Phenquestions
Internet Control Message Protocol, joka tunnetaan myös nimellä ICMP, on protokolla, jota käytetään verkon isäntien yhteyden tarkistamiseen. Voimme myös käyttää tätä protokollaa verkon ongelmien diagnosointiin. Mutta turvallisuuden kannalta joku voi käyttää sitä myös DDoS-hyökkäyksen suorittamiseen. Ping-tulva tai hajautettu palvelunestohyökkäys (DDoS) on hyökkäyksen muoto, jossa joku lähettää paljon ping-pyyntöjä isännälle ja isäntään tulee rutiininomaiselle liikenteelle melkein mahdoton päästä. Tällaisen tilanteen välttämiseksi verkonvalvojat estävät yleensä ICMP: n verkossa. Tässä artikkelissa opit, miten IP-taulukoita voidaan käyttää palvelimemme ICMP: n estämiseen.
Mitkä ovat IP-taulukot?
IP Tables on palomuuriohjelma Linux-käyttöjärjestelmille. Sitä voidaan käyttää verkkoliikenteen hyväksymiseen, estämiseen tai palauttamiseen lähteestä tai lähteestä. Se tarkkailee tulevaa verkkoliikennettä käyttämällä erilaisia taulukossa määriteltyjä sääntöjä. Näitä sääntöjä kutsutaan ketjuiksi. IP-taulukot tarkkailevat datapaketteja ja ne paketit, jotka vastaavat sääntöjä, ohjataan toiseen ketjuun tai niille annetaan jokin seuraavista arvoista.
- HYVÄKSYTY: Paketti saa kulkea
- PUDOTA: Pakettia ei päästetä kulkemaan
- PALATA: Ketju palauttaa paketin edelliseen ketjuun.
IP-taulukoiden asentaminen
Suurimmalle osalle Linux-jakeluista IP-taulukot on asennettu valmiiksi. Voit tarkistaa, onko IP-taulukot asennettu, kirjoittamalla seuraava komento päätelaitteeseen.
[sähköposti suojattu]: ~ $ iptables --versioJos IP-taulukoita ei ole asennettu, voit asentaa ne suorittamalla seuraavan komennon päätelaitteessa.
[sähköposti suojattu]: ~ $ sudo apt-get update[sähköposti suojattu]: ~ $ sudo apt-get install iptables
Voimme tarkistaa IP-taulukoiden oletustilan suorittamalla seuraavan komennon päätelaitteessa.
[sähköposti suojattu]: ~ $ sudo iptables -L -v'-L' lippu listaa kaikki säännöt, ja '-v' lippu näyttää yksityiskohtaiset tiedot.
Vaihtoehtoisesti voimme myös luetella kaikki IP-taulukoihin lisätyt säännöt suorittamalla seuraavan komennon päätelaitteessa.
[sähköposti suojattu]: ~ $ sudo iptables -S
Oletuksena kaikki ketjut hyväksyvät paketit, eikä näihin ketjuihin ole määritetty sääntöä.
Sääntöjen määrittäminen ketjuille
Aluksi mitään sääntöä ei ole määritetty ketjulle, ja ne kaikki hyväksyvät verkkoliikenteen. Tässä osiossa näemme, kuinka voimme määrittää mukautetut säännöt verkkoliikenteen estämiseksi tai sallimiseksi. Uuden säännön määrittelemiseksi käytämme 'A' (liite) -lippua, joka kertoo IP-taulukoille uuden säännön määrittelemisen. Seuraavia vaihtoehtoja käytetään myös A-lipun kanssa säännön kuvaamiseksi.
-i (käyttöliittymä): Tämä vaihtoehto osoittaa, minkä käyttöliittymän kautta verkkoliikenne sallitaan tai estetään. Voit saada luettelon kaikista järjestelmän käyttöliittymistä suorittamalla seuraavan komennon päätelaitteessa.
[sähköposti suojattu]: ~ $ ifconfig-s (protokolla): Tämä vaihtoehto määrittää, minkä protokollan haluat suodattaa IP-taulukoiden avulla. Tämä voi olla TCP, UDP, ICMP, ICMPV6 jne. Voit soveltaa sääntöjä kaikkiin protokolliin käyttämällä kaikkia vaihtoehtoja.
