前言
一旦服务器接入互联网���,大幅便无时无刻不面临着黑客的下滑险键扫描和潜在攻击���。攻击者常常使用ping命令来探测服务器的服务在线状态� �
,进而调停攻击 ��。器攻超凡先锋科技辅助卡盟发卡网本文将介绍两种计划���:修改内核参数和配置防火墙�����,击流禁止以在Linux系统中实现禁止被ping� ��。量风
教程
一�����、操作实验环境���:操作系统
���:CentOS 7.8
二���、大幅内核参数修改���:
1�
���、下滑险键配置前测试�����:在修改前�����,服务确保服务器可以感谢客户端的器攻超凡先锋科技购买网站ping命令�����。
2����、击流禁止参数配置����:修改net.ipv4.icmp_echo_ignore_all参数����,量风以忽略所有ping请求����。操作默认值为0表示感谢所有ping访问;将值设置为1则不感谢ping� ���。大幅使用sysctl命令查校验
3����、超凡先锋科技小叮当最新版临时配置�� ��:通过向/proc/sys/net/ipv4/icmp_echo_ignore_all写入1�����,实现临时禁止ping�����,重启后失效
4���、永久配置� ���:
在/etc/sysctl.conf增补相应参数�
���,并通过sysctl -p命令应用更改���。超凡先锋科技辅助卡盟发卡网
vi /etc/sysctl.conf
##未行写入
net.ipv4.icmp_echo_ignore_all = 1
sysctl -p
三����、防火墙配置�����:
1��
�、前提
���:确保系统防火墙已打开���
�。
2���、禁止所有ping�
���:
使用firewall-cmd增补规则����,禁止所有ICMP协议的ping请求���
�。
firewall-cmd --permanent --add-rich-rule=rule protocol value="icmp" drop
firewall-cmd --reload
删除规则
firewall-cmd --permanent --remove-rich-rule=rule family="ipv4" protocol value="icmp" drop
firewall-cmd --reload
3���、允许特定IP ping����:
配置规则�
���,只允许特定IP地址(如192.168.226.1)ping服务器�� 。
firewall-cmd --permanent --add-rich-rule=rule family="ipv4" protocol value="icmp" source NOT address="192.168.226.1" drop
firewall-cmd --reload
删除规则
firewall-cmd --permanent --remove-rich-rule=rule family="ipv4" protocol value="icmp" source NOT address="192.168.211.101" drop
firewall-cmd --reload
四����、总结 ���:
Ping命令是网络诊断的基本工具��� ,通过ICMP协议检测主机间的连通性���。但出于安全思索����,我们可能需要禁止未授权的ping操作���
�。本文介绍的计划适用于希校验躲避服务器在线状态����,裁减被攻击风险的场景���。对于面向公众的服务器�����,建议禁用ping功能;若需更精细的控制��
,可以通过配置防火墙实现���。
提示
数据无价�����,请提前备份� �,建议建立一个文件修改记录��
,以便后期查阅自己修改了哪些内容修改落成后�����。
