Захистіть свій комп’ютер від пінгу

Про команду ping

Через протокол ICMP, тобто популярну команду пінг ми можемо знати, чи певний комп’ютер живий у мережі, чи є у нас маршрути, я можу без проблем дійти до нього.

Поки що це здається вигідним, і це, однак, як і багато хороших інструментів або додатків, його можна використовувати в шкідливих цілях, наприклад DDoS з пінгом, який може перетворитися на 100.000 XNUMX запитів з пінгом на хвилину або на секунду, що може аварійне завершення роботи комп'ютера або нашої мережі.

Як би там не було, але в певних випадках ми хочемо, щоб наш комп'ютер не реагував на запити пінгу від інших користувачів мережі, тобто здавався не підключеним, для цього ми повинні відключити відповідь протоколу ICMP у нашій системі.

Як перевірити, чи ми ввімкнули опцію відповіді ping

У нашій системі є файл, який дозволяє визначити надзвичайно просто, якщо ми увімкнули відповідь ping чи ні, це: / proc / sys / net / ipv4 / icmp_echo_ignore_all

Якщо цей файл містить 0 (нуль), тоді кожен, хто пінгує нас, отримає відповідь щоразу, коли наш комп’ютер перебуває в мережі, однак, якщо ми поставимо 1 (один), то не має значення, підключений наш ПК чи ні, це буде здається, не бути.

Іншими словами, за допомогою наступної команди ми відредагуємо цей файл:

sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all

Ми змінюємо 0 для а 1 і ми натискаємо [Ctrl] + [O], щоб зберегти, а потім [Ctrl] + [X], щоб вийти.

Готово, наш комп’ютер НЕ реагує на пінг інших.

Альтернативи для захисту від пінг-атак

Інша альтернатива, очевидно, використання брандмауера, використання Iptables це також можна зробити без особливих клопотів:

sudo iptables -A INPUT -p icmp -j DROP

Тоді пам’ятайте, правила iptables очищаються при перезавантаженні комп’ютера, ми повинні якимось способом зберегти зміни, або через iptables-save та iptables-restore, або створивши сценарій самостійно.

І це все 🙂


Зміст статті відповідає нашим принципам редакційна етика. Щоб повідомити про помилку, натисніть тут.

17 коментарі, залиште свій

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   нейсонв - сказав він

    відмінний внесок. Скажіть, чи могло б це уникнути запитів на відключення ??? як коли вони хочуть зламати мережу за допомогою aircrack-ng. Я кажу, тому що якщо, мабуть, ми роз’єднаємось, вони не зможуть надіслати нам таких запитів. Дякуємо за вступ

    1.    PopArch - сказав він

      Це не працює таким чином, це лише блокує відповідь icmp echo, тому, якщо хтось хоче перевірити зв’язок із запитом icmp echo, ваш комп’ютер виконуватиме icmp echo ignore, і тому людина, яка намагається перевірити зв’язок, отримає Тип відповіді "хост, здається, не працює або блокує пінг-зонди", але якщо хтось контролює мережу за допомогою airodump або якогось подібного інструменту, він зможе побачити, що ви підключені, оскільки ці інструменти аналізують пакети, які надсилаються на AP або отриманий від AP

  2.   ФранкСанабрія - сказав він

    Слід зазначити, що це лише тимчасово, після перезапуску ПК він знову отримає пінг, щоб залишити його постійним, що стосується першого фокусу, налаштуйте файл /etc/sysctl.conf і в кінці додайте net.ipv4.icmp_echo_ignore_all = 1 та з повагою Друга порада схожа, але довша "(Збережіть Iptables Conf, створіть сценарій інтерфейсу, який виконується при запуску системи, тощо)

  3.   ммм - сказав він

    Привіт. Може щось не так? або що це може бути? тому що в ubuntu такого файлу немає ......

  4.   Franz - сказав він

    Це було бездоганно, як завжди.
    Невелике спостереження, коли нано закривається не швидше Ctrl + X, а потім виходить з Y або S
    Повага

  5.   Юкітеру - сказав він

    Відмінна підказка, @KZKG, я використовую ту саму підказку серед багатьох інших, щоб поліпшити безпеку свого ПК та двох серверів, з якими я працюю, але щоб уникнути правила iptables, я використовую sysctl та конфігурацію його папок / etc / sysctl. г / з файлом, до якого я прикріплюю необхідні команди, щоб при кожному перезавантаженні вони завантажувались, а моя система завантажувалась із усіма зміненими значеннями.

    У випадку використання цього методу просто створіть файл XX-local.conf (XX може бути числом від 1 до 99, у мене це в 50) і напишіть:

    net.ipv4.icmp_echo_ignore_all = 1

    Вже при цьому вони мають однаковий результат.

    1.    jsan92 - сказав він

      Досить просте рішення, дякую
      Які ще команди у вас є у цьому файлі?

      1.    Юкітеру - сказав він

        Будь-яка команда, яка має відношення до змінних sysctl і якою можна маніпулювати за допомогою sysctl, може бути використана таким чином.

      2.    ФранкСанабрія - сказав він

        Щоб побачити різні значення, які ви можете ввести до типу sysctl у своєму терміналі sysctl -a

  6.   Солрак Rainbowarrior - сказав він

    У openSUSE я не зміг його редагувати.

  7.   Девід - сказав він

    Добре.
    Ще одним швидшим способом буде використання sysctl

    #sysctl -w net.ipv4.icmp_echo_ignore_all = 1

  8.   cpollane - сказав він

    Як вже було сказано, в IPTABLES ви також можете відхилити запит пінгу для всього, виконавши:
    iptables -A INPUT -p icmp -j DROP
    Тепер, якщо ми хочемо відхилити будь-який запит, крім конкретного, ми можемо зробити це наступним чином:
    Ми оголошуємо змінні:
    IFEXT = 192.168.16.1 # мій IP
    АВТОРИЗОВАНИЙ IP = 192.168.16.5
    iptables -A INPUT -i $ IFEXT -s $ AUTHORIZED IP -p icmp -m icmp –icmp-type echo-request -m length -length 28: 1322 -m limit -limit 2 / sec –limit-burst 4 -j ACCEPT

    Таким чином, ми дозволяємо лише цей IP-адреса пінгувати наш ПК (але з обмеженнями).
    Сподіваюся, це вам стане в нагоді.
    Salu2

  9.   loverdelinux ... nolook.com - сказав він

    Нічого собі, відмінності між користувачами, тоді як віконні вікна говорять про те, як грати ореол чи зло в Linux, нудному світу з подібними речами.

    1.    KZKG ^ Гаара - сказав він

      І тому Windowseros тоді вміють лише грати, тоді як Linuxeros - це ті, хто справді знає просунуте адміністрування ОС, мереж тощо.
      Дякуємо за відвідування 😀

  10.   userarch - сказав він

    Coordiales Привіт
    Тема дуже корисна і певною мірою допомагає.
    Спасибо.

  11.   Гонсало - сказав він

    коли про це дізнаються вікна, ви побачите, що вони збожеволіли

  12.   Лоло - сказав він

    в iptables, що ви повинні помістити ip в IMPUT і щось інше в DROP?