Beskytt datamaskinen mot ping

Om ping-kommandoen

Gjennom ICMP-protokollen, det vil si den populære kommandoen ping vi kan vite om en bestemt datamaskin lever i nettverket, hvis vi har ruter, kan jeg gå til den uten problemer.

Så langt virker det gunstig, og det er, men som mange gode verktøy eller applikasjoner, kan det brukes til skadelige formål, for eksempel en DDoS med ping, som kan oversettes til 100.000 forespørsler med ping per minutt eller per sekund, noe som kan krasj sluttdatamaskinen eller nettverket vårt.

Slik som det kan, ved visse anledninger vil vi at datamaskinen ikke skal svare på ping-forespørsler fra andre på nettverket, det vil si at det ser ut til å ikke være koblet, for dette må vi deaktivere ICMP-protokollresponsen i systemet vårt.

Hvordan verifisere om vi har aktivert alternativet pingrespons

Det er en fil i systemet vårt som lar oss definere på en ekstremt enkel måte. Hvis vi har aktivert ping-svaret eller ikke, er det: / proc / sys / net / ipv4 / icmp_echo_ignore_all

Hvis filen inneholder en 0 (null), vil alle som pinger oss få svar når datamaskinen vår er online, men hvis vi setter en 1 (en), så spiller det ingen rolle om PCen vår er koblet til eller ikke, den vil synes ikke å være.

Med andre ord, med følgende kommando vil vi redigere den filen:

sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all

Vi endrer 0 for en 1 og vi trykker [Ctrl] + [O] for å lagre, og deretter [Ctrl] + [X] for å avslutte.

Klar, datamaskinen vår svarer IKKE på andres ping.

Alternativer for å beskytte oss mot pingangrep

Et annet alternativ er åpenbart å bruke en brannmur iptables det kan også gjøres uten mye bry:

sudo iptables -A INPUT -p icmp -j DROP

Husk så at iptables-reglene blir renset når datamaskinen startes på nytt, vi må lagre endringene på en eller annen måte, enten gjennom iptables-save og iptables-reset, eller ved å lage et skript selv.

Og dette har vært det 🙂


17 kommentarer, legg igjen dine

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   neysonv sa

    utmerket bidrag. Si meg, ville det tjene til å unngå forespørsler om frakobling ??? som når de vil knekke nettverket ved hjelp av aircrack-ng. Jeg sier fordi hvis vi tilsynelatende er koblet fra, vil de ikke kunne sende oss slike forespørsler. Takk for innspillet

    1.    PopArch sa

      Det fungerer ikke på den måten, dette blokkerer bare icmp-ekko-responsen, så hvis noen vil teste forbindelsen med en icmp-ekkoforespørsel, vil datamaskinen din ignorere icmp-ekko, og derfor vil personen som prøver å teste forbindelsen få en Svarstypen "verten ser ut til å være nede eller blokkerer ping-sonder", men hvis noen overvåker nettverket med airodump eller noe lignende verktøy, vil de kunne se at du er koblet til fordi disse verktøyene analyserer pakkene som sendes til AP eller mottatt fra AP

  2.   Frank Sanabria sa

    Det skal bemerkes at det bare er midlertidig, etter at du har startet PCen på nytt, vil den motta pings igjen, for å gjøre den permanent, med hensyn til det første trikset, konfigurer /etc/sysctl.conf-filen og til slutt legg til net.ipv4.icmp_echo_ignore_all = 1 og med respekt Det andre tipset er likt, men "Lengre" (Save Iptables Conf, lag et grensesnittskript som kjører når systemet starter, og sånt)

  3.   mmm sa

    Hei. Kan noe være galt? eller hva kan det være? for i ubuntu er det ingen slik fil ...

  4.   Franz sa

    Det var feilfritt som alltid.
    En liten observasjon når nano lukkes ikke er raskere Ctrl + X og deretter går ut med Y eller S
    Respekter

  5.   yukiteru sa

    Utmerket tips, @KZKG, jeg bruker det samme tipset blant mange andre for å forbedre sikkerheten til PCen min og de to serverne jeg jobber med, men for å unngå iptables-regelen bruker jeg sysctl og mappen konfigurasjon /etc/sysctl.d/ med en fil som jeg fester de nødvendige kommandoene til, slik at de ved hver omstart lastes og systemet starter med alle verdiene som allerede er modifisert.

    I tilfelle du bruker denne metoden, er det bare å lage en fil XX-local.conf (XX kan være et tall fra 1 til 99, jeg har det i 50) og skrive:

    net.ipv4.icmp_echo_ignore_all = 1

    Allerede med det har de samme resultat.

    1.    jsan92 sa

      Ganske enkel løsning, takk
      Hvilke andre kommandoer har du i den filen?

      1.    yukiteru sa

        Enhver kommando som har å gjøre med sysctl-variabler og som kan manipuleres gjennom sysctl, kan brukes på denne måten.

      2.    Frank Sanabria sa

        For å se de forskjellige verdiene du kan angi til sysctl-typen i terminal sysctl -a

  6.   Solrak Rainbow Warrior sa

    I openSUSE har jeg ikke klart å redigere det.

  7.   David sa

    Bra.
    En annen raskere måte ville være å bruke sysctl

    #sysctl -w net.ipv4.icmp_echo_ignore_all = 1

  8.   cpollane sa

    Som sagt, i IPTABLES kan du også avvise en ping-forespørsel om alt ved å:
    iptables -A INNGANG -p icmp -j DROP
    Nå, hvis vi vil avvise enhver forespørsel unntatt en spesifikk, kan vi gjøre det på følgende måte:
    Vi erklærer variabler:
    IFEXT = 192.168.16.1 # min IP
    AUTORISERT IP = 192.168.16.5
    iptables -A INNGANG -i $ IFEXT -s $ AUTORISERT IP -p icmp -m icmp –icmp-type ekko-forespørsel -m lengde –lengde 28: 1322 -m grense –begrens 2 / sek –grense-burst 4 -j ACCEPT

    På denne måten godkjenner vi bare den IP-en til å pinge PCen vår (men med grenser).
    Jeg håper det er nyttig for deg.
    Salu2

  9.   loverdelinux ... nolook.com sa

    Wow, forskjellene mellom brukere, mens windowseros snakker om hvordan man spiller halo eller det onde innen Linux kjedelig verden med ting som dette.

    1.    KZKG ^ Gaara sa

      Og det er grunnen til at Windowseros da bare vet hvordan man spiller, mens Linuxeros er de som virkelig kjenner til avansert administrasjon av OS, nettverk osv.
      Takk for at du besøkte oss 😀

  10.   brukerark sa

    Coordiales Hilsen
    Temaet for er veldig nyttig og hjelper til en viss grad.
    Takk.

  11.   Gonzalo sa

    når vinduene finner ut om dette, vil du se at de blir sprø

  12.   Lolo sa

    i iptables at du må sette ip i IMPUT og i DROP noe annet?