Phenquestions
Интернет Цонтрол Мессаге Протоцол, познат и као ИЦМП, је протокол који се користи за проверу повезаности хостова у мрежи. Овај протокол такође можемо користити за дијагнозу проблема у мрежи. Али са безбедносног становишта, неко га такође може користити за извршавање ДДоС напада. Поплава пинг-а или напад дистрибуираног ускраћивања услуге (ДДоС) облик је напада у којем неко шаље пуно захтева за пинг хосту, а домаћин постаје готово неприступачан за рутински саобраћај. Да би избегли овакву ситуацију, мрежни администратори обично блокирају ИЦМП на својој мрежи. У овом чланку ћемо научити како се ИП табеле могу користити за блокирање ИЦМП-а на нашем серверу.
Шта су ИП табеле?
ИП Таблес је услужни програм заштитног зида за оперативне системе Линук. Може се користити за прихватање, одбијање или враћање мрежног саобраћаја од или до извора. Посматра надолазећи мрежни саобраћај користећи различите скупове правила дефинисаних у табели. Ови скупови правила називају се ланци. ИП табеле посматрају пакете података и који се пакет подудара са правилима, усмерени су на други ланац или им је додељена једна од следећих вредности.
- ПРИХВАЋЕНО: Пакет ће моћи да прође
- КАП: Пакету неће бити дозвољено да прође
- ПОВРАТАК: Ланац ће вратити пакет на претходни ланац.
Инсталирање ИП табела
За већину Линук дистрибуција ИП табеле долазе унапред инсталиране. Можете проверити да ли су ИП табеле инсталиране или не уношењем следеће наредбе у терминал.
[заштићена е-поштом]: ~ $ иптаблес --версионАко ИП табеле нису инсталиране, можете их инсталирати покретањем следеће наредбе у терминалу.
[заштићен е-поштом]: ~ $ судо апт-гет упдате[заштићен е-поштом]: ~ $ судо апт-гет инсталл иптаблес
Подразумевани статус ИП табела можемо проверити покретањем следеће наредбе у терминалу.
[заштићена е-поштом]: ~ $ судо иптаблес -Л -вОзнака '-Л' садржи сва правила, а заставица '-в' приказује детаљне информације.
Алтернативно, такође можемо навести сва правила додата у ИП табеле покретањем следеће наредбе у терминалу.
[заштићена е-поштом]: ~ $ судо иптаблес -С
Подразумевано сви ланци прихватају пакете и ти ланци немају додељено правило.
Додељивање правила ланцима
У почетку ниједном ланцу није додељено правило и сви они прихватају мрежни саобраћај. Сада ћемо у овом одељку видети како можемо да дефинишемо прилагођена правила за блокирање или омогућавање мрежног саобраћаја. Да бисмо дефинисали ново правило, користимо заставицу 'А' (додавање), која говори ИП табелама да ће ново правило бити дефинисано. Следеће опције се такође користе заједно са заставицом 'А' за описивање правила.
-и (интерфејс): Ова опција показује преко ког интерфејса желите да ваш мрежни саобраћај буде дозвољен или блокиран. Попис свих интерфејса на вашем систему можете добити покретањем следеће наредбе у терминалу.
[заштићен е-поштом]: ~ $ ифцонфиг-стр (протокол): Ова опција дефинише који протокол желите да филтрирате помоћу ИП табела. То може бити ТЦП, УДП, ИЦМП, ИЦМПВ6 итд. Можете применити правила на све протоколе користећи све опције.
-с (извор): Ова опција приказује извор мрежног промета попут ИП адресе или имена домена.
-дпорт (одредишни порт): Ова опција се користи за означавање одредишног порта за мрежни саобраћај.
-ј (циљ): Ова опција се користи за приказ циља. Може бити ПРИХВАТИ, ПУСТИ, ОДБИЈЕ или ВРАТИ. Ова опција је обавезна за свако правило.
Генерално, основна синтакса за додавање правила биће следећа:
[заштићена е-поштом]: ~ $ судо иптаблес -А-стр
Блокирање ИЦМП-а помоћу ИП табела
До сада имамо основно разумевање ИП табела и њихове употребе за омогућавање или блокирање саобраћаја на одређеним портовима кроз одређене интерфејсе. Сада ћемо користити ИП табеле за блокирање ИЦМП-а на нашем серверу.
Следећа команда ће додати правило за блокирање ИЦМП-а на вашем рачунару:
[заштићен е-поштом]: ~ $ судо иптаблес -А УЛАЗ -ј ОДБИЈАЊЕ -п ицмп - ецхо-типеНакон покретања горње наредбе, сада проверите статус ИП табела.
[заштићена е-поштом]: ~ $ судо иптаблес -Л -в
Видимо да је у ланац ИНПУТ додато правило које показује да ће сав ИЦМП саобраћај бити одбијен. Сада, ако пингујемо наш систем из било ког другог система из исте мреже, одбациће захтев. Резултат можемо видети подношењем захтева за пинг од локалног хоста
[емаил заштићен]: ~ $ пинг 127.0.0.1
Можемо да примимо поруке одбијања од система ако покушамо да му пошаљемо пинг захтев.
Следеће две команде се могу користити за додавање правила за блокирање ИЦМП-а на нашем серверу.
[заштићена е-поштом]: ~ $ судо иптаблес -А УЛАЗ -п ицмп -ј ДРОП - емп-захтев типа ицмп[заштићена е-поштом]: ~ $ судо иптаблес -А ИЗЛАЗ -п ицмп -ј ДРОП - емп-типе -мпмп-типе
Након додавања ова два правила, сада проверите статус ИП табела.
[заштићена е-поштом]: ~ $ судо иптаблес -Л -в
Видимо да је горња команда додала два правила, једно ланцу ИНПУТ, а друго ланцу ОУТПУТ.
Разлика између ДРОП и РЕЈЕЦТ је у томе што када користимо РЕЈЕЦТ, приказује нам упозорење (Дестинатион порт Унреацхабле) када пингујемо јер је захтев одбијен и не стиже до порта. С друге стране, када користимо ДРОП, он једноставно испушта излаз. Улаз није одбијен, он се обрађује, али излаз није приказан као што је приказано доле
Закључак
Хакери усвајају различите методе за извршавање напада дистрибуираног ускраћивања услуге (ДДоС) на сервере. Пинг поплава је такође облик ДДоС напада. Хакери шаљу толико захтева за пинг серверу да сервер користи сву своју рачунарску снагу за обраду захтева за пинг и не врши његову стварну обраду. У овом или у више других сценарија можда ћете требати блокирати ИЦМП на серверу.
У овом чланку смо научили различите начине блокирања ИЦМП-а помоћу ИП табела. Разговарали смо о томе како можемо додати различита правила за блокирање ИЦМП-а на нашем серверу. На исти начин, можемо користити ИП табеле за блокирање било које врсте промета на било ком порту користећи ИП табеле.
