Zaštitite svoje računalo od pinga

O naredbi ping

Kroz ICMP protokol, odnosno popularnu naredbu ping Možemo znati je li određeno računalo živo na mreži, imamo li rute, do njega hodam bez problema.

Zasad se čini korisnim, ali se, međutim, poput mnogih dobrih alata ili aplikacija, može koristiti u štetne svrhe, na primjer DDoS s pingom, što se može pretvoriti u 100.000 XNUMX zahtjeva s pingom u minuti ili u sekundi, što bi moglo srušiti krajnjem računalu ili našoj mreži.

Bilo kako bilo, u određenim prilikama želimo da naše računalo ne reagira na ping zahtjeve drugih na mreži, odnosno čini se da nije povezano, jer za to moramo onemogućiti odgovor ICMP protokola u našem sustavu.

Kako provjeriti jesmo li omogućili opciju ping odgovora

U našem sustavu postoji datoteka koja nam omogućuje definiranje na krajnje jednostavan način, ako smo omogućili ping odgovor ili ne, to je: / proc / sys / net / ipv4 / icmp_echo_ignore_all

Ako ta datoteka sadrži 0 (nula), tada će svatko tko nas pinguje dobiti odgovor kad god je naše računalo na mreži, međutim, ako stavimo 1 (jedan), onda nije važno je li naše računalo povezano ili nije, čini se da nije.

Drugim riječima, sljedećom naredbom ćemo urediti tu datoteku:

sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all

Mi mijenjamo 0 za a 1 i pritisnemo [Ctrl] + [O] za spremanje, a zatim [Ctrl] + [X] za izlaz.

Spremno, naše računalo NE reagira na ping drugih.

Alternative da se zaštitimo od ping napada

Druga alternativa je očito korištenje vatrozida, korištenje iptables to se može učiniti i bez puno muke:

sudo iptables -A INPUT -p icmp -j DROP

Zatim upamtite, iptables pravila se čiste kada se računalo ponovo pokrene, moramo nekim načinom spremiti promjene, bilo putem iptables-save i iptables-restore, bilo tako što ćemo sami napraviti skriptu.

I to je bilo to 🙂


Sadržaj članka pridržava se naših načela urednička etika. Da biste prijavili pogrešku, kliknite ovdje.

17 komentara, ostavi svoj

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   neysonv dijo

    izvrstan doprinos. Recite mi, bi li služio za izbjegavanje zahtjeva za isključenjem ??? kao kad žele provaliti mrežu koristeći aircrack-ng. Kažem, jer ako očito budemo isključeni, neće nam moći poslati takve zahtjeve. Hvala na unosu

    1.    PopArch dijo

      To ne funkcionira na taj način, ovo samo blokira icmp echo odgovor, pa ako netko želi testirati vezu s icmp echo zahtjevom, vaše će računalo ignorirati icmp echo, pa će osoba koja pokušava testirati vezu dobiti Vrsta odgovora "čini se da domaćin ne radi ili blokira ping sonde", ali ako netko nadzire mrežu airodumpom ili nekim sličnim alatom, moći će vidjeti da ste povezani jer ti alati analiziraju pakete koji se šalju na AP ili primljeno od AP

  2.   Frank Sanabria dijo

    Treba imati na umu da je privremen, nakon ponovnog pokretanja računala dobit će ponovno pingove, kako bi ga učinio trajnim, s obzirom na prvi trik, konfigurirajte datoteku /etc/sysctl.conf i na kraju dodajte net.ipv4.icmp_echo_ignore_all = 1 i s poštovanjem Drugi savjet je sličan, ali duži "(Spremi Iptables Conf, izradi skriptu sučelja koja se izvršava kad se sustav pokrene i ostalo)

  3.   mmm dijo

    Bok. Može li nešto biti u redu? ili što bi to moglo biti? jer u ubuntuu nema takve datoteke ......

  4.   Franz dijo

    Bilo je besprijekorno kao i uvijek.
    Malo zapažanje, prilikom zatvaranja nano-a nije brže Ctrl + X, a zatim izađite s Y ili S
    Poštovanje

  5.   Yukiteru dijo

    Izvrsni savjet, @KZKG, isti isti koristim među mnogim drugima kako bih poboljšao sigurnost svog računala i dva poslužitelja s kojima radim, ali da bih izbjegao pravilo iptables, koristim sysctl i njegovu konfiguraciju mape / etc / sysctl. d / s datotekom u koju priložim potrebne naredbe tako da se pri svakom ponovnom pokretanju učitaju i moj sustav pokrene sa svim već izmijenjenim vrijednostima.

    U slučaju korištenja ove metode, samo stvorite datoteku XX-local.conf (XX može biti broj od 1 do 99, imam je u 50) i napišite:

    net.ipv4.icmp_echo_ignore_all = 1

    Već uz to imaju isti rezultat.

    1.    jsan92 dijo

      Prilično jednostavno rješenje, hvala
      Koje još naredbe imate u toj datoteci?

      1.    Yukiteru dijo

        Bilo koja naredba koja ima veze sa sysctl varijablama i kojom se može manipulirati putem sysctl-a može se koristiti na ovaj način.

      2.    Frank Sanabria dijo

        Da biste vidjeli različite vrijednosti koje možete unijeti u sysctl, upišite u terminal sysctl -a

  6.   Solrak kišni ratnik dijo

    U openSUSE nisam ga uspio urediti.

  7.   David dijo

    Dobro.
    Još jedan brži način bio bi korištenje sysctl-a

    #sysctl -w net.ipv4.icmp_echo_ignore_all = 1

  8.   cpollane dijo

    Kao što je rečeno, u IPTABLES također možete odbiti zahtjev za ping za sve tako što ćete:
    iptables -A ULAZ -p icmp -j PAD
    Sada, ako želimo odbiti bilo koji zahtjev osim određenog, to možemo učiniti na sljedeći način:
    Deklariramo varijable:
    IFEXT = 192.168.16.1 # moj IP
    OVLAŠTENI IP = 192.168.16.5
    iptables -A ULAZ -i $ IFEXT -s $ OVLAŠTENI IP -p icmp -m icmp –icmp-type echo-request -m length -length 28: 1322 -m limit -limit 2 / sec -limit-burst 4 -j ACCEPT

    Na taj način ovlašćujemo samo tu IP adresu da pinguje naše računalo (ali s ograničenjima).
    Nadam se da će vam biti od koristi.
    Salu2

  9.   loverdelinux ... nolook.com dijo

    Wow, razlike među korisnicima, dok windowseros govore o tome kako igrati halo ili zlo u Linuxu dosadno svijetu ovakvim stvarima.

    1.    KZKG ^ Gaara dijo

      I zato Windowseros tada zna samo igrati, dok su Linuxeros ti koji stvarno poznaju naprednu administraciju OS-a, mreža itd.
      Hvala vam što ste nas posjetili 😀

  10.   userarch dijo

    Coordiales Pozdrav
    Tema je vrlo korisna i pomalo pomaže.
    Hvala Vam.

  11.   Gonzalo dijo

    kad prozori saznaju za ovo vidjet ćete da su poludjeli

  12.   lolo dijo

    u iptables da morate staviti ip u IMPUT i u DROP nešto drugo?