Блокируем хакерам ICMP-пакеты без использования файервола iptables

ICMP-пакет позволяет пингануть ваш компьютер. Если компьютер отвечает, то следующим шагом станет сканирование портов. Если ваш компьютер проигнорирует ICMP-запрос, то для атакующего всё будет выглядеть так, словно ваш компьютер выключен. В общем, для домашней системы блокировка ICMP является хорошей идеей. Рассмотрим, как стать невидимкой в одну строчку.

Как отключить ответы на ICMP-запросы

Очень просто:

# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

Это всё. Ваш компьютер больше не пингуется. Но только в течении сеанса работы, а после перезагрузки настройки вернутся. Этого можно избежать так:

# echo "net.ipv4.icmp_echo_ignore_all = 1" >> /etc/sysctl.conf
# sysctl -p

Как отключить ping на уровне iptables

Если вы всё же пользуетесь мощным, удобным и очень надежным файерволом iptables, смысла городить огород с sysctl нет никакого. Проще добавить правило для iptables:

# iptables -A INPUT --proto icmp -j DROP

Дистрибутивы: 
Названия программ: 
Программное обеспечение: 

Комментарии

Только большинство домашних компьютеров за NAT'ом и снаружи пингуется роутер.

Блокируем хакерам

Хакеры просто спят и видят, как взломать Пентагон мой кампуктер.

Между фразой "мне нечего скрывать" и "спасаемся от хакеров" огромная пропасть.
Такая же, как между фразами "подставляю сраку всем желающим" и "запираюсь в бункере от порабощения".

Не вижу принципиальной разницы. Человек, который считает, что ему нечего скрывать от потенциальных взломщиков определенно глуп.

Изначальный посыл был в том, что закрывать домашний компьютер от потенциальной хакерской атаки — мягко говоря, преувеличение большая перестраховка. Человек, который считает, что ничем не примечательный компьютер обывателя представляет интерес для хакера, определенно параноик.

Лох, который считает, что его компьютер не ломанут, чтобы сделать частью ботнета и заработать денег определенно глуп.

Это вы как авторитетный хакер так категорично заявляете, что ли?

Я это заявляю, пользуясь тем, чем забыли воспользоваться вы — мозгом. Вы полагаете, что хакер по одному IP видит то, насколько состоятелен юзер за компом и есть ли чем у него поживиться. Я же считаю, что сначала хакер тебя ломанет. Если есть чем поживиться, то поживится. Если тырить нечего, то комп станет частью ботнета и хакер заработает на DDoS. А еще может зашифровать данные и потребовать выкуп. Только идиот может полагать, что хакер обойдет его стороной лишь взглянув на IP. ;)

А если открытых портов нет ?

Нет никакой связи. ICMP всё равно пройдет, а ОС предательски ответит каккеру.

Комментировать

Filtered HTML

  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.