Internet Control Message Protocol, joka tunnetaan myös nimellä ICMP, on protokolla, jota käytetään verkon isäntien yhteyden tarkistamiseen. Voimme myös käyttää tätä protokollaa verkon ongelmien diagnosointiin. Mutta turvallisuuden kannalta joku voi käyttää sitä myös DDoS-hyökkäyksen suorittamiseen. Ping-tulva tai hajautettu palvelunestohyökkäys (DDoS) on hyökkäyksen muoto, jossa joku lähettää paljon ping-pyyntöjä isännälle ja isäntään tulee rutiininomaiselle liikenteelle melkein mahdoton päästä. Tällaisen tilanteen välttämiseksi verkonvalvojat estävät yleensä ICMP: n verkossa. Tässä artikkelissa opit, miten IP-taulukoita voidaan käyttää palvelimemme ICMP: n estämiseen.
Mitkä ovat IP-taulukot?
IP Tables on palomuuriohjelma Linux-käyttöjärjestelmille. Sitä voidaan käyttää verkkoliikenteen hyväksymiseen, estämiseen tai palauttamiseen lähteestä tai lähteestä. Se tarkkailee tulevaa verkkoliikennettä käyttämällä erilaisia taulukossa määriteltyjä sääntöjä. Näitä sääntöjä kutsutaan ketjuiksi. IP-taulukot tarkkailevat datapaketteja ja ne paketit, jotka vastaavat sääntöjä, ohjataan toiseen ketjuun tai niille annetaan jokin seuraavista arvoista.
- HYVÄKSYTY: Paketti saa kulkea
- PUDOTA: Pakettia ei päästetä kulkemaan
- PALATA: Ketju palauttaa paketin edelliseen ketjuun.
IP-taulukoiden asentaminen
Suurimmalle osalle Linux-jakeluista IP-taulukot on asennettu valmiiksi. Voit tarkistaa, onko IP-taulukot asennettu, kirjoittamalla seuraava komento päätelaitteeseen.
[sähköposti suojattu]: ~ $ iptables --versioJos IP-taulukoita ei ole asennettu, voit asentaa ne suorittamalla seuraavan komennon päätelaitteessa.
[sähköposti suojattu]: ~ $ sudo apt-get update[sähköposti suojattu]: ~ $ sudo apt-get install iptables
Voimme tarkistaa IP-taulukoiden oletustilan suorittamalla seuraavan komennon päätelaitteessa.
[sähköposti suojattu]: ~ $ sudo iptables -L -v'-L' lippu listaa kaikki säännöt, ja '-v' lippu näyttää yksityiskohtaiset tiedot.
Vaihtoehtoisesti voimme myös luetella kaikki IP-taulukoihin lisätyt säännöt suorittamalla seuraavan komennon päätelaitteessa.
[sähköposti suojattu]: ~ $ sudo iptables -S
Oletuksena kaikki ketjut hyväksyvät paketit, eikä näihin ketjuihin ole määritetty sääntöä.
Sääntöjen määrittäminen ketjuille
Aluksi mitään sääntöä ei ole määritetty ketjulle, ja ne kaikki hyväksyvät verkkoliikenteen. Tässä osiossa näemme, kuinka voimme määrittää mukautetut säännöt verkkoliikenteen estämiseksi tai sallimiseksi. Uuden säännön määrittelemiseksi käytämme 'A' (liite) -lippua, joka kertoo IP-taulukoille uuden säännön määrittelemisen. Seuraavia vaihtoehtoja käytetään myös A-lipun kanssa säännön kuvaamiseksi.
-i (käyttöliittymä): Tämä vaihtoehto osoittaa, minkä käyttöliittymän kautta verkkoliikenne sallitaan tai estetään. Voit saada luettelon kaikista järjestelmän käyttöliittymistä suorittamalla seuraavan komennon päätelaitteessa.
[sähköposti suojattu]: ~ $ ifconfig-s (protokolla): Tämä vaihtoehto määrittää, minkä protokollan haluat suodattaa IP-taulukoiden avulla. Tämä voi olla TCP, UDP, ICMP, ICMPV6 jne. Voit soveltaa sääntöjä kaikkiin protokolliin käyttämällä kaikkia vaihtoehtoja.
-s (lähde): Tämä vaihtoehto näyttää verkkoliikenteen lähteen, kuten IP-osoitteen tai verkkotunnuksen nimen.
-dport (kohdeportti): Tätä vaihtoehtoa käytetään osoittamaan verkkoliikenteen kohdeportti.
-j (kohde): Tätä asetusta käytetään osoittamaan kohde. Se voi olla HYVÄKSY, PUDOTUS, Hylkää tai PALAUTA. Tämä vaihtoehto on pakollinen jokaiselle säännölle.
Yleensä säännön lisäämisen perussyntaksi on seuraava:
[sähköposti suojattu]: ~ $ sudo iptables -A-s