Σχετικά με την εντολή ping
Μέσω του πρωτοκόλλου ICMP, δηλαδή της δημοφιλούς εντολής ping σε Μπορούμε να γνωρίζουμε εάν ένας συγκεκριμένος υπολογιστής είναι ζωντανός στο δίκτυο, εάν έχουμε διαδρομές, μπορώ να περπατήσω σε αυτόν χωρίς προβλήματα.
Μέχρι στιγμής φαίνεται επωφελές και, ωστόσο, όπως πολλά καλά εργαλεία ή εφαρμογές, μπορεί να χρησιμοποιηθεί για επιβλαβείς σκοπούς, για παράδειγμα ένα DDoS με ping, το οποίο μπορεί να μεταφραστεί σε 100.000 αιτήματα με ping ανά λεπτό ή ανά δευτερόλεπτο, το οποίο θα μπορούσε να καταστρέψει το τερματικό υπολογιστή ή το δίκτυό μας.
Ωστόσο, σε ορισμένες περιπτώσεις θέλουμε ο υπολογιστής μας να μην ανταποκρίνεται σε αιτήματα ping από άλλους στο δίκτυο, δηλαδή να μην είναι συνδεδεμένο, γι 'αυτό πρέπει να απενεργοποιήσουμε την απόκριση πρωτοκόλλου ICMP στο σύστημά μας.
Πώς να επαληθεύσετε εάν έχουμε ενεργοποιήσει την επιλογή απόκρισης ping
Υπάρχει ένα αρχείο στο σύστημά μας που μας επιτρέπει να ορίσουμε με έναν εξαιρετικά απλό τρόπο, εάν έχουμε ενεργοποιήσει την απόκριση ping ή όχι, είναι: / proc / sys / net / ipv4 / icmp_echo_ignore_all
Εάν αυτό το αρχείο περιέχει 0 (μηδέν), τότε οποιοσδήποτε μας κάνει ping θα λάβει απάντηση κάθε φορά που ο υπολογιστής μας είναι συνδεδεμένος, ωστόσο, αν βάλουμε 1 (ένα) τότε δεν έχει σημασία αν ο υπολογιστής μας είναι συνδεδεμένος ή όχι, θα φαίνεται να μην είναι.
Με άλλα λόγια, με την ακόλουθη εντολή θα επεξεργαστούμε αυτό το αρχείο:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
Αλλάζουμε το 0 για ένα 1 και πατάμε [Ctrl] + [O] για αποθήκευση και μετά [Ctrl] + [X] για έξοδο.
Έτοιμος, ο υπολογιστής μας ΔΕΝ αποκρίνεται στο ping των άλλων.
Εναλλακτικές λύσεις για να προστατευτούμε από επιθέσεις ping
Μια άλλη εναλλακτική λύση είναι προφανώς η χρήση τείχους προστασίας, η χρήση iptables μπορεί επίσης να γίνει χωρίς πολύ ταλαιπωρία:
sudo iptables -A INPUT -p icmp -j DROP
Στη συνέχεια, θυμηθείτε, ότι οι κανόνες iptables καθαρίζονται κατά την επανεκκίνηση του υπολογιστή, πρέπει με κάποια μέθοδο να αποθηκεύσουμε τις αλλαγές, είτε μέσω iptables-save και iptables-restore, είτε κάνοντας ένα σενάριο οι ίδιοι.
Και αυτό ήταν 🙂
εξαιρετική συμβολή. Πες μου, θα χρησιμεύσει για την αποφυγή αιτημάτων αποσύνδεσης ;;; όπως όταν θέλουν να σπάσουν το δίκτυο χρησιμοποιώντας aircrack-ng. Λέω γιατί αν προφανώς είμαστε αποσυνδεδεμένοι δεν θα μπορούν να μας στείλουν τέτοια αιτήματα. Ευχαριστώ για τη συμβολή
Δεν λειτουργεί έτσι, αυτό αποκλείει μόνο την απόκριση echo icmp, οπότε αν κάποιος θέλει να δοκιμάσει τη σύνδεση με αίτημα echo icmp, ο υπολογιστής σας θα αγνοήσει την echo icmp και επομένως το άτομο που προσπαθεί να δοκιμάσει τη σύνδεση θα λάβει Ο τύπος απόκρισης "ο κεντρικός υπολογιστής φαίνεται να είναι εκτός λειτουργίας ή να αποκλείει ανιχνευτές ping", αλλά εάν κάποιος παρακολουθεί το δίκτυο με airodump ή κάποιο παρόμοιο εργαλείο, θα μπορεί να δει ότι είστε συνδεδεμένοι επειδή αυτά τα εργαλεία αναλύουν τα πακέτα που αποστέλλονται στο AP ή λήφθηκε από AP
Πρέπει να σημειωθεί ότι είναι μόνο προσωρινό, μετά την επανεκκίνηση του υπολογιστή σας, θα λάβει ξανά pings, για να το κάνει μόνιμο, σε σχέση με το πρώτο τέχνασμα διαμόρφωσης του αρχείου /etc/sysctl.conf και στο τέλος προσθέστε net.ipv4.icmp_echo_ignore_all = 1 και με σεβασμό Η δεύτερη συμβουλή είναι παρόμοια αλλά μεγαλύτερη "(Save Iptables Conf, δημιουργήστε ένα σενάριο διεπαφής που εκτελείται κατά την εκκίνηση του συστήματος και πολλά άλλα)
Γεια. Θα μπορούσε κάτι να πάει στραβά; ή τι θα μπορούσε να είναι; γιατί στο ubuntu δεν υπάρχει τέτοιο αρχείο ......
