保護您的計算機免遭ping

關於ping命令

通過ICMP協議,即流行的命令 我們可以知道網絡上是否有一台特定的計算機在運行,如果有路由,我可以毫無問題地走向它。

到目前為止,它似乎是有益的,但是它像許多好的工具或應用程序一樣,可以用於有害目的,例如,帶有ping的DDoS,每分鐘或每秒可以轉換100.000個ping的請求,這可能會使崩潰。終端計算機或我們的網絡。

正因為如此,在某些情況下,我們希望我們的計算機不響應來自網絡上其他用戶的ping請求,也就是說,看起來好像沒有連接,因此我們必須在系統中禁用ICMP協議響應。

如何驗證我們是否已啟用ping響應選項

我們系統中有一個文件,允許我們以一種非常簡單的方式進行定義,無論是否啟用ping響應,它都是:/ proc / sys / net / ipv4 / icmp_echo_ignore_all

如果該文件包含0(零),則只要我們的計算機聯機,所有ping我們的人都會收到響應,但是,如果我們輸入1(一),則無論我們的PC是否連接都無所謂。似乎不是。

換句話說,使用以下命令,我們將編輯該文件:

sudo nano /proc/sys/net/ipv4/icmp_echo_ignore_all

我們改變 0 對於 1 然後按[Ctrl] + [O]保存,然後按[Ctrl] + [X]退出。

準備好了,我們的計算機無法響應他人的ping。

保護自己免受ping攻擊的替代方法

顯然,另一種選擇是使用防火牆 iptables的 也可以輕鬆解決:

sudo iptables -A INPUT -p icmp -j DROP

然後記住,重新啟動計算機時會清理iptables規則,我們必須通過某種方法保存更改,方法是通過iptables-save和iptables-restore或自己編寫腳本。

就是這樣🙂


本文內容遵循我們的原則 編輯倫理。 要報告錯誤,請單擊 這裡.

17條評論,留下您的評論

發表您的評論

您的電子郵件地址將不會被發表。

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。

  1.   涅森夫 他說:

    傑出的貢獻。 告訴我,它將有助於避免斷開連接的請求??? 例如當他們想使用aircrack-ng破解網絡時。 我說是因為,顯然如果我們處於離線狀態,他們將無法向我們發送此類請求。 感謝您的輸入

    1.    流行建築 他說:

      那樣是行不通的,這只會阻止icmp echo響應,因此,如果有人要使用icmp echo請求測試連接,則您的計算機將執行icmp echo忽略,因此嘗試測試連接的人將獲得一個響應類型為“主機似乎已關閉或阻塞了ping探測”,但是如果有人使用airodump或類似工具監視網絡,他們將能夠看到您已連接,因為這些工具正在分析發送到AP或從美聯社收到

  2.   弗蘭克·薩納布里亞 他說:

    應當注意,這只是暫時的,重新啟動計算機後,它將再次收到ping命令,使其永久保留,關於第一個技巧,配置/etc/sysctl.conf文件,最後添加net.ipv4.icmp_echo_ignore_all = 1且相對而言,第二個技巧是類似的,但更長一些:“(保存Iptables Conf,創建一個在系統啟動時執行的接口腳本,然後填充)

  3.   MMM 他說:

    你好可能有問題嗎? 還是什麼呢? 因為在ubuntu中沒有這樣的文件……

  4.   弗朗茨 他說:

    一如既往的完美。
    一個小小的觀察,當關閉nano時不快Ctrl + X,然後用Y或S退出
    尊重

  5.   友喜 他說:

    出色的技巧@KZKG,我在許多其他技巧中使用了相同的技巧,以提高我的PC和所使用的兩台服務器的安全性,但是為了避免iptables規則,我使用sysctl及其文件夾配置/ etc / sysctl。 d /一個文件,我在其中附加了必要的命令,以便每次重新啟動時都會加載它們,並且系統已經修改了所有值後啟動了系統。

    在使用這種方法的情況下,只需創建一個文件XX-local.conf(XX可以是從1到99的數字,我的數字是50)並編寫:

    net.ipv4.icmp_echo_ignore_all = 1

    他們已經有了相同的結果。

    1.    jsan92 他說:

      非常簡單的解決方案,謝謝
      您在該文件中還有哪些其他命令?

      1.    友喜 他說:

        任何與sysctl變量有關並且可以通過sysctl進行操作的命令都可以通過這種方式使用。

      2.    弗蘭克·薩納布里亞 他說:

        要查看可以在終端sysctl -a中輸入sysctl類型的不同值

  6.   索拉克彩虹戰士 他說:

    在openSUSE中,我無法對其進行編輯。

  7.   大衛 他說:

    不錯。
    另一種更快的方法是使用sysctl

    #sysctl -w net.ipv4.icmp_echo_ignore_all = 1

  8.   波蘭尼 他說:

    如前所述,在IPTABLES中,您還可以通過以下方式拒絕對所有內容的ping請求:
    iptables -A輸入-p icmp -j DROP
    現在,如果我們要拒絕除特定請求之外的任何請求,可以通過以下方式進行:
    我們聲明變量:
    IFEXT = 192.168.16.1#我的IP
    授權IP = 192.168.16.5
    iptables -A輸入-i $ IFEXT -s $授權IP -p icmp -m icmp –icmp類型的echo-r​​equest -m長度–長度28:1322 -m limit –limit 2 / sec –limit-burst 4 -j ACCEPT

    這樣,我們僅授權該IP ping PC(但有限制)。
    希望對您有用。
    Salu2

  9.   loverdelinux ... nolook.com 他說:

    哇,用戶之間的差異,而windowseros卻在談論如何在Linux之類的遊戲中玩暈或邪惡之類的事情。

    1.    KZKG ^ Gaara 他說:

      這就是為什麼Windowseros只知道如何玩而Linuxeros是真正了解OS,網絡等高級管理的人的原因。
      謝謝您的光臨visit

  10.   用戶檔案 他說:

    Coordiales的問候
    的主題非常有用,並且在一定程度上有所幫助。
    謝謝。

  11.   貢薩洛 他說:

    當窗戶發現這個問題時,您會發現它們發瘋了

  12.   洛洛 他說:

    在iptables中,您必須將IP放入IMPUT並將其他內容放入DROP?