O príkaze ping
Cez protokol ICMP, teda populárny príkaz ping Môžeme vedieť, či je určitý počítač v sieti živý, či máme trasy, môžem k nemu bez problémov kráčať.
Zatiaľ sa to javí ako prospešné a je to, rovnako ako mnoho dobrých nástrojov alebo aplikácií, možné použiť na škodlivé účely, napríklad DDoS s príkazom ping, ktorý sa dá preložiť do 100.000 XNUMX požiadaviek s príkazom ping za minútu alebo za sekundu, ktorý by mohol zlyhať. koncový počítač alebo naša sieť.
Nech je to akokoľvek, pri určitých príležitostiach chceme, aby náš počítač nereagoval na žiadosti ping od ostatných v sieti, to znamená, aby nebol pripojený, preto musíme v našom systéme deaktivovať odpoveď protokolu ICMP.
Ako overiť, či sme povolili možnosť odpovede ping
V našom systéme existuje súbor, ktorý nám umožňuje definovať veľmi jednoduchým spôsobom, ak sme povolili odpoveď ping alebo nie, je to: / proc / sys / net / ipv4 / icmp_echo_ignore_all
Ak tento súbor obsahuje 0 (nula), potom každý, kto nás pinguje, dostane odpoveď vždy, keď je náš počítač online, avšak ak dáme 1 (jeden), nezáleží na tom, či je náš počítač pripojený alebo nie, bude zdá sa, že nie sú.
Inými slovami, nasledujúcim príkazom tento súbor upravíme:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
Meníme 0 na a 1 a stlačíme [Ctrl] + [O] pre uloženie, a potom [Ctrl] + [X] pre ukončenie.
Pripravený, náš počítač NEREGISTRUJE na ping ostatných.
Alternatívy, ktoré sa chránia pred útokmi ping
Ďalšou alternatívou je zjavne použitie firewallu, iptables dá sa to urobiť aj bez väčších problémov:
sudo iptables -A INPUT -p icmp -j DROP
Potom nezabudnite, že pravidlá iptables sa pri reštartovaní počítača vyčistia. Musíme nejakým spôsobom uložiť zmeny, a to buď pomocou príkazu iptables-save a iptables-restore, alebo vytvorením skriptu sami.
A toto bolo 🙂
vynikajúci príspevok. Povedzte mi, slúžilo by to na zabránenie žiadosti o odpojenie ??? ako keď chcú prelomiť sieť pomocou aircrack-ng. Hovorím to, pretože ak budeme zjavne odpojení, nebudú nám môcť posielať takéto žiadosti. Ďakujem za príspevok
Takto to nefunguje, iba to blokuje odozvu icmp, takže ak chce niekto otestovať spojenie s požiadavkou icmp echo, váš počítač bude icmp echo ignorovať, a preto osoba, ktorá sa pokúša otestovať pripojenie, dostane Typ odpovede „zdá sa, že hostiteľ nefunguje alebo blokuje sondy ping“, ale ak niekto sleduje sieť pomocou aplikácie airodump alebo podobného nástroja, bude vidieť, že ste pripojení, pretože tieto nástroje analyzujú pakety, ktoré sa odosielajú do AP alebo prijaté od AP
Je potrebné poznamenať, že je to len dočasné, po reštartovaní vášho počítača bude znova dostávať pingy, aby bol permanentný, s ohľadom na prvý trik nakonfigurujte súbor /etc/sysctl.conf a na konci pridajte net.ipv4.icmp_echo_ignore_all = 1 as ohľadom Druhý tip je podobný, ale dlhší “(Save Iptables Conf, vytvoriť skript rozhrania, ktorý sa vykoná pri štarte systému, atď.)
Ahoj. Môže byť niečo zle? alebo co to moze byt pretože v ubuntu taký súbor nie je ......
Bolo to bezchybné ako vždy.
Malé pozorovanie, keď zatváranie nano nie je rýchlejšie, Ctrl + X a potom výstup pomocou Y alebo S.
Úcty
Vynikajúci tip, @KZKG, ten istý tip používam aj medzi mnohými inými, aby som zlepšil zabezpečenie svojho počítača a dvoch serverov, s ktorými pracujem, ale aby som sa vyhol pravidlu iptables, používam sysctl a jeho konfiguráciu priečinkov / etc / sysctl. d / so súborom, ku ktorému pripojím potrebné príkazy tak, aby sa pri každom reštarte načítali a môj systém bootoval so všetkými už upravenými hodnotami.
V prípade použitia tejto metódy stačí vytvoriť súbor XX-local.conf (XX môže byť číslo od 1 do 99, mám ho za 50) a napísať:
net.ipv4.icmp_echo_ignore_all = 1
S tým majú rovnaký výsledok.
Celkom jednoduché riešenie, vďaka
Aké ďalšie príkazy máte v danom súbore?
Týmto spôsobom je možné použiť akýkoľvek príkaz, ktorý súvisí s premennými sysctl a je možné s ním manipulovať prostredníctvom sysctl.
Ak chcete zobraziť rôzne hodnoty, ktoré môžete zadať do typu sysctl vo vašom termináli sysctl -a
V openSUSE sa mi to nepodarilo upraviť.
Dobre.
Ďalším rýchlejším spôsobom by bolo použitie sysctl
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
Ako už bolo povedané, v službe IPTABLES môžete tiež odmietnuť žiadosť o príkaz ping na všetko:
iptables -A VSTUP -p icmp -j KAPKA
Teraz, ak chceme odmietnuť akúkoľvek žiadosť okrem konkrétnej, môžeme to urobiť nasledujúcim spôsobom:
Deklarujeme premenné:
IFEXT = 192.168.16.1 #my IP
POVOLENÉ IP = 192.168.16.5
iptables -A VSTUP -i $ IFEXT -s $ AUTORIZOVANÉ IP -p icmp -m icmp –icmp typ echo-požiadavka -m dĺžka –dĺžka 28: 1322 -m limit –limit 2 / sec –limit-burst 4 -j ACCEPT
Týmto spôsobom autorizujeme iba tú IP na pingovanie nášho PC (ale s obmedzeniami).
Dúfam, že je to pre vás užitočné.
Salu2
Páni, rozdiely medzi používateľmi, zatiaľ čo my používatelia Windows hovoríme o tom, ako hrať svätožiaru alebo zlo v Linuxe, nudí svet takými vecami.
A preto Windowseros potom vie iba hrať, zatiaľ čo Linuxeros sú tí, ktorí skutočne vedia pokročilú správu OS, sietí atď.
Ďakujeme, že ste nás navštívili 😀
Coordiales Zdravím
Téma je veľmi užitočná a do istej miery pomáha.
Ďakujem.
keď sa to okná dozvedia, uvidíš, že sa zbláznili
v iptables ze musis dat ip do IMPUT a do DROP nieco ine?