О команде ping
Через протокол ICMP, то есть популярная команда пинг Мы можем узнать, активен ли определенный компьютер в сети, если у нас есть маршруты, я без проблем дойду до него.
Пока что это кажется полезным, и, однако, как и многие хорошие инструменты или приложения, его можно использовать во вредных целях, например, для DDoS-атак с пингом, что может преобразоваться в 100.000 запросов с пингом в минуту или в секунду, что может привести к сбою конечный компьютер или наша сеть.
Как бы то ни было, в определенных случаях мы хотим, чтобы наш компьютер не отвечал на запросы ping от других в сети, то есть, чтобы он не казался подключенным, для этого мы должны отключить ответ протокола ICMP в нашей системе.
Как проверить, включили ли мы опцию ответа ping
В нашей системе есть файл, который позволяет нам предельно просто определить, включили ли мы ответ ping или нет, это: / proc / sys / net / ipv4 / icmp_echo_ignore_all
Если этот файл содержит 0 (ноль), то любой, кто пингует нас, получит ответ всякий раз, когда наш компьютер находится в сети, однако, если мы поставим 1 (один), то не имеет значения, подключен наш компьютер или нет, он будет кажется, что нет.
Другими словами, с помощью следующей команды мы отредактируем этот файл:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
Мы меняем 0 для 1 и мы нажимаем [Ctrl] + [O] для сохранения, а затем [Ctrl] + [X] для выхода.
Готово, наш компьютер НЕ отвечает на пинг других.
Альтернативы для защиты от пинговых атак
Другой альтернативой, очевидно, является использование брандмауэра, используя Iptables это также можно сделать без особых хлопот:
sudo iptables -A INPUT -p icmp -j DROP
Затем помните, что правила iptables очищаются при перезагрузке компьютера, мы должны каким-то образом сохранить изменения, либо с помощью iptables-save и iptables-restore, или путем создания сценария самостоятельно.
И вот оно что 🙂
отличный вклад. Подскажите, послужит ли это для избежания запросов на отключение ??? например, когда они хотят взломать сеть с помощью aircrack-ng. Я говорю, потому что, если очевидно, что мы отключены, они не могут отправить нам эти запросы. Спасибо за вклад
Это не работает, это только блокирует отклик эхо icmp, поэтому, если кто-то хочет проверить соединение с помощью запроса эхо icmp, ваш компьютер будет игнорировать эхо icmp, и поэтому человек, который пытается проверить соединение, получит Тип ответа «кажется, что хост не работает или блокирует пинг-зонды», но если кто-то отслеживает сеть с помощью airodump или другого подобного инструмента, он сможет увидеть, что вы подключены, потому что эти инструменты анализируют пакеты, которые AP или получено от AP
Следует отметить, что это только временно, после перезапуска компьютера он снова получит пинги, чтобы сделать его постоянным, в отношении первого трюка настройте файл /etc/sysctl.conf и в конце добавьте net.ipv4.icmp_echo_ignore_all = 1 и с уважением. Второй совет аналогичен, но «длиннее» (сохраните Iptables Conf, создайте интерфейсный скрипт, который запускается при запуске системы и т. Д.)
Привет. Что-то не так? или что это могло быть? потому что в ubuntu такого файла нет ......
Как всегда, было безупречно.
Небольшое наблюдение, при закрытии nano не быстрее Ctrl + X, а затем выход с помощью Y или S
Уважает
Отличный совет, @KZKG, я использую тот же совет среди многих других, чтобы повысить безопасность своего ПК и двух серверов, с которыми я работаю, но, чтобы избежать правила iptables, я использую sysctl и его конфигурацию папки / etc / sysctl. d / с файлом, к которому я прикрепляю необходимые команды, чтобы при каждой перезагрузке они загружались, и моя система загружалась со всеми уже измененными значениями.
В случае использования этого метода просто создайте файл XX-local.conf (XX может быть числом от 1 до 99, у меня 50) и напишите:
net.ipv4.icmp_echo_ignore_all = 1
Уже с этим они имеют тот же результат.
Довольно простое решение, спасибо
Какие еще команды есть в этом файле?
Таким образом можно использовать любую команду, имеющую отношение к переменным sysctl и которой можно управлять через sysctl.
Чтобы увидеть различные значения, которые вы можете ввести для типа sysctl в вашем терминале sysctl -a
В openSUSE мне не удалось его отредактировать.
Хорошо.
Другой более быстрый способ - использовать sysctl
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
Как уже говорилось, в IPTABLES вы также можете отклонить запрос ping для всего:
iptables -A INPUT -p icmp -j DROP
Теперь, если мы хотим отклонить любой запрос, кроме конкретного, мы можем сделать это следующим образом:
Объявляем переменные:
IFEXT = 192.168.16.1 # мой IP
АВТОРИЗОВАННЫЙ IP = 192.168.16.5
iptables -A INPUT -i $ IFEXT -s $ AUTHORIZED IP -p icmp -m icmp –icmp-type echo-request -m length –length 28: 1322 -m limit –limit 2 / sec –limit-burst 4 -j ACCEPT
Таким образом, мы разрешаем пинговать наш компьютер только с этого IP-адреса (но с ограничениями).
Надеюсь, это будет вам полезно.
Salu2
Ничего себе, различия между пользователями, в то время как windowseros рассказывают о том, как играть в нимб или о зле в Linux, утомляющем мир такими вещами.
Вот почему Windowseros знают только, как играть, а Linuxeros - те, кто действительно разбирается в продвинутом администрировании ОС, сетей и т. Д.
Спасибо, что посетили нас 😀
Coordiales приветствия
Тема очень полезна и в какой-то мере помогает.
Спасибо.
когда окна узнают об этом, вы увидите, что они сходят с ума
в iptables, что вы должны поместить ip в IMPUT и что-то еще в DROP?