujeme proměnné:
IFEXT = 192.168.16.1 #my IP
POVOLENÁ IP = 192.168.16.5
iptables -A VSTUP -i $ IFEXT -s $ AUTORIZOVANÉ IP -p icmp -m icmp –icmp typ echo-požadavek -m délka –délka 28: 1322 -m limit –limit 2 / sec –limit-burst 4 -j ACCEPT
Tímto způsobem autorizujeme pouze tuto IP adresu k pingování našeho počítače (ale s omezeními).
Doufám, že je to pro vás užitečné.
Salu2
Páni, rozdíly mezi uživateli, zatímco Windowseros mluví o tom, jak hrát halo nebo zlo v Linuxu a nudit svět takovými věcmi.
A proto Windowseros pak umí jen hrát, zatímco Linuxeros jsou ti, kteří skutečně znají pokročilou správu OS, sítí atd.
Děkujeme, že jste nás navštívili 😀
Coordiales Zdravím
Téma je velmi užitečné a do jisté míry pomáhá.
Děkuju.
až se o tom Windows dozví, uvidíte, že se zbláznili
v iptables, že musíte dát ip do IMPUT a něco jiného do DROP?