Про команду ping
Через протокол ICMP, тобто популярну команду пінг ми можемо знати, чи певний комп’ютер живий у мережі, чи є у нас маршрути, я можу без проблем дійти до нього.
Поки що це здається вигідним, і це, однак, як і багато хороших інструментів або додатків, його можна використовувати в шкідливих цілях, наприклад DDoS з пінгом, який може перетворитися на 100.000 XNUMX запитів з пінгом на хвилину або на секунду, що може аварійне завершення роботи комп'ютера або нашої мережі.
Як би там не було, але в певних випадках ми хочемо, щоб наш комп'ютер не реагував на запити пінгу від інших користувачів мережі, тобто здавався не підключеним, для цього ми повинні відключити відповідь протоколу ICMP у нашій системі.
Як перевірити, чи ми ввімкнули опцію відповіді ping
У нашій системі є файл, який дозволяє визначити надзвичайно просто, якщо ми увімкнули відповідь ping чи ні, це: / proc / sys / net / ipv4 / icmp_echo_ignore_all
Якщо цей файл містить 0 (нуль), тоді кожен, хто пінгує нас, отримає відповідь щоразу, коли наш комп’ютер перебуває в мережі, однак, якщо ми поставимо 1 (один), то не має значення, підключений наш ПК чи ні, це буде здається, не бути.
Іншими словами, за допомогою наступної команди ми відредагуємо цей файл:
sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all
Ми змінюємо 0 для а 1 і ми натискаємо [Ctrl] + [O], щоб зберегти, а потім [Ctrl] + [X], щоб вийти.
Готово, наш комп’ютер НЕ реагує на пінг інших.
Альтернативи для захисту від пінг-атак
Інша альтернатива, очевидно, використання брандмауера, використання Iptables це також можна зробити без особливих клопотів:
sudo iptables -A INPUT -p icmp -j DROP
Тоді пам’ятайте, правила iptables очищаються при перезавантаженні комп’ютера, ми повинні якимось способом зберегти зміни, або через iptables-save та iptables-restore, або створивши сценарій самостійно.
І це все 🙂
відмінний внесок. Скажіть, чи могло б це уникнути запитів на відключення ??? як коли вони хочуть зламати мережу за допомогою aircrack-ng. Я кажу, тому що якщо, мабуть, ми роз’єднаємось, вони не зможуть надіслати нам таких запитів. Дякуємо за вступ
Це не працює таким чином, це лише блокує відповідь icmp echo, тому, якщо хтось хоче перевірити зв’язок із запитом icmp echo, ваш комп’ютер виконуватиме icmp echo ignore, і тому людина, яка намагається перевірити зв’язок, отримає Тип відповіді "хост, здається, не працює або блокує пінг-зонди", але якщо хтось контролює мережу за допомогою airodump або якогось подібного інструменту, він зможе побачити, що ви підключені, оскільки ці інструменти аналізують пакети, які надсилаються на AP або отриманий від AP
Слід зазначити, що це лише тимчасово, після перезапуску ПК він знову отримає пінг, щоб залишити його постійним, що стосується першого фокусу, налаштуйте файл /etc/sysctl.conf і в кінці додайте net.ipv4.icmp_echo_ignore_all = 1 та з повагою Друга порада схожа, але довша "(Збережіть Iptables Conf, створіть сценарій інтерфейсу, який виконується при запуску системи, тощо)
Привіт. Може щось не так? або що це може бути? тому що в ubuntu такого файлу немає ......
Це було бездоганно, як завжди.
Невелике спостереження, коли нано закривається не швидше Ctrl + X, а потім виходить з Y або S
Повага
Відмінна підказка, @KZKG, я використовую ту саму підказку серед багатьох інших, щоб поліпшити безпеку свого ПК та двох серверів, з якими я працюю, але щоб уникнути правила iptables, я використовую sysctl та конфігурацію його папок / etc / sysctl. г / з файлом, до якого я прикріплюю необхідні команди, щоб при кожному перезавантаженні вони завантажувались, а моя система завантажувалась із усіма зміненими значеннями.
У випадку використання цього методу просто створіть файл XX-local.conf (XX може бути числом від 1 до 99, у мене це в 50) і напишіть:
net.ipv4.icmp_echo_ignore_all = 1
Вже при цьому вони мають однаковий результат.
Досить просте рішення, дякую
Які ще команди у вас є у цьому файлі?
Будь-яка команда, яка має відношення до змінних sysctl і якою можна маніпулювати за допомогою sysctl, може бути використана таким чином.
Щоб побачити різні значення, які ви можете ввести до типу sysctl у своєму терміналі sysctl -a
У openSUSE я не зміг його редагувати.
Добре.
Ще одним швидшим способом буде використання sysctl
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
Як вже було сказано, в IPTABLES ви також можете відхилити запит пінгу для всього, виконавши:
iptables -A INPUT -p icmp -j DROP
Тепер, якщо ми хочемо відхилити будь-який запит, крім конкретного, ми можемо зробити це наступним чином:
Ми оголошуємо змінні:
IFEXT = 192.168.16.1 # мій IP
АВТОРИЗОВАНИЙ IP = 192.168.16.5
iptables -A INPUT -i $ IFEXT -s $ AUTHORIZED IP -p icmp -m icmp –icmp-type echo-request -m length -length 28: 1322 -m limit -limit 2 / sec –limit-burst 4 -j ACCEPT
Таким чином, ми дозволяємо лише цей IP-адреса пінгувати наш ПК (але з обмеженнями).
Сподіваюся, це вам стане в нагоді.
Salu2
Нічого собі, відмінності між користувачами, тоді як віконні вікна говорять про те, як грати ореол чи зло в Linux, нудному світу з подібними речами.
І тому Windowseros тоді вміють лише грати, тоді як Linuxeros - це ті, хто справді знає просунуте адміністрування ОС, мереж тощо.
Дякуємо за відвідування 😀
Coordiales Привіт
Тема дуже корисна і певною мірою допомагає.
Спасибо.
коли про це дізнаються вікна, ви побачите, що вони збожеволіли
в iptables, що ви повинні помістити ip в IMPUT і щось інше в DROP?