A ping parancsról
Az ICMP protokoll, vagyis a népszerű parancs révén fütyülés Tudhatjuk, hogy egy bizonyos számítógép él-e a hálózaton, ha vannak útvonalaink, problémamentesen sétálok hozzá.
Eddig előnyösnek tűnik, és sok más jó eszközhöz vagy alkalmazáshoz hasonlóan káros célokra is használható, például egy pingeléssel ellátott DDoS, amely 100.000 XNUMX kérelmet eredményezhet percenként vagy másodpercenként pingeléssel, ami összeomlik a számítógép vagy a hálózat.
Bárhogy is legyen, bizonyos esetekben azt akarjuk, hogy számítógépünk ne válaszoljon a hálózat többi felhasználójának ping kérésére, vagyis úgy tűnik, hogy nincs csatlakoztatva, ehhez le kell tiltanunk a rendszerünkben az ICMP protokoll válaszát.
Hogyan ellenőrizhető, hogy engedélyeztük-e a ping válasz opciót
Van egy fájl a rendszerünkben, amely lehetővé teszi számunkra a rendkívül egyszerű meghatározást, ha engedélyezve van a ping válasz vagy sem, ez: / proc / sys / net / ipv4 / icmp_echo_ignore_all
Ha a fájl 0 (nulla) értéket tartalmaz, akkor bárki, aki pingel minket, választ kap, amikor a számítógépünk online állapotban van, azonban ha 1-et (egyet) teszünk, akkor nem számít, hogy a számítógépünk csatlakozik-e vagy sem, úgy tűnik, nem az.
Más szavakkal, a következő paranccsal szerkesztjük a fájlt:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
Megváltoztatjuk a 0 mert 1 és a mentéshez nyomjuk meg a [Ctrl] + [O] gombot, majd a kilépéshez a [Ctrl] + [X] gombot.
Készen állunk, számítógépünk NEM reagál mások pingelésére.
Alternatívák, amelyek megvédik magunkat a ping támadásoktól
Egy másik alternatíva nyilvánvalóan a tűzfal használata iptables különösebb gond nélkül is megtehető:
sudo iptables -A INPUT -p icmp -j DROP
Ezután ne feledje, hogy az iptables szabályokat a számítógép újraindításakor megtisztítják, valamilyen módszerrel el kell mentenünk a változásokat, akár az iptables-save és az iptables-restore, akár azáltal, hogy saját magunk készítünk szkriptet.
És ez volt az 🙂
kiváló hozzájárulás. Mondja meg, hogy a lekapcsolási kérelmek elkerülésére szolgálna ??? mint amikor az aircrack-ng segítségével fel akarják törni a hálózatot. Azért mondom, mert ha látszólag nincs kapcsolatunk, nem fognak tudni ilyen kéréseket küldeni nekünk. Köszönöm a közreműködést
Ez nem így működik, ez csak blokkolja az icmp echo választ, így ha valaki tesztelni akarja a kapcsolatot egy icmp echo kéréssel, akkor a számítógép icMP echo figyelmen kívül hagyja, és ezért az a személy, aki megpróbálja tesztelni a kapcsolatot, kap egy Úgy tűnik, hogy a "host állomáshelyzet nem működik, vagy blokkolja a ping szondákat", de ha valaki airodump-tal vagy valamilyen hasonló eszközzel figyeli a hálózatot, akkor láthatja, hogy csatlakozik, mert ezek az eszközök elemzik a AP vagy AP-től kapott
Meg kell jegyezni, hogy csak ideiglenes, a számítógép újraindítása után újra pingeket fog kapni, hogy véglegesen hagyja, tekintve az első trükköt, állítsa be az /etc/sysctl.conf fájlt, és a végén adja hozzá a net.ipv4.icmp_echo_ignore_all = 1-et és tisztelettel A második tipp hasonló, de inkább "Hosszú" (Mentsd el az Iptables Conf-t, készíts egy olyan felület-parancsfájlt, amely a rendszer indításakor fut, és ilyesmi)
Szia. Valami baj lehet? vagy mi lehet az? mert az ubuntuban nincs ilyen fájl ......
Hibátlan volt, mint mindig.
Egy kis megfigyelés, amikor a nano bezárása nem gyorsabb, a Ctrl + X, majd kilép Y vagy S gombbal
Tisztelet
Kiváló tipp, @KZKG, ugyanazt a tippet használom sok más mellett a számítógépem és a két szerver biztonságának javítása érdekében, de az iptables szabály elkerülése érdekében a sysctl-t és annak mappáját használom /etc/sysctl.d/ konfigurációval egy fájllal, amelyhez csatolom a szükséges parancsokat, hogy minden újraindításkor betöltődjenek, és a rendszerem elinduljon az összes már módosított értékkel.
Ha ezt a módszert használja, akkor egyszerűen hozzon létre egy XX-local.conf fájlt (az XX 1 és 99 közötti szám lehet, nekem 50-ben van), és írja:
net.ipv4.icmp_echo_ignore_all = 1
Ezzel már ugyanaz az eredményük.
Nagyon egyszerű megoldás, köszönöm
Milyen parancsokat tartalmaz még abban a fájlban?
Bármely parancs, amelynek köze van a sysctl változókhoz, és amely a sysctl segítségével manipulálható, használható ilyen módon.
A sysctl típusba beírható különböző értékek megtekintéséhez a sysctl -a terminálon
Az openSUSE-ban nem tudtam szerkeszteni.
Jó.
Egy másik gyorsabb módszer a sysctl használata
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
Mint mondtuk, az IPTABLES-ban a ping kérést is elutasíthatja mindenre:
iptables -A BEMENET -p icmp -j DROP
Most, ha el akarunk utasítani egy kérést, kivéve egy konkrétat, akkor a következő módon tehetjük meg:
Változókat deklarálunk:
IFEXT = 192.168.16.1 # IP
Engedélyezett IP = 192.168.16.5
iptables -A BEMENET -i $ IFEXT -s $ Engedélyezett IP -p icmp -m icmp –icmp típusú echo-request -m hossz –hossz 28: 1322 -m határ –korlát 2 / sec –korlát-burst 4 -j ELFOGAD
Ily módon csak azt az IP-t engedélyezzük a számítógépünk pingelésére (de korlátozásokkal).
Remélem, hasznos lesz az Ön számára.
Salu2
Hűha, a felhasználók közötti különbségek, miközben mi, Windows felhasználók, arról beszélünk, hogy hogyan kell a glóriát vagy a gonoszt játszani a Linuxon belül, ilyesmivel unja a világot.
És ezért a Windowserók csak akkor tudják, hogyan kell játszani, míg a Linuxerók azok, akik valóban ismerik az operációs rendszerek, hálózatok stb.
Köszönjük, hogy meglátogatta us
Coordiales Üdvözlet
A téma nagyon hasznos, és bizonyos mértékben segít.
Köszönöm.
amikor az ablakok megtudják ezt, látni fogják, hogy megőrülnek
az iptables-ben, hogy az IP-t az IMPUT-ba kell tenni, és valami mást a DROP-ba?