เกี่ยวกับคำสั่ง ping
ผ่านโปรโตคอล ICMP นั่นคือคำสั่งยอดนิยม ปิง เราสามารถรู้ได้ว่าคอมพิวเตอร์บางเครื่องยังมีชีวิตอยู่บนเครือข่ายหรือไม่ถ้าเรามีเส้นทางฉันก็เดินไปหามัน
จนถึงตอนนี้ดูเหมือนว่าจะมีประโยชน์และอย่างไรก็ตามเช่นเดียวกับเครื่องมือหรือแอปพลิเคชันที่ดีหลายอย่างสามารถใช้เพื่อวัตถุประสงค์ที่เป็นอันตรายเช่น DDoS พร้อม ping ซึ่งสามารถแปลเป็น 100.000 คำขอโดยใช้ ping ต่อนาทีหรือต่อวินาทีซึ่งอาจทำให้เกิดความผิดพลาด จบคอมพิวเตอร์หรือเครือข่ายของเรา
เป็นไปได้ว่าในบางครั้งเราต้องการให้คอมพิวเตอร์ของเราไม่ตอบสนองต่อคำขอ ping จากผู้อื่นบนเครือข่ายนั่นคือดูเหมือนว่าจะไม่เชื่อมต่อด้วยเหตุนี้เราจึงต้องปิดใช้งานการตอบสนองโปรโตคอล ICMP ในระบบของเรา
วิธีตรวจสอบว่าเราเปิดใช้งานตัวเลือกการตอบกลับ ping หรือไม่
มีไฟล์ในระบบของเราที่ช่วยให้เรากำหนดด้วยวิธีที่ง่ายมากหากเราเปิดใช้งานการตอบสนอง ping หรือไม่นั่นคือ: / proc / sys / net / ipv4 / icmp_echo_ignore_all
หากไฟล์นั้นมี 0 (ศูนย์) ใครก็ตามที่ส่ง Ping ถึงเราจะได้รับการตอบสนองทุกครั้งที่คอมพิวเตอร์ของเราออนไลน์อย่างไรก็ตามหากเราใส่ 1 (หนึ่ง) ก็ไม่สำคัญว่าพีซีของเราจะเชื่อมต่ออยู่หรือไม่ก็จะ ดูเหมือนจะไม่เป็น
กล่าวอีกนัยหนึ่งด้วยคำสั่งต่อไปนี้เราจะแก้ไขไฟล์นั้น:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
เราเปลี่ยนไฟล์ 0 สำหรับ 1 และเรากด [Ctrl] + [O] เพื่อบันทึกจากนั้นกด [Ctrl] + [X] เพื่อออก
พร้อมแล้วคอมพิวเตอร์ของเราไม่ตอบสนองต่อ ping ของผู้อื่น
ทางเลือกอื่นในการป้องกันตัวเราเองจากการโจมตีแบบ ping
อีกทางเลือกหนึ่งคือการใช้ไฟร์วอลล์โดยใช้ไฟล์ iptables นอกจากนี้ยังสามารถทำได้โดยไม่ต้องยุ่งยาก:
sudo iptables -A INPUT -p icmp -j DROP
จากนั้นโปรดจำไว้ว่ากฎ iptables จะถูกล้างเมื่อคอมพิวเตอร์รีสตาร์ทเราต้องบันทึกการเปลี่ยนแปลงด้วยวิธีการบันทึก iptables และ iptables-restore หรือโดยการสร้างสคริปต์เอง
และนี่ก็เป็นเช่นนั้น🙂
ผลงานที่ยอดเยี่ยม บอกฉันว่ามันจะช่วยหลีกเลี่ยงคำขอตัดการเชื่อมต่อหรือไม่ ??? เช่นเมื่อพวกเขาต้องการแตกเครือข่ายโดยใช้ aircrack-ng ฉันพูดเพราะหากเห็นได้ชัดว่าเราถูกตัดการเชื่อมต่อพวกเขาจะไม่สามารถส่งคำขอดังกล่าวถึงเราได้ ขอบคุณสำหรับข้อมูล
วิธีนี้ใช้ไม่ได้ผลจะบล็อกเฉพาะการตอบสนอง icmp echo ดังนั้นหากมีคนต้องการทดสอบการเชื่อมต่อกับ icmp echo request คอมพิวเตอร์ของคุณจะไม่สนใจ icmp echo ดังนั้นผู้ที่พยายามทดสอบการเชื่อมต่อจะได้รับ ประเภทการตอบสนอง "โฮสต์ดูเหมือนจะหยุดทำงานหรือปิดกั้นโพรบ ping" แต่ถ้ามีคนตรวจสอบเครือข่ายด้วย airodump หรือเครื่องมือที่คล้ายกันพวกเขาจะสามารถเห็นว่าคุณเชื่อมต่ออยู่เนื่องจากเครื่องมือเหล่านี้กำลังวิเคราะห์แพ็กเก็ตที่ส่งไป AP หรือได้รับจาก AP
ควรสังเกตว่ามันเป็นเพียงชั่วคราวหลังจากรีสตาร์ทพีซีของคุณมันจะได้รับ pings อีกครั้งเพื่อให้เป็นแบบถาวรตามเคล็ดลับแรกกำหนดค่าไฟล์ /etc/sysctl.conf และในตอนท้ายให้เพิ่ม net.ipv4 icmp_echo_ignore_all = 1 และด้วยความเคารพเคล็ดลับที่สองคล้ายกัน แต่ยาวกว่า "(บันทึก Iptables Conf สร้างสคริปต์อินเทอร์เฟซที่ดำเนินการเมื่อระบบเริ่มทำงานและสิ่งต่างๆ)
สวัสดี. อาจมีบางอย่างผิดปกติ? หรือมันจะเป็นอะไร? เนื่องจากใน ubuntu ไม่มีไฟล์ดังกล่าว ......
