Милиони пакета дневно се преносе путем Интернета ради ефикасне комуникације различитих података, а током цијелог процеса постоје милиони пријетњи које доводе те податке у опасност, а пракса коју можемо примијенити је блокирање ИЦМП порука, будући да је ова ИП поплава на избегавају се напади сервера и одбијања услуге, што би значајно утицало на перформансе системских процеса.
Запамтите да за исправну размјену података о статусу или порука о грешкама чворови користе протокол Интернет Цонтрол Мессаге Протоцол -Интернет Цонтрол анд Еррор Мессагес Протоцол (ИЦМП), који је развијен за пружање извјештаја о инцидентима у испоруци пакета или грешака. у мрежи.
Постоји неколико начина за блокирање ових ИЦМП порука, а данас ћемо на Солветицу видјети неке од ових опција.
1. Блокирајте Пинго са ИПТАБЛЕС -ом на Линуку
ИПТАБЛЕС је интегрисани алат заштитног зида путем којег ће бити могуће креирати правила за сваки пакет филтрирања и НАТ модуле имплементиране на овај начин, сигурност система.
Корак 1
У овом примеру ћемо користити Убунту 17 и за то приступамо терминалу и прво се морамо пријавити као роот корисници извршавањем следеће наредбе:
судо -и
Корак 2
Када постанемо роот корисници, додаћемо следеће правило ИПТАБЛЕС:
иптаблес -А УЛАЗ --прото ицмп -ј ДРОПКорак 3
Можемо видети правило створено извршавањем следећег:
иптаблес -Л -н -в
Корак 4
Можемо пингати веб локацију да видимо има ли одговора или не, запамтите да нам команда пинг омогућава да видимо доступност веб локације слањем низа пакета и примањем одговора од њих. У овом случају можемо видети да је прошло неколико минута и да се не добија одговор.
2. Блокирајте Пинг са променљивим у језгру Линука
Друга могућност која се користи у Линуку за блокирање ИЦМП порука је додавање одређених променљивих у језгро система, које је задужено за уклањање свих пинг пакета.
Корак 1
Да бисмо користили овај метод, морамо прво извршити следећу команду:
сисцтл -пКорак 2
Затим извршавамо следећи ред:
ецхо "1"> / проц / сис / нет / ипв4 / ицмп_ецхо_игноре_аллКорак 3
Затим ћемо у датотеку /етц/сисцтл.цонф додати следећи ред:
ецхо "нет.ипв4.ицмп_ецхо_игноре_алл = 1" >> /етц/сисцтл.цонф
3. Блокирајте Пинг помоћу УФВ -а на Линуку
УФВ је модеран заштитни зид који се може имплементирати у Дебиан, ЦентОС и Убунту и преко којег имамо прилику да доносимо и управљамо различитим правилима усредсређеним на безбедност система.
Корак 1
Ако користимо УФВ, морамо приступити следећој датотеци, /етц/уфв/бефоре.рулес, користећи жељени уређивач:
судо нано /етц/уфв/бефоре.рулесКорак 2
Тамо ћемо лоцирати одељак ок ицмп кодови за ИНПУТ и додаћемо следећи ред:
-А уфв-бефоре-инпут -п ицмп --ицмп-типе ецхо-рекуест -ј ДРОП
Корак 3
Промене чувамо помоћу следеће комбинације тастера:
Цтрл + О.
Остављамо уредника користећи:
Цтрл + Кс
Корак 4
Извршићемо следећи ред да бисмо поново покренули заштитни зид и применили промене:
уфв онемогућити && уфв омогућити
Корак 5
Ако користимо ЦентОС 7 или РедХат, морамо извршити следеће редове да бисмо додали правило:
фиревалл-цмд --зоне = публиц --ремове-ицмп-блоцк = {ецхо-рекуест, ецхо-репли, тиместамп-репли, тиместамп-рекуест} --перманент фиревалл-цмд -релоадНа овај начин смо блокирали употребу ИЦМП -а и тиме спријечили више нападача да приступе нашој мрежи и користе мрежно адресирање како би утјецали на локалну мрежу и оптималну стабилност система.
