O naredbi ping
Kroz ICMP protokol, odnosno popularnu naredbu ping Možemo znati je li određeno računalo živo na mreži, imamo li rute, do njega hodam bez problema.
Zasad se čini korisnim, ali se, međutim, poput mnogih dobrih alata ili aplikacija, može koristiti u štetne svrhe, na primjer DDoS s pingom, što se može pretvoriti u 100.000 XNUMX zahtjeva s pingom u minuti ili u sekundi, što bi moglo srušiti krajnjem računalu ili našoj mreži.
Bilo kako bilo, u određenim prilikama želimo da naše računalo ne reagira na ping zahtjeve drugih na mreži, odnosno čini se da nije povezano, jer za to moramo onemogućiti odgovor ICMP protokola u našem sustavu.
Kako provjeriti jesmo li omogućili opciju ping odgovora
U našem sustavu postoji datoteka koja nam omogućuje definiranje na krajnje jednostavan način, ako smo omogućili ping odgovor ili ne, to je: / proc / sys / net / ipv4 / icmp_echo_ignore_all
Ako ta datoteka sadrži 0 (nula), tada će svatko tko nas pinguje dobiti odgovor kad god je naše računalo na mreži, međutim, ako stavimo 1 (jedan), onda nije važno je li naše računalo povezano ili nije, čini se da nije.
Drugim riječima, sljedećom naredbom ćemo urediti tu datoteku:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
Mi mijenjamo 0 za a 1 i pritisnemo [Ctrl] + [O] za spremanje, a zatim [Ctrl] + [X] za izlaz.
Spremno, naše računalo NE reagira na ping drugih.
Alternative da se zaštitimo od ping napada
Druga alternativa je očito korištenje vatrozida, korištenje iptables to se može učiniti i bez puno muke:
sudo iptables -A INPUT -p icmp -j DROP
Zatim upamtite, iptables pravila se čiste kada se računalo ponovo pokrene, moramo nekim načinom spremiti promjene, bilo putem iptables-save i iptables-restore, bilo tako što ćemo sami napraviti skriptu.
I to je bilo to 🙂
izvrstan doprinos. Recite mi, bi li služio za izbjegavanje zahtjeva za isključenjem ??? kao kad žele provaliti mrežu koristeći aircrack-ng. Kažem, jer ako očito budemo isključeni, neće nam moći poslati takve zahtjeve. Hvala na unosu
To ne funkcionira na taj način, ovo samo blokira icmp echo odgovor, pa ako netko želi testirati vezu s icmp echo zahtjevom, vaše će računalo ignorirati icmp echo, pa će osoba koja pokušava testirati vezu dobiti Vrsta odgovora "čini se da domaćin ne radi ili blokira ping sonde", ali ako netko nadzire mrežu airodumpom ili nekim sličnim alatom, moći će vidjeti da ste povezani jer ti alati analiziraju pakete koji se šalju na AP ili primljeno od AP
Treba imati na umu da je privremen, nakon ponovnog pokretanja računala dobit će ponovno pingove, kako bi ga učinio trajnim, s obzirom na prvi trik, konfigurirajte datoteku /etc/sysctl.conf i na kraju dodajte net.ipv4.icmp_echo_ignore_all = 1 i s poštovanjem Drugi savjet je sličan, ali duži "(Spremi Iptables Conf, izradi skriptu sučelja koja se izvršava kad se sustav pokrene i ostalo)
Bok. Može li nešto biti u redu? ili što bi to moglo biti? jer u ubuntuu nema takve datoteke ......
Bilo je besprijekorno kao i uvijek.
Malo zapažanje, prilikom zatvaranja nano-a nije brže Ctrl + X, a zatim izađite s Y ili S
Poštovanje
Izvrsni savjet, @KZKG, isti isti koristim među mnogim drugima kako bih poboljšao sigurnost svog računala i dva poslužitelja s kojima radim, ali da bih izbjegao pravilo iptables, koristim sysctl i njegovu konfiguraciju mape / etc / sysctl. d / s datotekom u koju priložim potrebne naredbe tako da se pri svakom ponovnom pokretanju učitaju i moj sustav pokrene sa svim već izmijenjenim vrijednostima.
U slučaju korištenja ove metode, samo stvorite datoteku XX-local.conf (XX može biti broj od 1 do 99, imam je u 50) i napišite:
net.ipv4.icmp_echo_ignore_all = 1
Već uz to imaju isti rezultat.
Prilično jednostavno rješenje, hvala
Koje još naredbe imate u toj datoteci?
Bilo koja naredba koja ima veze sa sysctl varijablama i kojom se može manipulirati putem sysctl-a može se koristiti na ovaj način.
Da biste vidjeli različite vrijednosti koje možete unijeti u sysctl, upišite u terminal sysctl -a
U openSUSE nisam ga uspio urediti.
Dobro.
Još jedan brži način bio bi korištenje sysctl-a
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
Kao što je rečeno, u IPTABLES također možete odbiti zahtjev za ping za sve tako što ćete:
iptables -A ULAZ -p icmp -j PAD
Sada, ako želimo odbiti bilo koji zahtjev osim određenog, to možemo učiniti na sljedeći način:
Deklariramo varijable:
IFEXT = 192.168.16.1 # moj IP
OVLAŠTENI IP = 192.168.16.5
iptables -A ULAZ -i $ IFEXT -s $ OVLAŠTENI IP -p icmp -m icmp –icmp-type echo-request -m length -length 28: 1322 -m limit -limit 2 / sec -limit-burst 4 -j ACCEPT
Na taj način ovlašćujemo samo tu IP adresu da pinguje naše računalo (ali s ograničenjima).
Nadam se da će vam biti od koristi.
Salu2
Wow, razlike među korisnicima, dok windowseros govore o tome kako igrati halo ili zlo u Linuxu dosadno svijetu ovakvim stvarima.
I zato Windowseros tada zna samo igrati, dok su Linuxeros ti koji stvarno poznaju naprednu administraciju OS-a, mreža itd.
Hvala vam što ste nas posjetili 😀
Coordiales Pozdrav
Tema je vrlo korisna i pomalo pomaže.
Hvala Vam.
kad prozori saznaju za ovo vidjet ćete da su poludjeli
u iptables da morate staviti ip u IMPUT i u DROP nešto drugo?