Internet Control Message Protocol, også kjent som ICMP, er en protokoll som brukes til å kontrollere tilkoblingen til vertene i et nettverk. Vi kan også bruke denne protokollen til å diagnostisere problemene i et nettverk. Men fra et sikkerhetsmessig synspunkt kan den også brukes av noen til å utføre et DDoS-angrep. En pingflom eller et DDoS-angrep (Distribuert Denial of Service) er en form for angrep der noen sender mange pingforespørsler til en vert, og verten blir nesten utilgjengelig for rutinemessig trafikk. For å unngå denne typen situasjoner blokkerer nettverksadministratorer vanligvis ICMP i nettverket. I denne artikkelen vil vi lære hvordan IP-tabeller kan brukes til å blokkere ICMP på serveren vår.
Hva er IP-tabellene?
IP Tables er et brannmurprogram for Linux-operativsystemer. Den kan brukes til å godta, nekte eller returnere nettverkstrafikk til eller fra en kilde. Den observerer den kommende nettverkstrafikken ved hjelp av forskjellige sett med regler definert i en tabell. Disse settene med regler kalles kjeder. IP-tabeller observerer pakker med data og hvilken pakke som samsvarer med regler, blir sendt til en annen kjede eller tildelt en av følgende verdier.
- AKSEPTERT: Pakken får passere
- MISTE: Pakken får ikke passere
- KOMME TILBAKE: Kjeden vil returnere pakken til forrige kjede.
Installere IP-tabeller
For de fleste Linux-distribusjoner er IP-tabeller forhåndsinstallert. Du kan sjekke om IP-tabeller er installert eller ikke ved å skrive følgende kommando i terminalen.
[e-postbeskyttet]: ~ $ iptables --versjonHvis IP-tabeller ikke er installert, kan du installere dem ved å kjøre følgende kommando i terminalen.
[e-postbeskyttet]: ~ $ sudo apt-get oppdatering[e-postbeskyttet]: ~ $ sudo apt-get install iptables
Vi kan sjekke standardstatus for IP-tabeller ved å kjøre følgende kommando i terminalen.
[e-postbeskyttet]: ~ $ sudo iptables -L -v'-L' flagget viser alle reglene, og '-v' flagget viser detaljert informasjon.
Alternativt kan vi også liste opp alle reglene som er lagt til IP-tabellene ved å kjøre følgende kommando i terminalen.
[e-postbeskyttet]: ~ $ sudo iptables -S
Som standard godtar alle kjedene pakkene, og disse kjedene er ikke tildelt noen regel.
Tilordne regler til kjeder
I utgangspunktet er ingen regel tildelt noen kjede, og de godtar alle nettverkstrafikk. Nå i denne delen vil vi se hvordan vi kan definere egendefinerte regler for å blokkere eller tillate nettverkstrafikk. For å definere en ny regel bruker vi flagget 'A' (legg til), som forteller IP-tabellene at en ny regel skal defineres. Følgende alternativer brukes også sammen med 'A' flagget for å beskrive regelen.
-Jeg (grensesnitt): Dette alternativet indikerer gjennom hvilket grensesnitt du vil at nettverkstrafikken skal tillates eller blokkeres. Du kan få en liste over alle grensesnitt på systemet ditt ved å kjøre følgende kommando i terminalen.
[e-postbeskyttet]: ~ $ ifconfig-s (protokoll): Dette alternativet definerer hvilken protokoll du vil filtrere ved hjelp av IP-tabeller. Dette kan være TCP, UDP, ICMP, ICMPV6, etc. Du kan bruke regler på alle protokoller ved å bruke alle alternativene.
-s (kilde): Dette alternativet viser kilden til nettverkstrafikk som IP-adresse eller domenenavn.
-dport (destinasjonsport): Dette alternativet brukes til å indikere destinasjonsporten for nettverkstrafikk.
-j (mål): Dette alternativet brukes til å vise målet. Det kan være ACCEPT, DROP, REJECT, eller RETURN. Dette alternativet er obligatorisk for hver regel.
Generelt sett vil den grunnleggende syntaksen for å legge til en regel være som følger:
[e-postbeskyttet]: ~ $ sudo iptables -A-s