O ukazu ping
Preko protokola ICMP, torej priljubljenega ukaza ping lahko vemo, ali je določen računalnik živ v omrežju, če imamo poti, lahko brez težav hodim do njega.
Zaenkrat se zdi koristno, vendar se lahko, tako kot številna dobra orodja ali aplikacije, uporablja v škodljive namene, na primer DDoS s pingom, kar lahko pretvori v 100.000 zahtev s pingom na minuto ali na sekundo, zruši končni računalnik ali naše omrežje.
Kakor koli že, ob določenih priložnostih želimo, da se naš računalnik ne odziva na zahteve za ping drugih v omrežju, to pomeni, da ni povezan, zato moramo v našem sistemu onemogočiti odziv protokola ICMP.
Kako preveriti, ali smo omogočili možnost ping odziva
V našem sistemu je datoteka, ki nam omogoča, da jo določimo na zelo preprost način, če smo omogočili odziv ping ali ne, je: / proc / sys / net / ipv4 / icmp_echo_ignore_all
Če ta datoteka vsebuje 0 (nič), bo vsak, ki nas pinga, prejel odgovor, kadar koli bo naš računalnik povezan, vendar če damo 1 (eno), potem ni vseeno, ali je naš računalnik povezan ali ne, zdi se, da ni.
Z drugimi besedami, z naslednjim ukazom bomo uredili to datoteko:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
Spreminjamo 0 za a 1 in pritisnemo [Ctrl] + [O], da shranimo, in nato [Ctrl] + [X] za izhod.
Pripravljen, naš računalnik se NE odziva na ping drugih.
Alternative za zaščito pred ping napadi
Druga možnost je očitno uporaba požarnega zidu, uporaba iptables lahko tudi brez večjih težav:
sudo iptables -A INPUT -p icmp -j DROP
Nato ne pozabite, da se pravila iptables očistijo ob ponovnem zagonu računalnika, spremembe moramo po neki metodi shraniti bodisi s pomočjo iptables-save in iptables-restore, bodisi tako, da sami naredimo skript.
In to je bilo to 🙂
odličen prispevek. Povejte mi, ali bi se to izognilo prošnjam za odklop ??? na primer, ko želijo razbiti omrežje s pomočjo aircrack-ng. Pravim, ker nam očitno ne bo mogel poslati takšnih zahtev, če bomo očitno odklopljeni. Hvala za prispevek
To ne deluje tako, to samo blokira odziv icmp echo, zato, če nekdo želi preizkusiti povezavo z zahtevo icmp echo, bo računalnik ignoriral icmp echo ignoriranje in zato bo oseba, ki poskuša preizkusiti povezavo, prejela odgovor tipa "zdi se, da gostitelj ne deluje ali blokira ping sonde", če pa nekdo nadzoruje omrežje z airodump ali kakšnim podobnim orodjem, bo lahko videl, da ste povezani, ker ta orodja analizirajo pakete, ki so poslani v dostopno točko ali prejeti od AP
Treba je opozoriti, da je le začasno, po ponovnem zagonu računalnika bo znova prejel pinge, da bo trajen, glede na prvi trik konfigurirajte datoteko /etc/sysctl.conf in na koncu dodajte net.ipv4.icmp_echo_ignore_all = 1 in s spoštovanjem Drugi namig je podoben, vendar bolj "dolg" (Save Iptables Conf, naredite vmesniški skript, ki se zažene ob zagonu sistema, in podobno)
Živjo. Je lahko kaj narobe? ali kaj bi lahko bilo? ker v ubuntuju ni take datoteke ......
Bilo je brezhibno kot vedno.
Majhno opazovanje, ko zapiranje nano ni hitrejše Ctrl + X in nato zapustite z Y ali S
Spoštovanja
Odličen namig, @KZKG, isti namig uporabljam med številnimi drugimi, da bi izboljšal varnost svojega računalnika in dveh strežnikov, s katerimi delam, toda da bi se izognil pravilu iptables, uporabljam sysctl in njegovo mapo config /etc/sysctl.d/ z datoteko, ki ji pripišem potrebne ukaze, tako da se ob vsakem ponovnem zagonu naložijo in se moj sistem zažene z vsemi že spremenjenimi vrednostmi.
V primeru uporabe te metode preprosto ustvarite datoteko XX-local.conf (XX je lahko številka od 1 do 99, imam jo v 50) in napišite:
net.ipv4.icmp_echo_ignore_all = 1
Že s tem imajo enak rezultat.
Precej preprosta rešitev, hvala
Katere druge ukaze imate v tej datoteki?
Na ta način se lahko uporabi kateri koli ukaz, ki je povezan s spremenljivkami sysctl in je z njim mogoče upravljati prek sysctl.
Če si želite ogledati različne vrednosti, ki jih lahko vnesete v vrsto sysctl v terminalu sysctl -a
V openSUSE ga nisem mogel urediti.
Dobro.
Drug hitrejši način bi bila uporaba sysctl
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
Kot rečeno, lahko v IPTABLES zavrnete tudi zahtevo za ping za vse tako, da:
iptables -A VHOD -p icmp -j DROP
Če želimo zavrniti katero koli zahtevo, razen določene, lahko to storimo na naslednji način:
Deklariramo spremenljivke:
IFEXT = 192.168.16.1 #my IP
DOVOLJENI IP = 192.168.16.5
iptables -A INPUT -i $ IFEXT -s $ AUTHORIZED IP -p icmp -m icmp –icmp-type echo-request -m length -length 28: 1322 -m limit -limit 2 / sec -limit-burst 4 -j ACCEPT
Na ta način dovoljujemo le ta IP, da pinguje naš računalnik (vendar z omejitvami).
Upam, da je koristno za vas.
Salu2
Vau, razlike med uporabniki, medtem ko windowsseros govorijo o tem, kako igrati halo ali zlo znotraj Linuxa, ki s takimi stvarmi dolgočasi svet.
In zato Windowseros takrat zna samo igrati, medtem ko so Linuxeros tisti, ki resnično poznajo napredno upravljanje OS, omrežij itd.
Zahvaljujemo se vam za obisk 😀
Coordiales Lep pozdrav
Tema je zelo koristna in do neke mere pomaga.
Hvala.
ko bodo okna izvedela za to, boste videli, da se jim zmeša
v iptables, da moraš ip vstaviti v IMPUT in v DROP kaj drugega?