Chroń swój komputer przed pingiem

O poleceniu ping

Za pośrednictwem protokołu ICMP, czyli popularnego polecenia świst Możemy wiedzieć, czy jakiś komputer żyje w sieci, jeśli mamy trasy, idę do niego bez problemów.

Jak dotąd wydaje się to korzystne i jest jednak, podobnie jak wiele dobrych narzędzi lub aplikacji, może być używane do szkodliwych celów, na przykład DDoS z pingiem, co może przełożyć się na 100.000 żądań z pingiem na minutę lub na sekundę, co może spowodować awarię komputer końcowy lub nasza sieć.

Tak czy inaczej, w niektórych przypadkach chcemy, aby nasz komputer nie odpowiadał na żądania ping od innych osób w sieci, to znaczy, aby wyglądał na niepodłączonego, w tym celu musimy wyłączyć odpowiedź protokołu ICMP w naszym systemie.

Jak sprawdzić, czy włączyliśmy opcję odpowiedzi na ping

W naszym systemie jest plik, który pozwala nam w niezwykle prosty sposób zdefiniować, czy włączyliśmy odpowiedź na ping czy nie, jest to: / proc / sys / net / ipv4 / icmp_echo_ignore_all

Jeśli ten plik zawiera 0 (zero), każdy, kto nas pinguje, otrzyma odpowiedź za każdym razem, gdy nasz komputer będzie w trybie online, jednak jeśli wstawimy 1 (jeden), nie ma znaczenia, czy nasz komputer jest podłączony, czy nie, będzie wydaje się nie być.

Oznacza to, że za pomocą następującego polecenia będziemy edytować ten plik:

sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all

Zmieniamy 0 dla 1 i wciskamy [Ctrl] + [O], aby zapisać, a następnie [Ctrl] + [X], aby wyjść.

Gotowe, nasz komputer NIE odpowiada na ping innych.

Alternatywy do ochrony przed atakami pingami

Inną alternatywą jest oczywiście użycie zapory ogniowej, używając iptables można to również zrobić bez większego kłopotu:

sudo iptables -A INPUT -p icmp -j DROP

Następnie pamiętaj, że reguły iptables są czyszczone po ponownym uruchomieniu komputera, musimy za pomocą jakiejś metody zapisać zmiany, albo przez iptables-save i iptables-restore, jak również samodzielnie tworząc skrypt.

I to było to 🙂


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

17 komentarzy, zostaw swoje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   neysonv powiedział

    doskonały wkład. Powiedz mi, czy pomogłoby to uniknąć próśb o odłączenie ??? jak wtedy, gdy chcą złamać sieć za pomocą aircrack-ng. Mówię, bo jeśli pozornie się rozłączymy, nie będą mogli wysyłać nam takich próśb. Dzięki za wkład

    1.    PopArch powiedział

      To nie działa w ten sposób, to tylko blokuje odpowiedź echa icmp, więc jeśli ktoś chce przetestować połączenie za pomocą żądania echa icmp, twój komputer zignoruje echo icmp i dlatego osoba, która próbuje przetestować połączenie, otrzyma Typ odpowiedzi „host wydaje się być wyłączony lub blokuje sondy ping”, ale jeśli ktoś monitoruje sieć za pomocą airodump lub innego podobnego narzędzia, będzie mógł zobaczyć, że jesteś połączony, ponieważ te narzędzia analizują pakiety wysłane do AP lub otrzymane od AP

  2.   Frank Sanabria powiedział

    Należy zauważyć, że jest to tylko tymczasowe, po ponownym uruchomieniu komputera ponownie otrzyma pingi, aby pozostawić go na stałe, w odniesieniu do pierwszej sztuczki skonfiguruj plik /etc/sysctl.conf i na koniec dodaj net.ipv4.icmp_echo_ignore_all = 1 i z szacunkiem Druga wskazówka jest podobna, ale bardziej „długa” (Save Iptables Conf, utwórz skrypt interfejsu, który będzie działał podczas startu systemu i takie tam)

  3.   mmm powiedział

    Cześć. Czy to możliwe, że coś jest nie tak? lub co to może być? ponieważ w Ubuntu nie ma takiego pliku ......

