Kaip užblokuoti „ICMP ping“ „Linux“

Kasdien per internetą perduodami milijonai paketų, kad būtų galima efektyviai perduoti įvairius duomenis, ir viso šio proceso metu yra milijonai grėsmių, keliančių pavojų minėtai informacijai. Ši praktika, kurią galime įgyvendinti, yra ICMP pranešimų blokavimas, nes šis IP potvynis išvengiama serverio ir paslaugų atsisakymo atakų, kurios reikšmingai paveiktų sistemos procesų našumą.

Atminkite, kad, norėdami teisingai keistis būsenos duomenimis ar klaidų pranešimais, mazgai naudoja interneto valdymo pranešimų protokolą -interneto valdymo ir klaidų pranešimų protokolą (ICMP), sukurtą siekiant pateikti pranešimus apie įvykius. tinkle.

Yra keletas būdų, kaip užblokuoti šiuos ICMP pranešimus, ir šiandien „Solvetic“ pamatysime kai kurias iš šių parinkčių.

1. Blokuokite „Pingo“ naudodami „IPTABLES“ „Linux“


„IPTABLES“ yra integruotas užkardos įrankis, per kurį bus galima sukurti kiekvieno paketų filtravimo ir tokiu būdu sistemos saugumo įgyvendintų NAT modulių taisykles.

1 žingsnis
Šiame pavyzdyje mes naudosime „Ubuntu 17“ ir tam mes prieisime prie terminalo ir pirmiausia turime prisijungti kaip root vartotojai, vykdydami šią komandą:

 sudo -i

2 žingsnis
Kai būsime pagrindiniai vartotojai, pridėsime šią IPTABLES taisyklę:

 iptables -A INPUT --proto icmp -j DROP
3 žingsnis
Mes galime pamatyti taisyklę, sukurtą atlikdami šiuos veiksmus:
 iptables -L -n -v

4 žingsnis
Mes galime pinguoti svetainę, kad pamatytume, ar yra atsakymas, ar ne, atminkite, kad ping komanda leidžia mums pamatyti svetainės prieinamumą, siunčiant paketų seriją ir gaunant iš jų atsakymą. Šiuo atveju matome, kad praėjo kelios minutės ir atsakymo negaunama.

2. Blokuoti „Ping“ naudojant kintamuosius „Linux“ branduolyje


Kita galimybė, naudojama „Linux“, norint blokuoti ICMP pranešimus, yra pridėti tam tikrus kintamuosius prie sistemos branduolio, kuris yra atsakingas už visų ping paketų pašalinimą.

1 žingsnis
Norėdami naudoti šį metodą, pirmiausia turime vykdyti šią komandą:

 sysctl -p
2 žingsnis
Tada vykdome šią eilutę:
 echo "1"> / proc / sys / net / ipv4 / icmp_echo_ignore_all
3 žingsnis
Tada prie failo /etc/sysctl.conf pridėsime šią eilutę:
 echo "net.ipv4.icmp_echo_ignore_all = 1" >> /etc/sysctl.conf

3. Blokuokite „Ping“ naudodami UFW „Linux“


UFW yra moderni užkarda, kurią galima įdiegti „Debian“, „CentOS“ ir „Ubuntu“ ir per kurią mes turime galimybę sukurti ir valdyti įvairias taisykles, orientuotas į sistemos saugumą.

1 žingsnis
Jei naudojame UFW, turime pasiekti šį failą /etc/ufw/before.rules, naudodami norimą redaktorių:

 sudo nano /etc/ufw/before.rules
2 žingsnis
Ten mes surasime skyrių gerai icmp kodai INPUT ir pridėsime šią eilutę:
 -A ufw-before-input -p icmp --icmp tipo echo-request -j DROP 

3 žingsnis
Pakeitimus išsaugome naudodami šį klavišų derinį:

Ctrl + O

Mes paliekame redaktorių naudodami:

„Ctrl“ + X

4 žingsnis
Norėdami iš naujo paleisti ugniasienę ir pritaikyti pakeitimus, vykdysime šią eilutę:

 ufw išjungti && ufw įgalinti

5 žingsnis
Jei naudojame „CentOS 7“ arba „RedHat“, norėdami pridėti taisyklę, turime vykdyti šias eilutes:

 firewall-cmd --zone = public --remove-icmp-block = {echo-request, echo-answer, timestamp-answer, timestamp-request}-nuolatinė užkarda-cmd -reload
Tokiu būdu užblokavome ICMP naudojimą ir taip neleidome keliems užpuolikams pasiekti mūsų tinklo ir naudoti tinklo adresavimo, kad paveiktų vietinį tinklą ir optimalų sistemos stabilumą.

wave wave wave wave wave