Блокируем хакерам ICMP-пакеты без использования файервола iptables

ICMP-пакет позволяет пингануть ваш компьютер. Если компьютер отвечает, то следующим шагом станет сканирование портов. Если ваш компьютер проигнорирует ICMP-запрос, то для атакующего всё будет выглядеть так, словно ваш компьютер выключен. В общем, для домашней системы блокировка ICMP является хорошей идеей. Рассмотрим, как стать невидимкой в одну строчку.

Как отключить ответы на ICMP-запросы

Очень просто:

# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

Это всё. Ваш компьютер больше не пингуется. Но только в течении сеанса работы, а после перезагрузки настройки вернутся. Этого можно избежать так:

# echo "net.ipv4.icmp_echo_ignore_all = 1" >> /etc/sysctl.conf 
# sysctl -p

Как отключить ping на уровне iptables

Если вы всё же пользуетесь мощным, удобным и очень надежным файерволом iptables, смысла городить огород с sysctl нет никакого. Проще добавить правило для iptables:

# iptables -A INPUT --proto icmp -j DROP
Ваша оценка: Нет Средняя оценка: 5 (6 votes)

Только большинство домашних компьютеров за NAT'ом и снаружи пингуется роутер.

Ваша оценка: Нет Средняя оценка: 4.4 (5 votes)
old_astronaut

Блокируем хакерам

Хакеры просто спят и видят, как взломать Пентагон мой кампуктер.

Ваша оценка: Нет Средняя оценка: 1 (2 votes)
pomodor

Мне нечего скрывать — я идиот

Ваша оценка: Нет Средняя оценка: 4 (4 votes)
old_astronaut

Между фразой "мне нечего скрывать" и "спасаемся от хакеров" огромная пропасть.
Такая же, как между фразами "подставляю сраку всем желающим" и "запираюсь в бункере от порабощения".

Ваша оценка: Нет Средняя оценка: 2.3 (3 votes)
pomodor

Не вижу принципиальной разницы. Человек, который считает, что ему нечего скрывать от потенциальных взломщиков определенно глуп.

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)
old_astronaut

Изначальный посыл был в том, что закрывать домашний компьютер от потенциальной хакерской атаки — мягко говоря, преувеличение большая перестраховка. Человек, который считает, что ничем не примечательный компьютер обывателя представляет интерес для хакера, определенно параноик.

Ваша оценка: Нет Средняя оценка: 2.3 (3 votes)
pomodor

Лох, который считает, что его компьютер не ломанут, чтобы сделать частью ботнета и заработать денег определенно глуп.

Ваша оценка: Нет Средняя оценка: 3 (4 votes)
old_astronaut

Это вы как авторитетный хакер так категорично заявляете, что ли?

Ваша оценка: Нет Средняя оценка: 1 (2 votes)
pomodor

Я это заявляю, пользуясь тем, чем забыли воспользоваться вы — мозгом. Вы полагаете, что хакер по одному IP видит то, насколько состоятелен юзер за компом и есть ли чем у него поживиться. Я же считаю, что сначала хакер тебя ломанет. Если есть чем поживиться, то поживится. Если тырить нечего, то комп станет частью ботнета и хакер заработает на DDoS. А еще может зашифровать данные и потребовать выкуп. Только идиот может полагать, что хакер обойдет его стороной лишь взглянув на IP. ;)

Ваша оценка: Нет Средняя оценка: 5 (4 votes)

А если открытых портов нет ?

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
pomodor

Нет никакой связи. ICMP всё равно пройдет, а ОС предательски ответит каккеру.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Счетчики
  • Самый популярный сайт о Linux и Windows 10
  • Индекс цитирования