  4.   Franz powiedział

    Jak zawsze było bez zarzutu.
    Mała obserwacja, gdy zamykanie nano nie jest szybsze Ctrl + X a potem wyjście za pomocą Y lub S
    Wyrazy szacunku

  5.   Yukiteru powiedział

    Doskonała wskazówka, @KZKG, używam tej samej wskazówki spośród wielu innych, aby poprawić bezpieczeństwo mojego komputera i dwóch serwerów, z którymi pracuję, ale aby uniknąć reguły iptables, używam sysctl i jego konfiguracji folderu / etc / sysctl. d / z plikiem, do którego dołączam niezbędne polecenia, aby przy każdym ponownym uruchomieniu były ładowane, a mój system uruchamiał się ze wszystkimi już zmodyfikowanymi wartościami.

    W przypadku korzystania z tej metody wystarczy stworzyć plik XX-local.conf (XX może być liczbą od 1 do 99, mam to na 50) i napisz:

    net.ipv4.icmp_echo_ignore_all = 1

    Już z tym mają ten sam wynik.

    1.    jsan92 powiedział

      Dość proste rozwiązanie, dzięki
      Jakie inne polecenia masz w tym pliku?

      1.    Yukiteru powiedział

        Każde polecenie, które ma związek ze zmiennymi sysctl i można nim manipulować za pomocą sysctl, może być użyte w ten sposób.

      2.    Frank Sanabria powiedział

        Aby zobaczyć różne wartości, które możesz wprowadzić do sysctl, napisz w swoim terminalu sysctl -a

  6.   Solrak Rainbowarrior powiedział

    W openSUSE nie mogłem go edytować.

  7.   David powiedział

    Dobra.
    Innym szybszym sposobem byłoby użycie sysctl

    #sysctl -w net.ipv4.icmp_echo_ignore_all = 1

  8.   cpolane powiedział

    Jak już powiedziano, w IPTABLES można również odrzucić żądanie ping do wszystkiego, wykonując:
    iptables -A WEJŚCIE -p icmp -j DROP
    Jeśli teraz chcemy odrzucić jakąkolwiek prośbę poza konkretną, możemy to zrobić w następujący sposób:
    Deklarujemy zmienne:
    IFEXT = 192.168.16.1 #my IP
    AUTORYZOWANY IP = 192.168.16.5
    iptables -A INPUT -i $ IFEXT -s $ AUTHORIZED IP -p icmp -m icmp –icmp-type echo-request -m length –length 28: 1322 -m limit –limit 2 / sec –limit-burst 4 -j ACCEPT

    W ten sposób upoważniamy tylko ten adres IP do pingowania naszego komputera (ale z ograniczeniami).
    Mam nadzieję, że ci się przyda.
    Salu2

  9.   loverdelinux ... nolook.com powiedział

    Wow, różnice między użytkownikami, podczas gdy my, użytkownicy Windowsa, rozmawiamy o tym, jak grać w halo lub zło w Linuksie nudzi świat takimi rzeczami.

    1.    KZKG ^ Gaara powiedział

      I dlatego Windowseros wie wtedy tylko, jak grać, podczas gdy Linuxeros to ci, którzy naprawdę znają się na zaawansowanej administracji systemem operacyjnym, sieciami itp.
      Dziękujemy za wizytę 😀

  10.   archiwum użytkowników powiedział

    Coordiales Greetings
    Temat jest bardzo przydatny i do pewnego stopnia pomaga.
    Dziękuję.

  11.   Gonzalo powiedział

    kiedy okna dowiedzą się o tym, zobaczysz, że wariują

  12.   lolo powiedział

    w iptables, że musisz umieścić ip w IMPUT, a jeszcze coś w DROP?