K testování kvality sítě se používá zařízení PING, které hackeři poměrně často používají ke spoofování hostitelských a cílových serverů k provádění záplavových útoků. Uživatelé někdy cítí potřebu blokovat nežádoucí požadavky serveru, aby udrželi svůj systém v bezpečí a ochránili server před jakýmkoli druhem útoku. V tomto článku uvidíme, jak zablokovat požadavky PING. Výukový program provede uživatele také odblokováním požadavků PING.
Packet Internet Groper (PING)
PING se používá ke kontrole stavu spojení mezi libovolným zdrojem a libovolným cílem. Uživatelé mohou znát čas, který pakety potřebují k přijetí odpovědi. V tomto článku si projdeme příkazy iptables, které jsou potřebné v systému Ubuntu nebo Debian nebo Linux Mint 20 ke komunikaci se serverem za účelem jejich zablokování a odblokování.
Předpoklady
- Ubuntu 20.04 nebo Linux Mint 20 nebo Debian 10
- Uživatel s právy sudo
Příkazy použité v tomto tutoriálu byly testovány na systému Ubuntu. Prvním krokem je instalace iptables, k tomu budeme používat terminálové okno systému. Otevřete terminál pomocí Ctrl+Alt+T zkratka.
Blokovat/odblokovat požadavky PING v Ubuntu
ICMP je protokol používaný pro odesílání požadavků PING. Pakety odezvou požadavek do cílového systému a poté jako odpověď obdrží odpověď Echo. Příkaz PING má schopnost nepřetržitě odesílat pakety ICMP. Tento mechanismus odesílání paketů pokračuje a pokračuje, dokud jej uživatelé nezastaví stisknutím klávesové zkratky Ctl+C na klávesnici.
Aby uživatelé mohli blokovat požadavky na PING, musí blokovat požadavky ICMP. Budeme diskutovat o způsobech blokování a odblokování těchto požadavků na echo. Metody jsou:
- Pomocí parametrů jádra
- Prostřednictvím iptables
Jak blokovat/odblokovat požadavky PING pomocí parametrů jádra
Chcete-li dočasně nebo trvale zablokovat požadavky PING, můžete použít metodu jádra. Existují parametry jádra, které lze upravovat a upravovat pomocí příkazu sysctl.
Požadavky na dočasné zablokování/odblokování
První způsob, jak zablokovat požadavky PING, je dočasné zablokování a to pomocí příkazu sysctl. Tento příkaz se používá v systémech založených na platformě Linux k úpravě nebo čtení a zápisu parametrů jádra v adresáři /proc/sys.
Blokování požadavku PING
Pro zablokování požadavku PING zadejte níže uvedený příkaz v Terminálu:
$ sudo sysctl -w net.ipv4.icmp_echo_ignore_all=1
Zde net.ipv4.icmp_echo_ignore_all je parametr, který řídí, aby systém reagoval na příchozí požadavek ICMP. 0 znamená ano, zatímco 1 znamená žádnou odpověď na požadavek. Zde 1 znamená, že všechny požadavky budou ignorovány nebo odmítnuty
Když je odeslán požadavek PING, nebudou jako odpověď přijaty žádné pakety.
Odblokování požadavku PING
Nyní si přejeme odblokovat požadavky PING, zadejte do okna terminálu následující příkaz:
$ sudo sysctl -w net.ipv4.icmp_echo_ignore_all=0
Uživatelé mohou také použít hodnotu parametru jádra a změnit ji v adresáři /proc/sys v příkazu echo. Uživatelé si musí všimnout, že potřebují mít uživatelská oprávnění sudo. Nyní přepněte na účet root pomocí:
$ sudo -s
Zadejte tento příkaz do Terminálu:
$ echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
Pro odblokování použijte:
$ echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
Toto byl způsob dočasného blokování a odblokování požadavků PING.
Trvalé blokování/odemykání požadavků
Pro úpravu parametrů jádra můžeme použít /etc/sysctl.conf soubor. Abychom zablokovali požadavky, musíme tento soubor upravit.
