Miliony paketů jsou přenášeny denně přes internet za účelem efektivní komunikace různých dat a v průběhu tohoto procesu existují miliony hrozeb, které ohrožují uvedené informace, což je praxe, kterou můžeme zavést, blokování zpráv ICMP, protože s tímto zaplavením IP zabrání se útokům na server a odmítnutí služby, což by významně ovlivnilo výkon systémových procesů.
Pamatujte, že za účelem správné výměny stavových dat nebo chybových zpráv používají uzly protokol Internet Control Message Protocol -Internet Control and Error Messages Protocol (ICMP), který byl vyvinut za účelem poskytování hlášení incidentů. Při doručování paketů nebo chyb v síti.
Existuje několik způsobů, jak tyto zprávy ICMP zablokovat, a dnes v Solvetic uvidíme některé z těchto možností.
1. Blokujte Pingo pomocí IPTABLES v Linuxu
IPTABLES je integrovaný nástroj brány firewall, pomocí kterého bude možné vytvářet pravidla pro každé filtrování paketů a moduly NAT implementované tímto způsobem pro zabezpečení systému.
Krok 1
V tomto příkladu použijeme Ubuntu 17 a k tomu přistoupíme k terminálu a nejprve se musíme přihlásit jako uživatelé root spuštěním následujícího příkazu:
sudo -i
Krok 2
Jakmile budeme uživateli root, přidáme následující pravidlo IPTABLES:
iptables -A VSTUP --proto icmp -j DROPKrok 3
Můžeme vidět pravidlo vytvořené provedením následujícího:
iptables -L -n -v
Krok 4
Můžeme pingnout na web, abychom zjistili, zda existuje odpověď nebo ne, pamatujte, že příkaz ping nám umožňuje zjistit dostupnost webové stránky odesláním řady paketů a přijetím odpovědi od nich. V tomto případě vidíme, že uběhlo několik minut a nedostali jsme žádnou odpověď.
2. Block Ping s proměnnými v jádře Linuxu
Další možností, kterou lze v Linuxu použít k blokování zpráv ICMP, je přidání určitých proměnných do systémového jádra, které má na starosti odstranění všech pingových paketů.
Krok 1
Abychom mohli tuto metodu použít, musíme nejprve spustit následující příkaz:
sysctl -pKrok 2
Poté spustíme následující řádek:
echo "1"> / proc / sys / net / ipv4 / icmp_echo_ignore_allKrok 3
Poté do souboru /etc/sysctl.conf přidáme následující řádek:
echo "net.ipv4.icmp_echo_ignore_all = 1" >> /etc/sysctl.conf
3. Block Ping with UFW on Linux
UFW je moderní firewall, který lze implementovat do Debianu, CentOS a Ubuntu a jehož prostřednictvím máme možnost vytvářet a spravovat různá pravidla zaměřená na zabezpečení systému.
Krok 1
Pokud používáme UFW, musíme k požadovanému editoru přistupovat k následujícímu souboru /etc/ufw/before.rules:
sudo nano /etc/ufw/before.rulesKrok 2
Tam sekci vyhledáme ok icmp kódy pro INPUT a přidáme následující řádek:
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
Krok 3
Změny uložíme pomocí následující kombinace kláves:
Ctrl + O
Editor opustíme pomocí:
Ctrl + X
Krok 4
Spustíme následující řádek, abychom restartovali bránu firewall a použili změny:
ufw deaktivovat && ufw povolit
Krok 5
Pokud používáme CentOS 7 nebo RedHat, musíme pro přidání pravidla spustit následující řádky:
firewall-cmd --zone = public --remove-icmp-block = {echo-request, echo-answer, timestamp-answer, timestamp-request} --permanent firewall-cmd -reloadTímto způsobem jsme zablokovali používání ICMP a tím zabránili více útočníkům v přístupu k naší síti a používání síťových adres k ovlivnění místní sítě a optimální stability systému.
