Kako koristiti IP tablice za blokiranje ICMP-a

Internet Control Message Protocol, također poznat kao ICMP, protokol je koji se koristi za provjeru povezanosti hostova u mreži. Ovaj protokol također možemo koristiti za dijagnosticiranje problema u mreži. Ali sa sigurnosnog gledišta, netko ga također može koristiti za izvršavanje DDoS napada. Poplava pinga ili napad distribuiranog uskraćivanja usluge (DDoS) oblik je napada u kojem netko šalje puno zahtjeva za ping hostu, a domaćin postaje gotovo nedostupan rutinskom prometu. Da bi izbjegli takvu situaciju, mrežni administratori obično blokiraju ICMP na svojoj mreži. U ovom ćemo članku naučiti kako se IP tablice mogu koristiti za blokiranje ICMP-a na našem poslužitelju.

Što su IP tablice?

IP Tables je uslužni program vatrozida za operativne sustave Linux. Može se koristiti za prihvaćanje, odbijanje ili vraćanje mrežnog prometa prema izvoru ili iz njega. Promatra nadolazeći mrežni promet koristeći različite skupove pravila definiranih u tablici. Ti se skupovi pravila nazivaju lancima. IP tablice promatraju pakete podataka i koji se paket podudara s pravilima usmjerava se na drugi lanac ili im se dodjeljuje jedna od sljedećih vrijednosti.

• PRIHVAĆENO: Paket će moći proći
• PAD: Paket neće moći proći
• POVRATAK: Lanac će vratiti paket na prethodni lanac.

Instaliranje IP tablica

Za većinu Linux distribucija IP tablice dolaze unaprijed instalirane. Možete provjeriti jesu li IP tablice instalirane ili ne upisivanjem sljedeće naredbe u terminal.

[zaštićena e-poštom]: ~ $ iptables --version

Ako IP tablice nisu instalirane, možete ih instalirati pokretanjem sljedeće naredbe u terminalu.

[zaštićena e-poštom]: ~ $ sudo apt-get update
[zaštićena e-poštom]: ~ $ sudo apt-get install iptables

Zadani status IP tablica možemo provjeriti izvođenjem sljedeće naredbe u terminalu.

[zaštićena e-poštom]: ~ $ sudo iptables -L -v

Oznaka '-L' prikazuje sva pravila, a zastavica '-v' prikazuje detaljne informacije.

Alternativno, također možemo navesti sva pravila dodana u IP tablice pokretanjem sljedeće naredbe u terminalu.

[e-pošta zaštićena]: ~ $ sudo iptables -S

Prema zadanim postavkama, svi lanci prihvaćaju pakete i ti lanci nemaju dodijeljeno pravilo.

Dodjeljivanje pravila lancima

U početku nijednom lancu nije dodijeljeno pravilo i svi oni prihvaćaju mrežni promet. Sada ćemo u ovom odjeljku vidjeti kako možemo definirati prilagođena pravila za blokiranje ili dopuštanje mrežnog prometa. Da bismo definirali novo pravilo, koristimo zastavicu 'A' (dodavanje), koja IP tablicama govori da će novo pravilo biti definirano. Sljedeće opcije se također koriste zajedno sa zastavicom 'A' za opis pravila.

-ja (sučelje): Ova opcija pokazuje preko kojeg sučelja želite da vaš mrežni promet bude dopušten ili blokiran. Popis svih sučelja na vašem sustavu možete dobiti pokretanjem sljedeće naredbe u terminalu.

[e-pošta zaštićena]: ~ $ ifconfig

-str (protokol): Ova opcija definira koji protokol želite filtrirati pomoću IP tablica. To može biti TCP, UDP, ICMP, ICMPV6 itd. Možete primijeniti pravila na sve protokole pomoću svih opcija.

-s (izvor): Ova opcija prikazuje izvor mrežnog prometa poput IP adrese ili imena domene.

-dport (odredišni port): Ova se opcija koristi za označavanje odredišnog porta za mrežni promet.

-j (cilj): Ova se opcija koristi za prikaz cilja. To može biti PRIHVATI, PUSTI, ODBIJI ili VRATI. Ova je opcija obavezna za svako pravilo.

Općenito, osnovna sintaksa za dodavanje pravila bit će sljedeća:

[zaštićena e-poštom]: ~ $ sudo iptables -A -ja -j
-str -dport -s

Blokiranje ICMP-a pomoću IP tablica

Do sada imamo osnovno razumijevanje IP tablica i njihove upotrebe za omogućavanje ili blokiranje prometa na određenim priključcima kroz određena sučelja. Sada ćemo koristiti IP tablice za blokiranje ICMP-a na našem poslužitelju.

Sljedeća naredba će dodati pravilo za blokiranje ICMP-a na vašem računalu:

[zaštićena e-poštom]: ~ $ sudo iptables -A ULAZ -j ODBIJANJE -p icmp - echo-type tipa -mpmp

Nakon pokretanja gornje naredbe, sada provjerite status IP tablica.

[e-pošta zaštićena]: ~ $ sudo iptables -L -v

Vidimo da je u lanac INPUT dodano pravilo koje pokazuje da će sav ICMP promet biti odbijen. Sada, ako pingamo naš sustav s bilo kojeg drugog sustava iz iste mreže, odbit će zahtjev. Rezultat možemo vidjeti podnošenjem zahtjeva za ping od localhosta

[e-pošta zaštićena]: ~ $ ping 127.0.0.1

Vidimo da sustav dobivamo poruke odbijanja ako mu pokušamo uputiti ping zahtjev.

Sljedeće dvije naredbe mogu se koristiti za dodavanje pravila za blokiranje ICMP-a na našem poslužitelju.

[zaštićena e-poštom]: ~ $ sudo iptables -A ULAZ -p icmp -j DROP - echo-type -mpmp tipa
[e-pošta zaštićena]: ~ $ sudo iptables -A IZLAZ -p icmp -j DROP - emp-type -mpmp

Nakon dodavanja ova dva pravila, sada provjerite status IP tablica.

[e-pošta zaštićena]: ~ $ sudo iptables -L -v

Možemo vidjeti da je gornja naredba dodala dva pravila, jedno lancu INPUT, a drugo lancu OUTPUT.

Razlika između DROP i REJECT je u tome što kada koristimo REJECT, prikazuje nam upozorenje (Destination port Unreachable) kada pingamo jer je zahtjev odbijen i ne dolazi do luke. S druge strane, kada koristimo DROP, on jednostavno ispušta izlaz. Ulaz nije odbijen, obrađuje se, ali izlaz nije prikazan kao što je prikazano u nastavku

Zaključak

Hakeri usvajaju različite metode za izvršavanje napada na distribuirano uskraćivanje usluge (DDoS) na poslužiteljima. Ping poplava također je oblik DDoS napada. Hakeri poslužitelju šalju toliko zahtjeva za ping da poslužitelj koristi svu svoju računalnu snagu za obradu zahtjeva za ping i ne izvršava stvarnu obradu. U ovom ili više drugih scenarija možda ćete trebati blokirati ICMP na poslužitelju.

U ovom smo članku naučili različite načine blokiranja ICMP-a pomoću IP tablica. Razgovarali smo o tome kako možemo dodati različita pravila za blokiranje ICMP-a na našem poslužitelju. Na isti način, možemo koristiti IP tablice za blokiranje bilo koje vrste prometa na bilo kojem priključku pomoću IP tablica.