Rreth komandës ping
Përmes protokollit ICMP, domethënë komandës popullore ping Ne mund ta dimë nëse një kompjuter i caktuar është gjallë në rrjet, nëse kemi rrugë, unë shkoj tek ai pa probleme.
Deri më tani duket e dobishme dhe është, megjithatë si shumë mjete ose aplikacione të mira, mund të përdoret për qëllime të dëmshme, për shembull një DDoS me ping, i cili mund të përkthehet në 100.000 kërkesa me ping në minutë ose në sekondë, i cili mund të rrëzojë kompjuteri përfundimtar ose rrjeti ynë.
Sido që të jetë, në raste të caktuara ne duam që kompjuteri ynë të mos u përgjigjet kërkesave ping nga të tjerët në rrjet, domethënë të duket se nuk është i lidhur, për këtë ne duhet të çaktivizojmë përgjigjen e protokollit ICMP në sistemin tonë.
Si të verifikojmë nëse e kemi mundësuar opsionin e përgjigjes ping
Ekziston një skedar në sistemin tonë që na lejon të përcaktojmë në një mënyrë jashtëzakonisht të thjeshtë, nëse kemi mundësuar ose jo përgjigjen e pingut, ajo është: / proc / sys / net / ipv4 / icmp_echo_ignore_all
Nëse ajo skedar përmban një 0 (zero), atëherë kushdo që na godet do të marrë një përgjigje sa herë që kompjuteri ynë është në internet, megjithatë, nëse vendosim një 1 (një) atëherë nuk ka rëndësi nëse kompjuteri ynë është i lidhur apo jo, ai do të duket se nuk janë.
Me fjalë të tjera, me komandën e mëposhtme ne do të editojmë atë skedar:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
Ne ndryshojmë 0 për një 1 dhe ne shtypim [Ctrl] + [O] për të ruajtur, dhe pastaj [Ctrl] + [X] për të dalë.
Gati, kompjuteri ynë NUK i përgjigjet ping-ut të të tjerëve.
Alternativa për të mbrojtur veten nga sulmet ping
Një tjetër alternativë është padyshim përdorimi i një firewall, përdorimi iptables gjithashtu mund të bëhet pa shumë sherr:
sudo iptables -A INPUT -p icmp -j DROP
Atëherë mos harroni, rregullat e iptables pastrohen kur kompjuteri rindizet, ne duhet të ruajmë ndryshimet me ndonjë metodë, ose përmes iptables-save dhe iptables-restore, ose duke bërë vetë një skenar.
Dhe kjo ka qenë ajo
kontribut i shkëlqyeshëm. Më thuaj, a do të shërbente për të shmangur kërkesat për shkyçje ??? si kur ata duan të thyejnë rrjetin duke përdorur aircrack-ng. Unë them sepse nëse me sa duket jemi jashtë linje ata nuk do të jenë në gjendje të na dërgojnë kërkesa të tilla. Faleminderit për kontributin
Nuk funksionon në atë mënyrë, kjo bllokon vetëm përgjigjen e echo të icmp, kështu që nëse dikush dëshiron të provojë lidhjen me një kërkesë të echo icmp kompjuteri juaj do ta injorojë echo icmp dhe për këtë arsye personi që po përpiqet të provojë lidhjen do të marrë një Lloji i përgjigjes "pritësi duket se është i fikur ose bllokon sondat ping", por nëse dikush po monitoron rrjetin me airodump ose ndonjë mjet të ngjashëm, ata do të jenë në gjendje të shohin që ju jeni i lidhur sepse këto mjete janë duke analizuar paketat që dërgohen në AP ose marrë nga AP
Duhet të theksohet se është vetëm e përkohshme, pasi të rinisni kompjuterin tuaj, ajo do të marrë përsëri pings, për ta lënë atë të përhershme, në lidhje me mashtrimin e parë konfiguroni skedarin /etc/sysctl.conf dhe në fund shtoni net.ipv4.icmp_echo_ignore_all = 1 dhe me respekt Këshilla e dytë është e ngjashme, por më shumë "Long" (Ruaj Iptables Conf, bëj një skenar ndërfaqe që funksionon kur fillon sistemi, dhe gjëra të tjera)
Pershendetje A mund të jetë diçka e gabuar? apo çfarë mund të jetë? sepse në ubuntu nuk ka asnjë skedar të tillë ......
Ishte pa të meta si gjithmonë.
Një vëzhgim i vogël, kur mbyllni nano nuk është më i shpejtë Ctrl + X dhe pastaj dilni me Y ose S
Respekton
Këshillë e shkëlqyeshme, @KZKG, unë përdor të njëjtën këshillë midis shumë të tjerëve në mënyrë që të përmirësoj sigurinë e PC tim dhe të dy serverëve me të cilët punoj, por për të shmangur rregullin e iptables, unë përdor sysctl dhe konfigurimin e dosjes / etj / sysctl. d / me një skedar të cilit i bashkëngjis komandat e nevojshme në mënyrë që me çdo rindezje të ngarkohen dhe sistemi im të çizmohet me të gjitha vlerat e modifikuara tashmë.
Në rastin e përdorimit të kësaj metode, thjesht krijoni një skedar XX-local.conf (XX mund të jetë një numër nga 1 në 99, unë e kam atë në 50) dhe shkruaj:
net.ipv4.icmp_echo_ignore_all = 1
Tashmë me atë ata kanë të njëjtin rezultat.
Zgjidhje mjaft e thjeshtë, faleminderit
Çfarë komandash të tjera keni në atë skedar?
Çdo komandë që ka të bëjë me ndryshoret sysctl dhe mund të manipulohet përmes sysctl mund të përdoret në këtë mënyrë.
Për të parë vlerat e ndryshme që mund të futni në llojin sysctl në terminalin tuaj sysctl -a
Në openSUSE nuk kam qenë në gjendje ta redaktoj atë.
Të mirë.
Një mënyrë tjetër më e shpejtë do të ishte përdorimi i sysctl
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
Siç u tha, në IPTABLES ju gjithashtu mund të refuzoni një kërkesë ping për gjithçka duke:
iptables -A HYRJE -p icmp -j DROP
Tani, nëse duam të refuzojmë ndonjë kërkesë përveç një kërkese specifike, mund ta bëjmë në mënyrën vijuese:
Ne deklarojmë variablat:
IFEXT = 192.168.16.1 # IP-ja ime
IP E AUTORIZUAR = 192.168.16.5
iptables -A INPUT -i $ IFEXT -s $ AUTORIZUAR IP -p icmp -m icmp-kërkesë echo-tip i llojit -mpmp gjatësi -m gjatësi 28: 1322 -m limit –limit 2 / sek –limit-shpërthim 4 -j PRANIMI
Në këtë mënyrë ne autorizojmë vetëm atë IP për të ping PC-në tonë (por me kufij).
Shpresoj të jetë e dobishme për ju.
Salu2
Wow, ndryshimet midis përdoruesve, ndërsa windowseros flasin se si të luajnë halo ose të keqen brenda Linux duke mërzitur botën me gjëra të tilla.
Dhe kjo është arsyeja pse Windowseros atëherë di vetëm të luajë, ndërsa Linuxeros janë ata që dinë me të vërtetë administrim të përparuar të OS, rrjeteve, etj.
Faleminderit që na bëtë vizitën tuaj
Përshëndetje Coordiales
Tema e është shumë e dobishme dhe ndihmon deri diku.
Ju faleminderit.
kur dritaret të mësojnë për këtë do të shihni se ato çmenden
në iptables që duhet të vendosni ip në IMPUT dhe diçka tjetër në DROP?