-s (lähde): Tämä vaihtoehto näyttää verkkoliikenteen lähteen, kuten IP-osoitteen tai verkkotunnuksen nimen.
-dport (kohdeportti): Tätä vaihtoehtoa käytetään osoittamaan verkkoliikenteen kohdeportti.
-j (kohde): Tätä asetusta käytetään osoittamaan kohde. Se voi olla HYVÄKSY, PUDOTUS, Hylkää tai PALAUTA. Tämä vaihtoehto on pakollinen jokaiselle säännölle.
Yleensä säännön lisäämisen perussyntaksi on seuraava:
[sähköposti suojattu]: ~ $ sudo iptables -A-s
ICMP: n estäminen IP-taulukoiden avulla
Toistaiseksi meillä on perustiedot IP-taulukoista ja niiden käytöstä tietyn portin liikenteen sallimiseksi tai estämiseksi tiettyjen rajapintojen kautta. Nyt käytämme IP-taulukoita ICMP: n estämiseen palvelimellamme.
Seuraava komento lisää säännön estääksesi ICMP: n koneellasi:
[sähköposti suojattu]: ~ $ sudo iptables -A INPUT -j REJECT -p icmp --icmp-type echo-requestKun olet suorittanut yllä olevan komennon, tarkista nyt IP-taulukoiden tila.
[sähköposti suojattu]: ~ $ sudo iptables -L -v
Voimme nähdä, että INPUT-ketjuun on lisätty sääntö, joka osoittaa, että kaikki ICMP-liikenne hylätään. Jos nyt pingataan järjestelmäämme mistä tahansa muusta järjestelmästä samasta verkosta, se hylkää pyynnön. Voimme nähdä tuloksen tekemällä ping-pyynnön paikalliselta isännältä
[sähköposti suojattu]: ~ $ ping 127.0.0.1
Voimme nähdä, että saamme järjestelmästä hylkäysviestejä, jos yritämme tehdä sille ping-pyynnön.
Vaihtoehtoisesti seuraavia kahta komentoa voidaan käyttää lisäämään sääntöjä estämään ICMP palvelimellamme.
[sähköposti suojattu]: ~ $ sudo iptables -A INPUT -p icmp -j DROP --icmp-type echo-request[sähköposti suojattu]: ~ $ sudo iptables -A LÄHTÖ -p icmp -j DROP --icmp-tyyppinen echo-vastaus
Kun olet lisännyt nämä kaksi sääntöä, tarkista nyt IP-taulukoiden tila.
[sähköposti suojattu]: ~ $ sudo iptables -L -v
Voimme nähdä, että yllä oleva komento lisäsi kaksi sääntöä, yhden INPUT-ketjuun ja toisen OUTPUT-ketjuun.
Ero DROP: n ja REJECTin välillä on se, että kun käytämme REJECT-ohjelmaa, se näyttää meille varoituksen (kohdeporttia ei saavuteta) pingattaessa, koska pyyntö hylätään eikä se saavuta porttia. Toisaalta, kun käytämme DROPia, se yksinkertaisesti pudottaa tuotoksen. Tuloa ei hylätä, se käsitellään, mutta lähtöä ei näytetä alla olevan kuvan mukaisesti
Johtopäätös
Hakkerit käyttävät erilaisia menetelmiä DDoS (Distributed Denial of Service) -hyökkäysten suorittamiseksi palvelimille. Ping-tulva on myös eräänlainen DDoS-hyökkäys. Hakkerit lähettävät palvelimelle niin monta ping-pyyntöä, että palvelin käyttää kaiken laskentatehonsa ping-pyyntöjen käsittelyyn eikä suorita varsinaista käsittelyä. Tässä skenaariossa tai useissa muissa skenaarioissa sinun on ehkä estettävä palvelimen ICMP.
Tässä artikkelissa olemme oppineet erilaisia tapoja estää ICMP käyttämällä IP-taulukoita. Keskustelimme siitä, kuinka voimme lisätä erilaisia sääntöjä estämään ICMP palvelimellamme. Samalla tavalla voimme käyttää IP-taulukoita estämään kaikenlaisen liikenteen missä tahansa portissa käyttämällä IP-taulukoita.
