Tungkol sa utos ng ping
Sa pamamagitan ng ICMP protocol, iyon ay, ang tanyag na utos i-ping Malalaman natin kung ang isang tiyak na computer ay buhay sa network, kung mayroon kaming mga ruta, lumalakad ako dito nang walang mga problema.
Sa ngayon mukhang kapaki-pakinabang ito at, gayunpaman tulad ng maraming magagandang tool o aplikasyon, maaari itong magamit para sa mga nakakapinsalang layunin, halimbawa ng isang DDoS na may ping, na maaaring isalin sa 100.000 mga kahilingan na may ping per minuto o bawat segundo, na maaaring mag-crash ng tapusin ang computer o ang aming network.
Maging ganoon, sa ilang mga pagkakataong nais naming hindi tumugon ang aming computer sa mga kahilingan sa ping mula sa iba sa network, iyon ay, upang lumitaw na hindi konektado, para dito dapat nating huwag paganahin ang tugon ng ICMP protocol sa aming system.
Paano mapatunayan kung pinagana namin ang pagpipiliang tugon sa ping
Mayroong isang file sa aming system na nagpapahintulot sa amin na tukuyin sa isang napaka-simpleng paraan, kung pinagana namin ang tugon ng ping o hindi, ito ay: / proc / sys / net / ipv4 / icmp_echo_ignore_all
Kung ang file na iyon ay naglalaman ng isang 0 (zero), kung gayon ang sinumang mag-ping sa amin ay makakakuha ng tugon tuwing online ang aming computer, subalit, kung maglalagay tayo ng 1 (isa) kung gayon hindi mahalaga kung nakakonekta ang ating PC o hindi, lilitaw ito na hindi.
Sa madaling salita, sa sumusunod na utos mai-e-edit namin ang file na iyon:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
Binabago namin ang 0 para sa a 1 at pinindot namin ang [Ctrl] + [O] upang makatipid, at pagkatapos ay [Ctrl] + [X] upang lumabas.
Handa na, ang aming computer ay HINDI tumutugon sa ping ng iba.
Mga kahalili upang maprotektahan ang ating sarili mula sa mga pag-atake ng ping
Ang isa pang kahalili ay malinaw na gumagamit ng isang firewall, gamit iptables maaari mo ring gawin nang walang gulo:
sudo iptables -A INPUT -p icmp -j DROP
Pagkatapos tandaan, ang mga patakaran ng iptables ay nalilinis kapag ang computer ay nai-restart, kailangan namin sa pamamagitan ng ilang pamamaraan i-save ang mga pagbabago, alinman sa pamamagitan ng iptables-save at iptables-restore, o sa pamamagitan ng paggawa ng isang script mismo.
At ito na ang nangyari 🙂
mahusay na kontribusyon. Sabihin mo sa akin, magsisilbi ba ito upang maiwasan ang mga kahilingan para sa pag-disconnect ??? tulad ng kung nais nilang basagin ang network gamit ang aircrack-ng. Sinabi ko sapagkat kung maliwanag na naka-disconnect kami ay hindi sila maaaring magpadala sa amin ng mga nasabing kahilingan. Salamat sa input
Hindi ito gumana sa ganoong paraan, hinaharangan lamang nito ang tugon ng echo ng icmp, kaya kung nais ng isang tao na subukan ang koneksyon sa isang icmp echo na kahilingan ang iyong computer ay gagawin icmp echo huwag pansinin at samakatuwid ang tao na sumusubok na subukan ang koneksyon ay makakakuha ng isang Ang uri ng tugon na "host ay tila nakababa o nagba-block ng mga ping probe", ngunit kung may sinusubaybayan ang network na may airodump o ilang katulad na tool, makikita nila na nakakonekta ka dahil sinusuri ng mga tool na ito ang mga packet na ipinadala sa AP o natanggap mula sa AP
Dapat pansinin na pansamantala lamang ito, pagkatapos ng pag-restart ng iyong pc makakatanggap ulit ito ng mga ping, upang gawing permanente, na patungkol sa unang trick na i-configure ang /etc/sysctl.conf file at sa dulo magdagdag ng net.ipv4.icmp_echo_ignore_all = 1 at may paggalang Ang pangalawang tip ay magkatulad ngunit "Mas Mahaba" (I-save ang Iptables Conf, gumawa ng isang interface ng script up na tumatakbo kapag nagsimula ang system, at mga bagay-bagay)
Hi Maaari bang may mali? o ano ito? dahil sa ubuntu walang ganoong file ......
