Az Internet Control Message Protocol, más néven ICMP, egy protokoll, amelyet a hosztok hálózati kapcsolatának ellenőrzésére használnak. Használhatjuk ezt a protokollt a hálózatok problémáinak diagnosztizálására is. De biztonsági szempontból valaki használhatja DDoS támadás végrehajtására is. A ping áradás vagy az elosztott szolgáltatásmegtagadás (DDoS) támadás egy olyan támadási forma, amikor valaki rengeteg ping kérést küld egy gazdagépnek, és a gazdagép szinte elérhetetlenné válik a rutin forgalom számára. Az ilyen helyzet elkerülése érdekében a rendszergazdák általában blokkolják az ICMP-t a hálózatukon. Ebben a cikkben megtudhatjuk, hogyan használhatók az IP-táblák az ICMP blokkolására a szerverünkön.
Mik az IP-táblák?
Az IP Tables egy tűzfal segédprogram Linux operációs rendszerekhez. Használható hálózati forgalom elfogadására, megtagadására vagy visszaadására egy forrásból vagy onnan. Megfigyeli az elkövetkező hálózati forgalmat egy táblázatban meghatározott különféle szabálykészletek felhasználásával. Ezeket a szabályrendszereket láncoknak nevezzük. Az IP-táblák megfigyelik az adatcsomagokat, és a szabályokkal egyező csomagok egy másik láncra irányulnak, vagy a következő értékek egyikéhez vannak rendelve.
- ELFOGADOTT: A csomag átengedhető lesz
- CSEPP: A csomag nem engedhető át
- VISSZATÉRÉS: A lánc visszaadja a csomagot az előző láncnak.
IP-táblák telepítése
A legtöbb Linux disztribúció esetén az IP táblák előre vannak telepítve. A következő parancs beírásával ellenőrizheti, hogy az IP-táblák telepítve vannak-e vagy sem.
[e-mail védett]: ~ $ iptables --versionHa az IP-táblák nincsenek telepítve, akkor a következő parancs futtatásával telepítheti őket a terminálon.
[e-mail védett]: ~ $ sudo apt-get update[email protected]: ~ $ sudo apt-get install iptables
A következő parancs futtatásával ellenőrizhetjük az IP-táblák alapértelmezett állapotát.
[e-mail védett]: ~ $ sudo iptables -L -vA '-L' jelöli az összes szabályt, a '-v' pedig részletes információkat jelenít meg.
Alternatív megoldásként felsorolhatjuk az IP-táblákhoz hozzáadott összes szabályt is a következő parancs futtatásával a terminálban.
[e-mail védett]: ~ $ sudo iptables -S
Alapértelmezés szerint az összes lánc elfogadja a csomagokat, és ezekhez a láncokhoz nincs hozzárendelve szabály.
Szabályok hozzárendelése láncokhoz
Kezdetben egyetlen lánchoz sem rendelnek szabályt, és mindannyian elfogadják a hálózati forgalmat. Ebben a szakaszban meglátjuk, hogyan definiálhatunk egyéni szabályokat a hálózati forgalom blokkolásához vagy engedélyezéséhez. Új szabály definiálásához használjuk az 'A' (függelék) jelzőt, amely megmondja az IP tábláknak, hogy új szabályt kell definiálni. A következő lehetőségeket használják az A jelzővel együtt a szabály leírására.
-én (interfész): Ez az opció jelzi, hogy melyik felületen szeretné engedélyezni vagy blokkolni a hálózati forgalmat. A következő parancs futtatásával kapja meg a rendszer összes interfészét.
[e-mail védett]: ~ $ ifconfig-o (protokoll): Ez az opció meghatározza, hogy melyik protokollt kívánja szűrni az IP táblák segítségével. Ez lehet TCP, UDP, ICMP, ICMPV6 stb. Az összes lehetőség használatával szabályokat alkalmazhat az összes protokollra.
-s (forrás): Ez az opció megmutatja a hálózati forgalom forrását, például IP-címet vagy tartománynevet.
-dport (célport): Ez az opció a hálózati forgalom célportjának megjelölésére szolgál.
-j (target): Ez az opció a cél megjelenítésére szolgál. Ez lehet ELFOGADÁS, CSEPP, ELutasítás vagy VISSZATÉRÉS. Ez a lehetőség minden szabály esetében kötelező.
Általában a szabály hozzáadásának alapvető szintaxisa a következő lesz:
[e-mail védett]: ~ $ sudo iptables -A-o