Ήταν άψογο όπως πάντα.
Μια μικρή παρατήρηση, όταν κλείνετε το nano δεν είναι ταχύτερο Ctrl + X και μετά βγείτε με Y ή S
Σέβη
Εξαιρετική συμβουλή, @KZKG, χρησιμοποιώ την ίδια συμβουλή μεταξύ πολλών άλλων για να βελτιώσω την ασφάλεια του υπολογιστή μου και των δύο διακομιστών με τους οποίους συνεργάζομαι, αλλά για να αποφύγω τον κανόνα iptables, χρησιμοποιώ το sysctl και τη διαμόρφωση του φακέλου του / etc / sysctl. d / με ένα αρχείο στο οποίο επισυνάπτω τις απαραίτητες εντολές έτσι ώστε με κάθε επανεκκίνηση να φορτώνονται και το σύστημά μου ξεκινά με όλες τις τιμές που έχουν ήδη τροποποιηθεί.
Σε περίπτωση χρήσης αυτής της μεθόδου, απλώς δημιουργήστε ένα αρχείο XX-local.conf (το XX μπορεί να είναι ένας αριθμός από το 1 έως το 99, το έχω στο 50) και γράψτε:
net.ipv4.icmp_echo_ignore_all = 1
Ήδη με αυτό έχουν το ίδιο αποτέλεσμα.
Πολύ απλή λύση, ευχαριστώ
Ποιες άλλες εντολές έχετε σε αυτό το αρχείο;
Οποιαδήποτε εντολή που έχει σχέση με τις μεταβλητές sysctl και μπορεί να χειριστεί μέσω του sysctl μπορεί να χρησιμοποιηθεί με αυτόν τον τρόπο.
Για να δείτε τις διαφορετικές τιμές που μπορείτε να εισαγάγετε στον τύπο sysctl στο τερματικό σας sysctl -a
Στο openSUSE δεν μπόρεσα να το επεξεργαστώ.
Καλή.
Ένας άλλος γρηγορότερος τρόπος θα ήταν η χρήση του sysctl
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
Όπως είπαμε, στο IPTABLES μπορείτε επίσης να απορρίψετε ένα αίτημα ping για τα πάντα με:
iptables -A INPUT -p icmp -j DROP
Τώρα, εάν θέλουμε να απορρίψουμε οποιοδήποτε αίτημα εκτός από ένα συγκεκριμένο, μπορούμε να το κάνουμε με τον ακόλουθο τρόπο:
Δηλώνουμε μεταβλητές:
IFEXT = 192.168.16.1 # μου IP
ΕΓΚΕΚΡΙΜΕΝΗ IP = 192.168.16.5
iptables -A INPUT -i $ IFEXT -s $ AUTHORIZED IP -p icmp -m icmp –icmp-type echo-request -m length -length 28: 1322 -m όριο -limit 2 / sec –limit-burst 4 -j ACCEPT
Με αυτόν τον τρόπο επιτρέπουμε μόνο αυτήν την IP να κάνει ping στον υπολογιστή μας (αλλά με όρια).
Ελπίζω να είναι χρήσιμο σε εσάς.
Salu2
Ουάου, οι διαφορές μεταξύ των χρηστών, ενώ τα παράθυρα μιλούν για το πώς να παίξετε φωτοστέφανο ή το κακό μέσα στο Linux βαρετό τον κόσμο με πράγματα όπως αυτό.
Και αυτός είναι ο λόγος που τα Windowseros ξέρουν μόνο πώς να παίζουν, ενώ τα Linuxeros είναι αυτά που γνωρίζουν πραγματικά την προηγμένη διαχείριση λειτουργικού συστήματος, δικτύων κ.λπ.
Σας ευχαριστούμε που μας δώσατε την επίσκεψή σας 😀
Χαιρετισμοί
Το θέμα είναι πολύ χρήσιμο και βοηθά σε κάποιο βαθμό.
Σας ευχαριστώ.
Όταν τα παράθυρα μάθουν για αυτό, θα δείτε ότι τρελαίνονται
σε iptables που πρέπει να βάλετε το ip στο IMPUT και στο DROP κάτι άλλο;