Ito ay walang kapintasan tulad ng lagi.
Ang isang maliit na pagmamasid, kapag ang pagsasara ng nano ay hindi mas mabilis Ctrl + X at pagkatapos ay lumabas gamit ang Y o S
Paggalang
Mahusay na tip, @KZKG, gumagamit ako ng parehong tip sa maraming iba pa upang mapabuti ang seguridad ng aking PC at ang dalawang mga server na nakikipagtulungan ako, ngunit upang maiwasan ang panuntunan sa iptables, gumagamit ako ng sysctl at ang folder ng pagsasaayos / etc / sysctl. d / kasama ang isang file kung saan ikinakabit ko ang mga kinakailangang utos upang sa bawat pag-restart ay mai-load ang mga ito at ang aking system ay bota ng lahat ng mga halagang nabago na.
Sa kaso ng paggamit ng pamamaraang ito, lumikha lamang ng isang file XX-local.conf (Ang XX ay maaaring isang numero mula 1 hanggang 99, mayroon ako nito sa 50) at isulat:
net.ipv4.icmp_echo_ignore_all = 1
Sa na mayroon silang parehong resulta.
Medyo simpleng solusyon, salamat
Ano ang iba pang mga utos na mayroon ka sa file na iyon?
Ang anumang utos na may kinalaman sa mga variable ng sysctl at maaaring manipulahin sa pamamagitan ng sysctl ay maaaring magamit sa ganitong paraan.
Upang makita ang iba't ibang mga halagang maaari mong ipasok sa uri ng sysctl sa iyong terminal sysctl a
Sa openSUSE hindi ko nagawang i-edit ito.
Mabuti.
Ang isa pang mas mabilis na paraan ay ang paggamit ng sysctl
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
Tulad ng sinabi, sa IPTABLES maaari mo ring tanggihan ang isang kahilingan sa ping para sa lahat sa pamamagitan ng:
iptables -A INPUT -p icmp -j DROP
Ngayon, kung nais naming tanggihan ang anumang kahilingan maliban sa isang tukoy na kahilingan, magagawa natin ito sa sumusunod na paraan:
Ipinahayag namin ang mga variable:
IFEXT = 192.168.16.1 #my IP
AUTHORIZED IP = 192.168.16.5
iptables -A INPUT -i $ IFEXT -s $ AUTHORIZED IP -p icmp -m icmp –icmp-type echo-request -m haba-haba 28: 1322 -m limitasyon –limit 2 / sec –limit-burst 4 -j ACCEPT
Sa ganitong paraan pinapahintulutan lamang namin ang IP na i-ping ang aming PC (ngunit may mga limitasyon).
Umaasa ako na ito ay kapaki-pakinabang sa iyo.
Salu2
Wow, ang mga pagkakaiba sa pagitan ng mga gumagamit, habang pinag-uusapan ng windowseros kung paano maglaro ng halo o ang kasamaan sa loob ng Linux na inip ang mundo sa mga bagay na katulad nito.
At iyon ang dahilan kung bakit alam lamang ng Windowseros kung paano maglaro, habang ang Linuxeros ang talagang nakakaalam ng advanced na pangangasiwa ng OS, mga network, atbp.
Salamat sa pagbisita sa amin 😀
Coordiales Pagbati
Ang tema ng ay napaka kapaki-pakinabang at tumutulong sa ilang mga lawak.
Salamat sa inyo.
kapag nalaman ng mga bintana ang tungkol dito makikita mong mababaliw sila
sa mga iptable na kailangan mong ilagay ang ip sa IMPUT at sa DROP iba pa?