มันไม่มีที่ติเช่นเคย
ข้อสังเกตเล็กน้อยเมื่อปิด nano ไม่ได้เร็วขึ้น Ctrl + X แล้วออกด้วย Y หรือ S
ประการ
เคล็ดลับที่ยอดเยี่ยม @KZKG ฉันใช้เคล็ดลับเดียวกันกับคนอื่น ๆ เพื่อปรับปรุงความปลอดภัยของพีซีของฉันและเซิร์ฟเวอร์สองเครื่องที่ฉันทำงานด้วย แต่เพื่อหลีกเลี่ยงกฎ iptables ฉันใช้ sysctl และโฟลเดอร์ของการกำหนดค่า / etc / sysctl .d / พร้อมไฟล์ที่ฉันแนบคำสั่งที่จำเป็นเพื่อให้ในการรีสตาร์ทแต่ละครั้งจะถูกโหลดและระบบของฉันจะบู๊ตด้วยค่าทั้งหมดที่แก้ไขแล้ว
ในกรณีของการใช้วิธีนี้เพียงสร้างไฟล์ XX-local.conf (XX สามารถเป็นตัวเลขตั้งแต่ 1 ถึง 99 ฉันมีเป็น 50) และเขียน:
net.ipv4.icmp_echo_ignore_all = 1
ด้วยเหตุนี้พวกเขาจึงได้ผลลัพธ์เดียวกัน
วิธีแก้ปัญหาที่ค่อนข้างง่ายขอบคุณ
คุณมีคำสั่งอะไรอีกบ้างในไฟล์นั้น?
คำสั่งใด ๆ ที่เกี่ยวข้องกับตัวแปร sysctl และสามารถจัดการผ่าน sysctl ได้ด้วยวิธีนี้
หากต้องการดูค่าต่างๆที่คุณสามารถป้อนให้กับประเภท sysctl ใน terminal sysctl -a
ใน openSUSE ฉันไม่สามารถแก้ไขได้
ดี
อีกวิธีที่เร็วกว่าคือการใช้ sysctl
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
ตามที่กล่าวไว้ใน IPTABLES คุณสามารถปฏิเสธคำขอ ping สำหรับทุกสิ่งได้โดย:
iptables -A อินพุต -p icmp -j DROP
ตอนนี้หากเราต้องการปฏิเสธคำขอใด ๆ ยกเว้นคำขอที่เจาะจงเราสามารถทำได้ด้วยวิธีต่อไปนี้:
เราประกาศตัวแปร:
IFEXT = 192.168.16.1 # ของฉัน IP
IP ที่ได้รับอนุญาต = 192.168.16.5
iptables -A INPUT -i $ IFEXT -s $ AUTHORIZED IP -p icmp -m icmp –icmp-type echo-request -m length –length 28: 1322 -m limit –limit 2 / sec –limit-burst 4 -j ACCEPT
ด้วยวิธีนี้เราอนุญาตเฉพาะ IP นั้นในการ ping พีซีของเรา (แต่มีขีด จำกัด )
ฉันหวังว่ามันจะเป็นประโยชน์กับคุณ
Salu2
ว้าวความแตกต่างระหว่างผู้ใช้ในขณะที่ windowseros พูดถึงวิธีการเล่น halo หรือความชั่วร้ายภายใน Linux ทำให้โลกน่าเบื่อด้วยสิ่งนี้
และนั่นคือเหตุผลที่ Windowseros รู้วิธีการเล่นเท่านั้นในขณะที่ Linuxeros เป็นผู้ที่รู้จักการดูแลระบบปฏิบัติการเครือข่ายและอื่น ๆ ขั้นสูง
ขอบคุณสำหรับการเยี่ยมชมของคุณ😀
ทักทายผู้ประสานงาน
ธีมของมีประโยชน์มากและช่วยได้ในระดับหนึ่ง
ขอบคุณ
เมื่อหน้าต่างพบเกี่ยวกับสิ่งนี้คุณจะเห็นว่ามันบ้าไปแล้ว
ใน iptables ที่คุณต้องใส่ ip ใน IMPUT และอย่างอื่นใน DROP?