Milijuni paketa dnevno se prenose putem Interneta radi učinkovite komunikacije različitih podataka, a tijekom tog procesa postoje milijuni prijetnji koje dovode te podatke u opasnost, praksa koju možemo primijeniti je blokiranje ICMP poruka budući da je s tim preplavljenim IP -om izbjegavaju se napadi poslužitelja i uskraćivanja usluge, što bi značajno utjecalo na performanse procesa sustava.
Upamtite da za ispravnu razmjenu podataka o statusu ili poruka o pogreškama čvorovi koriste protokol internetskih kontrolnih poruka -protokol za internetsku kontrolu i poruke o pogreškama (ICMP), koji je razvijen za pružanje izvješća o incidentima pri isporuci paketa ili pogrešaka. u mreži.
Postoji nekoliko načina za blokiranje ovih ICMP poruka, a danas ćemo u Solveticu vidjeti neke od ovih opcija.
1. Blokirajte Pingo s IPTABLES -om na Linuxu
IPTABLES je integrirani alat vatrozida putem kojeg će biti moguće stvoriti pravila za svako filtriranje paketa i NAT module implementirane na ovaj način, sigurnost sustava.
Korak 1
U ovom primjeru koristit ćemo Ubuntu 17, a za to pristupamo terminalu i prvo se moramo prijaviti kao root korisnici izvršavanjem sljedeće naredbe:
sudo -i
Korak 2
Kad postanemo root korisnici, dodat ćemo sljedeće pravilo IPTABLES:
iptables -A ULAZ --proto icmp -j DROPKorak 3
Možemo vidjeti pravilo stvoreno izvršavanjem sljedećeg:
iptables -L -n -v
Korak 4
Možemo pingati web stranicu da vidimo ima li odgovora ili ne. Sjetite se da nam naredba ping omogućuje da vidimo dostupnost web stranice slanjem niza paketa i primanjem odgovora od njih. U ovom slučaju možemo vidjeti da je prošlo nekoliko minuta i da se ne dobiva odgovor.
2. Blokirajte Ping s varijablama u jezgri Linuxa
Druga mogućnost koju u Linuxu možete blokirati za blokiranje ICMP poruka je dodavanje određenih varijabli u jezgru sustava, koja je zadužena za uklanjanje svih ping paketa.
Korak 1
Za korištenje ove metode prvo moramo izvršiti sljedeću naredbu:
sysctl -pKorak 2
Zatim izvršavamo sljedeći redak:
echo "1"> / proc / sys / net / ipv4 / icmp_echo_ignore_allKorak 3
Zatim ćemo datoteci /etc/sysctl.conf dodati sljedeći redak:
echo "net.ipv4.icmp_echo_ignore_all = 1" >> /etc/sysctl.conf
3. Blokirajte Ping s UFW -om na Linuxu
UFW je moderan vatrozid koji se može implementirati u Debian, CentOS i Ubuntu i kroz koji imamo priliku donijeti i upravljati raznim pravilima usmjerenim na sigurnost sustava.
Korak 1
Ako koristimo UFW, moramo pristupiti sljedećoj datoteci, /etc/ufw/before.rules, pomoću željenog uređivača:
sudo nano /etc/ufw/before.rulesKorak 2
Tamo ćemo locirati odjeljak ok icmp kodovi za INPUT i dodat ćemo sljedeći redak:
-A ufw-before-input -p icmp --icmp-echo-request -j DROP
Korak 3
Promjene spremamo pomoću sljedeće kombinacije tipki:
Ctrl + O
Urednik ostavljamo koristeći:
Ctrl + X
Korak 4
Izvršit ćemo sljedeći redak za ponovno pokretanje vatrozida i primjenu promjena:
ufw onemogućiti && ufw omogućiti
Korak 5
Ako koristimo CentOS 7 ili RedHat, moramo izvršiti sljedeće retke da bismo dodali pravilo:
firewall-cmd --zone = public --remove-icmp-block = {echo-request, echo-reply, timestamp-reply, timestamp-request} --permanent firewall-cmd -reloadNa taj smo način blokirali korištenje ICMP -a i spriječili više napadača da pristupe našoj mreži i koriste mrežno adresiranje kako bi utjecali na lokalnu mrežu i optimalnu stabilnost sustava.