O poleceniu ping
Za pośrednictwem protokołu ICMP, czyli popularnego polecenia świst Możemy wiedzieć, czy jakiś komputer żyje w sieci, jeśli mamy trasy, idę do niego bez problemów.
Jak dotąd wydaje się to korzystne i jest jednak, podobnie jak wiele dobrych narzędzi lub aplikacji, może być używane do szkodliwych celów, na przykład DDoS z pingiem, co może przełożyć się na 100.000 żądań z pingiem na minutę lub na sekundę, co może spowodować awarię komputer końcowy lub nasza sieć.
Tak czy inaczej, w niektórych przypadkach chcemy, aby nasz komputer nie odpowiadał na żądania ping od innych osób w sieci, to znaczy, aby wyglądał na niepodłączonego, w tym celu musimy wyłączyć odpowiedź protokołu ICMP w naszym systemie.
Jak sprawdzić, czy włączyliśmy opcję odpowiedzi na ping
W naszym systemie jest plik, który pozwala nam w niezwykle prosty sposób zdefiniować, czy włączyliśmy odpowiedź na ping czy nie, jest to: / proc / sys / net / ipv4 / icmp_echo_ignore_all
Jeśli ten plik zawiera 0 (zero), każdy, kto nas pinguje, otrzyma odpowiedź za każdym razem, gdy nasz komputer będzie w trybie online, jednak jeśli wstawimy 1 (jeden), nie ma znaczenia, czy nasz komputer jest podłączony, czy nie, będzie wydaje się nie być.
Oznacza to, że za pomocą następującego polecenia będziemy edytować ten plik:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
Zmieniamy 0 dla 1 i wciskamy [Ctrl] + [O], aby zapisać, a następnie [Ctrl] + [X], aby wyjść.
Gotowe, nasz komputer NIE odpowiada na ping innych.
Alternatywy do ochrony przed atakami pingami
Inną alternatywą jest oczywiście użycie zapory ogniowej, używając iptables można to również zrobić bez większego kłopotu:
sudo iptables -A INPUT -p icmp -j DROP
Następnie pamiętaj, że reguły iptables są czyszczone po ponownym uruchomieniu komputera, musimy za pomocą jakiejś metody zapisać zmiany, albo przez iptables-save i iptables-restore, jak również samodzielnie tworząc skrypt.
I to było to 🙂
doskonały wkład. Powiedz mi, czy pomogłoby to uniknąć próśb o odłączenie ??? jak wtedy, gdy chcą złamać sieć za pomocą aircrack-ng. Mówię, bo jeśli pozornie się rozłączymy, nie będą mogli wysyłać nam takich próśb. Dzięki za wkład
To nie działa w ten sposób, to tylko blokuje odpowiedź echa icmp, więc jeśli ktoś chce przetestować połączenie za pomocą żądania echa icmp, twój komputer zignoruje echo icmp i dlatego osoba, która próbuje przetestować połączenie, otrzyma Typ odpowiedzi „host wydaje się być wyłączony lub blokuje sondy ping”, ale jeśli ktoś monitoruje sieć za pomocą airodump lub innego podobnego narzędzia, będzie mógł zobaczyć, że jesteś połączony, ponieważ te narzędzia analizują pakiety wysłane do AP lub otrzymane od AP
Należy zauważyć, że jest to tylko tymczasowe, po ponownym uruchomieniu komputera ponownie otrzyma pingi, aby pozostawić go na stałe, w odniesieniu do pierwszej sztuczki skonfiguruj plik /etc/sysctl.conf i na koniec dodaj net.ipv4.icmp_echo_ignore_all = 1 i z szacunkiem Druga wskazówka jest podobna, ale bardziej „długa” (Save Iptables Conf, utwórz skrypt interfejsu, który będzie działał podczas startu systemu i takie tam)
Cześć. Czy to możliwe, że coś jest nie tak? lub co to może być? ponieważ w Ubuntu nie ma takiego pliku ......
Jak zawsze było bez zarzutu.
Mała obserwacja, gdy zamykanie nano nie jest szybsze Ctrl + X a potem wyjście za pomocą Y lub S
Wyrazy szacunku
Doskonała wskazówka, @KZKG, używam tej samej wskazówki spośród wielu innych, aby poprawić bezpieczeństwo mojego komputera i dwóch serwerów, z którymi pracuję, ale aby uniknąć reguły iptables, używam sysctl i jego konfiguracji folderu / etc / sysctl. d / z plikiem, do którego dołączam niezbędne polecenia, aby przy każdym ponownym uruchomieniu były ładowane, a mój system uruchamiał się ze wszystkimi już zmodyfikowanymi wartościami.
W przypadku korzystania z tej metody wystarczy stworzyć plik XX-local.conf (XX może być liczbą od 1 do 99, mam to na 50) i napisz:
net.ipv4.icmp_echo_ignore_all = 1
Już z tym mają ten sam wynik.
Dość proste rozwiązanie, dzięki
Jakie inne polecenia masz w tym pliku?
Każde polecenie, które ma związek ze zmiennymi sysctl i można nim manipulować za pomocą sysctl, może być użyte w ten sposób.
Aby zobaczyć różne wartości, które możesz wprowadzić do sysctl, napisz w swoim terminalu sysctl -a
W openSUSE nie mogłem go edytować.
Dobra.
Innym szybszym sposobem byłoby użycie sysctl
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
Jak już powiedziano, w IPTABLES można również odrzucić żądanie ping do wszystkiego, wykonując:
iptables -A WEJŚCIE -p icmp -j DROP
Jeśli teraz chcemy odrzucić jakąkolwiek prośbę poza konkretną, możemy to zrobić w następujący sposób:
Deklarujemy zmienne:
IFEXT = 192.168.16.1 #my IP
AUTORYZOWANY IP = 192.168.16.5
iptables -A INPUT -i $ IFEXT -s $ AUTHORIZED IP -p icmp -m icmp –icmp-type echo-request -m length –length 28: 1322 -m limit –limit 2 / sec –limit-burst 4 -j ACCEPT
W ten sposób upoważniamy tylko ten adres IP do pingowania naszego komputera (ale z ograniczeniami).
Mam nadzieję, że ci się przyda.
Salu2
Wow, różnice między użytkownikami, podczas gdy my, użytkownicy Windowsa, rozmawiamy o tym, jak grać w halo lub zło w Linuksie nudzi świat takimi rzeczami.
I dlatego Windowseros wie wtedy tylko, jak grać, podczas gdy Linuxeros to ci, którzy naprawdę znają się na zaawansowanej administracji systemem operacyjnym, sieciami itp.
Dziękujemy za wizytę 😀
Coordiales Greetings
Temat jest bardzo przydatny i do pewnego stopnia pomaga.
Dziękuję.
kiedy okna dowiedzą się o tym, zobaczysz, że wariują
w iptables, że musisz umieścić ip w IMPUT, a jeszcze coś w DROP?