Mengenai arahan ping
Melalui protokol ICMP, iaitu perintah yang popular ping Kita dapat mengetahui jika komputer tertentu masih hidup di rangkaian, jika kita mempunyai laluan, saya boleh berjalan ke sana tanpa masalah.
Sejauh ini nampaknya bermanfaat dan, bagaimanapun, seperti banyak alat atau aplikasi yang baik, ia dapat digunakan untuk tujuan berbahaya, misalnya DDoS dengan ping, yang dapat diterjemahkan menjadi 100.000 permintaan dengan ping per minit atau sesaat, yang dapat merusak komputer akhir atau rangkaian kami.
Bagaimanapun, pada kesempatan tertentu kita ingin komputer kita tidak menanggapi permintaan ping dari orang lain di rangkaian, iaitu, nampaknya tidak tersambung, untuk ini kita mesti mematikan respons protokol ICMP dalam sistem kita.
Cara mengesahkan jika kita telah mengaktifkan pilihan jawapan ping
Terdapat fail dalam sistem kami yang membolehkan kami menentukan dengan cara yang sangat mudah, jika kami mengaktifkan atau tidak respons ping, ia adalah: / proc / sys / net / ipv4 / icmp_echo_ignore_all
Sekiranya fail itu berisi 0 (sifar), maka setiap orang yang melakukan ping kepada kita akan mendapat respons setiap kali komputer kita dalam talian, namun, jika kita meletakkan 1 (satu) maka tidak menjadi masalah sama ada PC kita disambungkan atau tidak, ia akan nampaknya tidak menjadi.
Dengan kata lain, dengan perintah berikut kita akan mengedit fail itu:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
Kami menukar 0 untuk a 1 dan kami tekan [Ctrl] + [O] untuk menyimpan, dan kemudian [Ctrl] + [X] untuk keluar.
Bersedia, komputer kita TIDAK bertindak balas terhadap ping orang lain.
Alternatif untuk melindungi diri kita daripada serangan ping
Alternatif lain adalah dengan menggunakan firewall, menggunakan iptables ia juga boleh dilakukan tanpa banyak kerumitan:
sudo iptables -A INPUT -p icmp -j DROP
Kemudian ingat, peraturan iptables dibersihkan ketika komputer dihidupkan semula, kita mesti dengan beberapa kaedah menyimpan perubahan, baik melalui iptables-save dan iptables-restore, atau dengan membuat skrip sendiri.
Dan ini sudah lama 🙂
sumbangan yang sangat baik. Beritahu saya, adakah ia berfungsi untuk mengelakkan permintaan pemutusan hubungan ??? seperti ketika mereka ingin memecahkan rangkaian menggunakan aircrack-ng. Saya katakan kerana jika nampaknya kita terputus, mereka tidak akan dapat menghantar permintaan seperti itu kepada kita. Terima kasih atas inputnya
Ia tidak berfungsi seperti itu, ini hanya menyekat tindak balas gema icmp, jadi jika seseorang ingin menguji sambungan dengan permintaan gema icmp komputer anda akan mengabaikan gema icmp dan oleh itu orang yang cuba menguji sambungan akan mendapat Jenis respons "host sepertinya tidak berfungsi atau menyekat probing ping", tetapi jika seseorang memantau rangkaian dengan airodump atau alat serupa, mereka akan dapat melihat bahawa anda disambungkan kerana alat ini menganalisis paket yang dihantar ke AP atau diterima dari AP
Perlu diingatkan bahawa hanya sementara, setelah menghidupkan semula komputer anda, ia akan menerima ping sekali lagi, untuk membiarkannya kekal, berkenaan dengan helah pertama mengkonfigurasi fail /etc/sysctl.conf dan pada akhirnya tambahkan net.ipv4.icmp_echo_ignore_all = 1 dan dengan hormat Petua kedua serupa tetapi lebih lama "(Save Iptables Conf, buat skrip antara muka yang dijalankan ketika sistem dimulakan, dan lain-lain)
Hai. Mungkinkah ada yang tidak betul? atau apa itu? kerana di ubuntu tidak ada fail seperti itu ......
Itu sempurna seperti biasa.
Pemerhatian kecil, ketika menutup nano tidak lebih pantas Ctrl + X dan kemudian keluar dengan Y atau S
Menghormati
Petua yang sangat baik, @KZKG, saya menggunakan tip yang sama antara yang lain untuk meningkatkan keselamatan PC saya dan dua pelayan yang saya bekerjasama, tetapi untuk mengelakkan peraturan iptables, saya menggunakan sysctl dan konfigurasi foldernya / etc / sysctl. d / dengan fail yang saya lampirkan perintah yang diperlukan supaya setiap restart dimuat dan sistem saya boot dengan semua nilai yang sudah diubah.
Sekiranya menggunakan kaedah ini, cukup buat fail XX-local.conf (XX boleh menjadi nombor dari 1 hingga 99, saya memilikinya dalam 50) dan tulis:
net.ipv4.icmp_echo_ignore_all = 1
Sudah dengan itu mereka mempunyai hasil yang sama.
Penyelesaian yang cukup mudah, terima kasih
Apa perintah lain yang anda ada dalam fail itu?
Segala arahan yang ada kaitan dengan pemboleh ubah sysctl dan dapat dimanipulasi melalui sysctl boleh digunakan dengan cara ini.
Untuk melihat pelbagai nilai yang boleh anda masukkan ke jenis sysctl di terminal sysctl -a anda
Di openSUSE saya belum dapat mengeditnya.
Baik.
Cara lain yang lebih pantas adalah menggunakan sysctl
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
Seperti yang dikatakan, di IPTABLES anda juga dapat menolak permintaan ping untuk semuanya dengan:
iptables -A INPUT -p icmp -j HENTI
Sekarang, jika kita ingin menolak permintaan kecuali permintaan tertentu, kita dapat melakukannya dengan cara berikut:
Kami menyatakan pemboleh ubah:
IFEXT = 192.168.16.1 # IP saya
IP BERKUASA = 192.168.16.5
iptables -A INPUT -i $ IFEXT -s $ IP YANG DIBENARKAN -p icmp -m icmp -mic-type echo-request -m length -length 28: 1322 -m had-had 2 / sec –limit-burst 4 -j ACCEPT
Dengan cara ini, kami membenarkan hanya IP tersebut untuk melakukan ping pada PC kami (tetapi dengan had).
Saya harap ia berguna untuk anda.
Salu2
Wow, perbezaan antara pengguna, sementara windowseros membincangkan cara bermain halo atau kejahatan dalam Linux yang membosankan dunia dengan perkara seperti ini.
Itulah sebabnya Windowseros hanya tahu bermain, sedangkan Linuxeros adalah orang yang benar-benar mengetahui pentadbiran OS, rangkaian, dll.
Terima kasih kerana memberikan lawatan anda kepada kami 😀
Ucapan Coordiales
Tema sangat berguna dan sedikit sebanyak membantu.
Terima kasih.
apabila tingkap mengetahui tentang ini, anda akan melihat mereka menjadi gila
di iptables yang anda mesti masukkan ip dalam IMPUT dan sesuatu yang lain dalam DROP?