Blokování požadavku PING
Abychom požadavek zablokovali, musíme upravit /etc/sysctl.conf soubor pomocí:
$ sudo nano /etc/sysctl.conf
Otevře se okno editoru, zadejte řádek do tohoto souboru:
net.ipv4.icmp_echo_ignore_all = 1
Nyní uložte a zavřete tento soubor. Chcete-li změny projevit bez restartu, zadejte následující příkaz:
$ sysctl -p
Odblokování požadavku PING
Za tímto účelem upravte /etc/sysctl.conf soubor pomocí:
$ sudo nano /etc/sysctl.conf
Tentokrát musíme aktualizovat hodnotu net.ipv4.icmp_echo_ignore_all na „0“:net.ipv4.icmp_echo_ignore_all =0
Nyní uložte a zavřete tento soubor. Chcete-li změny projevit bez restartu, zadejte následující příkaz:
$ sysctl -p
Tímto způsobem mohou uživatelé trvale blokovat a odblokovat požadavky PING.
Jak blokovat/odblokovat požadavky PING pomocí iptables
Nástroj Iptables se používá prostřednictvím příkazového řádku k povolení nebo zakázání provozu. Funguje na základě pravidel, tj. řetězce zásad . Iptables funguje na paketově orientované síti, kde je provoz monitorován pro každou sadu paketů. Pracují na pravidle vyhledávání, kde přiřazují každý paket k seznamu a mapují jej s každým pravidlem. V případě, že se pravidla neshodují, nebude spojení navázáno. Filtr balíčků pro iptables je v programovacím jazyce C a dosud přicházejí nová vydání a verze, které lze stáhnout pomocí:https://git.netfilter.org/iptables/
Blokovat/odblokovat PING z iptables
Krok 1:Instalace iptables
Chcete-li nainstalovat iptables, zadejte do okna terminálu následující příkaz:
$ sudo apt-get install iptables
Instalace začne následovně:
Krok 2:Potvrzení instalace iptables
Nyní musíme potvrdit instalaci iptables. Zadejte příkaz uvedený níže v okně terminálu:
$ iptables --version
Jakmile stisknete enter, uvidíte ve výstupu verzi podobnou této.
Nyní uvidíme způsob, jak zakázat a povolit příkaz ping.
Blokování PING pomocí iptables
Iptables je síťový filtrovací modul založený na pravidlech. Uživatelé mohou přidat tato pravidla k blokování pingů přicházejících do az jejich servery. Budeme diskutovat o sadě příkladů, jak přidat sadu pravidel pro blokování PING.
Příklady:
Pravidlo 1:
Chcete-li požadavek odmítnout nebo zablokovat, použijte následující příkaz. -A v následujícím příkazu znamená přidání pravidel. Při spuštění následujícího příkazu ping se zobrazí chybová zpráva:
$ sudo iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT
Když odešlete příkaz ping na jakoukoli IP adresu, uvidíte výstup podobný tomuto:
Pravidlo 2:
K zablokování PING na konci vstupu můžete také použít následující pravidlo. Chybová zpráva se nezobrazí.
$ sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Pravidlo 3:
Chcete-li zrušit nebo zablokovat požadavek PING na výstupním konci, můžete také použít následující příkaz.
$ sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP
Odblokování PING z iptables
Nyní probereme metodu povolení příkazů PING z iptables.
Výpis dostupných pravidel
Následující příkaz můžete použít ke kontrole všech pravidel, která byla přidána do iptables.
Výstup bude vypadat takto:
Odstranění sady pravidel blokování
Uživatelé mohou odstranit sadu pravidel, která fungují jako blokátor pro PING, mohou ji odstranit. Jak je uvedeno ve výše uvedeném příkladu, zde je ICMP odmítnut. Proto jej odstraníme:
$ sudo iptables -D INPUT -p icmp --icmp-type echo-request -j REJECT
Uživatelé mohou snadno odstranit všechna nechtěná pravidla. Mohou jednoduše použít příkaz -D smazat kterékoli z pravidel.
Odstranění vlastních pravidel
Chcete-li odstranit vlastní pravidla přidaná do iptables, zadejte do okna terminálu následující příkaz, abyste odstranili jakékoli nežádoucí pravidlo:
$ sudo iptables -F
Tímto způsobem mohou uživatelé přidávat a odblokovat PING z iptables.
Závěr
V tomto článku jsme prošli metodou deaktivace a povolení PING pomocí parametrů jádra a iptables v systému Linux Mint 20. Parametry jádra umožňovaly uživatelům uložit nastavení buď trvale, nebo dočasně. Diskutovali jsme o instalaci iptables a poté jsme prošli metodu deaktivace PING s vhodnými příklady. Poté jsme viděli metodu odblokování PING z iptables. V tomto článku jsme zkontrolovali, jak odstranit a smazat pravidla, ať už jsou vlastní nebo fungují jako blokující pro systém.