О наредби пинг
Кроз ИЦМП протокол, односно популарну команду пинг можемо знати да ли је одређени рачунар жив на мрежи, ако имамо руте, могу без проблема да дођем до њега.
До сада се чини корисним и, међутим, као и многи добри алати или апликације, може се користити у штетне сврхе, на пример ДДоС са пингом, што може превести у 100.000 захтева са пингом у минути или у секунди, што би могло сруши крајњи рачунар или нашу мрежу.
Било како било, у одређеним приликама желимо да наш рачунар не реагује на захтеве за пинг од других на мрежи, односно чини се да није повезан, зато морамо онемогућити одговор ИЦМП протокола у нашем систему.
Како да проверимо да ли смо омогућили опцију пинг одговора
У нашем систему постоји датотека која нам омогућава да дефинишемо на крајње једноставан начин, ако је пинг одговор омогућен или не, то је: / проц / сис / нет / ипв4 / ицмп_ецхо_игноре_алл
Ако та датотека садржи 0 (нула), свако ко нас пингује добиће одговор кад год је наш рачунар на мрежи, међутим, ако ставимо 1 (један), онда није важно да ли је наш рачунар повезан или није, чиниће се да није.
Другим речима, следећом наредбом ћемо уредити ту датотеку:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
Мењамо 0 фор а 1 и притиснемо [Цтрл] + [О] да сачувамо, а затим [Цтрл] + [Кс] да изађемо.
Спремни, наш рачунар НЕ реагује на пинг других.
Алтернативе да се заштитимо од пинг напада
Друга алтернатива је очигледно коришћење заштитног зида, коришћење iptables то се може учинити и без пуно муке:
sudo iptables -A INPUT -p icmp -j DROP
Затим запамтите, правила иптаблес се чисте када се рачунар поново покрене, морамо помоћу неке методе сачувати промене, било путем иптаблес-саве и иптаблес-ресторе, као и сами креирајући скрипту.
И то је било то 🙂
одличан допринос. Реците ми, да ли би то служило за избегавање захтева за искључење ??? као када желе да разбију мрежу користећи аирцрацк-нг. Кажем, јер ако очигледно будемо искључени, неће моћи да нам шаљу такве захтеве. Хвала на уносу
То не функционише на тај начин, ово само блокира ицмп ецхо одговор, па ако неко жели да тестира везу са ицмп ецхо захтевом, ваш рачунар ће ицмп ецхо игнорисати и стога ће особа која покушава да тестира везу добити Тип одговора „чини се да домаћин не ради или блокира пинг сонде“, али ако неко надгледа мрежу помоћу аиродумп-а или неког сличног алата, моћи ће да види да сте повезани јер ти алати анализирају пакете који се шаљу на АП или примљен од АП
Треба имати на уму да је привремен, након поновног покретања рачунара добиће поново пингове, како би га учинио трајним, у односу на први трик конфигуришите датотеку /етц/сисцтл.цонф и на крају додајте нет.ипв4.ицмп_ецхо_игноре_алл = 1 и с поштовањем Други савет је сличан, али „Дужи“ (Саве Иптаблес Цонф, направите скрипту интерфејса која се покреће кад се систем покрене и остало)
Здраво. Може ли нешто бити лоше? или шта би то могло бити? јер у убунту нема такве датотеке ......
Било је беспрекорно као и увек.
Мало запажање, приликом затварања нано-а није брже Цтрл + Кс, а затим изађите са И или С
Поштовање
Одличан савет, @КЗКГ, исти исти користим међу многим другима да бих побољшао безбедност свог рачунара и два сервера са којима радим, али да бих избегао правило иптаблес, користим сисцтл и његову фасциклу конфигурација /етц/сисцтл.д/ са датотеком којој придајем потребне наредбе тако да се са сваким поновним покретањем учитавају и мој систем покреће са свим вредностима које су већ измењене.
У случају коришћења ове методе, само креирајте датотеку КСКС-лоцал.цонф (КСКС може бити број од 1 до 99, имам је у 50) и напишите:
нет.ипв4.ицмп_ецхо_игноре_алл = 1
Уз то, они већ имају исти резултат.
Прилично једноставно решење, хвала
Које још наредбе имате у тој датотеци?
Свака наредба која има везе са сисцтл променљивим и којом се може манипулисати путем сисцтл-а може се користити на овај начин.
Да бисте видели различите вредности које можете унети у сисцтл, упишите у терминал сисцтл -а
У опенСУСЕ нисам успео да га уредим.
Добро.
Још један бржи начин био би коришћење сисцтл-а
#сисцтл -в нет.ипв4.ицмп_ецхо_игноре_алл = 1
Као што је речено, у ИПТАБЛЕС такође можете одбити захтев за пинг за све тако што ћете:
иптаблес -А ИНПУТ -п ицмп -ј ДРОП
Ако желимо да одбијемо било који захтев осим одређеног, то можемо учинити на следећи начин:
Декларишемо променљиве:
ИФЕКСТ = 192.168.16.1 # мој ИП
ОВЛАШЋЕНИ ИП = 192.168.16.5
иптаблес -А ИНПУТ -и $ ИФЕКСТ -с $ АУТХОРИЗЕД ИП -п ицмп -м ицмп –ицмп-типе ецхо-рекуест -м ленгтх -ленгтх 28: 1322 -м лимит -лимит 2 / сец -лимит-бурст 4 -ј АЦЦЕПТ
На овај начин овлашћујемо само ту ИП адресу да пингује наш рачунар (али са ограничењима).
Надам се да ће вам бити од користи.
СалуКСНУМКС
Вов, разлике између корисника, док виндовсерос говоре о томе како играти хало или зло у Линуку досадно свету оваквим стварима.
И зато Виндовсерос тада зна само да игра, док су Линукерос ти који заиста познају напредну администрацију ОС-а, мрежа итд.
Хвала вам што сте нас посетили 😀
Цоордиалес Поздрав
Тема је веома корисна и помало помаже.
Хвала.
кад прозори сазнају за ово видећете да су полудели
у иптаблес да морате да ставите ип у ИМПУТ и нешто друго у ДРОП?