আইসিএমপি ব্লক করবে না কেন?

আমি মনে করি আমার সেন্টপস 5.3 সিস্টেমে আমার প্রায় iptables সেটআপ সম্পূর্ণ আছে। এখানে আমার স্ক্রিপ্ট ...

# Establish a clean slate
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F # Flush all rules
iptables -X # Delete all chains

# Disable routing. Drop packets if they reach the end of the chain.
iptables -P FORWARD DROP

# Drop all packets with a bad state
iptables -A INPUT -m state --state INVALID -j DROP
# Accept any packets that have something to do with ones we've sent on outbound
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Accept any packets coming or going on localhost (this can be very important)
iptables -A INPUT -i lo -j ACCEPT
# Accept ICMP
iptables -A INPUT -p icmp -j ACCEPT

# Allow ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Allow httpd
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Allow SSL
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Block all other traffic 
iptables -A INPUT -j DROP

প্রসঙ্গে, এই মেশিনটি ভার্চুয়াল প্রাইভেট সার্ভার ওয়েব অ্যাপ্লিকেশন হোস্ট।

পূর্ববর্তী একটি প্রশ্নে , লি বি বলেছিলেন যে আমার "আইসিএমপি আরও কিছুটা লক ডাউন করা উচিত।" কেন এটি পুরোপুরি ব্লক করবেন না? আমি যদি তা করি তবে কী ঘটবে (কোন খারাপ জিনিসটি ঘটবে)?

যদি আমার আইসিএমপি ব্লক না করা দরকার হয় তবে আমি কীভাবে এটিকে আরও লক করা যায়?

আইসিএমপি হ'ল উপায়, "ট্রেস্রোলেট" এবং "পিং" এর চেয়ে বেশি। আপনি যখন কোনও ডিএনএস সার্ভার চালাবেন তখন প্রতিক্রিয়ার জন্য এটি ব্যবহার করা হবে (পোর্ট অলঙ্ঘনযোগ্য) যা একটি আধুনিক ডিএনএস সার্ভারে আসলে দ্রুত জিজ্ঞাসা করার জন্য একটি ভিন্ন মেশিন নির্বাচন করতে সহায়তা করতে পারে।

আইসিএমপিও, যেমন উপরে উল্লিখিত ছিল, এমটিইউ আবিষ্কারের পথে ব্যবহৃত হয়েছিল। সম্ভাব্যতা হ'ল এটির টিসিপি প্যাকেটে আপনার ওএস সেটগুলি "ডিএফ" (খণ্ড না) fra পথের পাশের কিছু যদি সেই আকারের প্যাকেটটি পরিচালনা করতে ব্যর্থ হয় তবে এটি একটি আইএমএমপি "ফ্রেগমেন্টেশন প্রয়োজনীয়" প্যাকেট ফিরে পাওয়ার প্রত্যাশা করছে। আপনি যদি সমস্ত আইসিএমপি অবরুদ্ধ করেন তবে আপনার মেশিনকে অন্যান্য ফলব্যাক প্রক্রিয়া ব্যবহার করতে হবে, যা মূলত পিএমটিইউ "ব্ল্যাকহোল" সনাক্ত করতে সময়সীমা ব্যবহার করে এবং কখনই সঠিকভাবে অনুকূলিত হবে না।

অতিরিক্তভাবে, আপনি নিজেকে আইসিএমপি ব্লক করতে চান তা জিজ্ঞাসা করা উচিত। আপনি এখানে বিশেষত কোনটি প্রতিরোধ করার চেষ্টা করছেন? এটি বেশ পরিষ্কার যে আপনি আইসিএমপি কী ব্যবহার করেন তা বোঝেন না, যা সাধারণ। আপনি সম্পূর্ণরূপে বুঝতে পারেন না এমন কোনও কিছু ব্লক করতে আমি অত্যন্ত সতর্ক থাকব।

এটি সম্পর্কে আরও জানার জন্য আরও শক্ত করে তোলার জন্য, প্রচলিত ফায়ারওয়াল বইগুলি "ব্লক আইসিএমপি" বলে - এটি স্পষ্ট যে তাদের লেখকরা আরএফসি পড়েনি বা এ জাতীয় পরামর্শের আশেপাশের সমস্যাগুলি সমাধান করতে হয়নি। সমস্ত আইসিএমপি ব্লক করার জন্য এটি খারাপ পরামর্শ।

এখন, রেট এটি সীমাবদ্ধ করাও আঘাত করতে পারে। আপনার মেশিনটি যদি ব্যস্ত থাকে, বা এটি নাও থাকে তবে আপনি প্রচুর পরিমাণে আইসিএমপি ট্র্যাফিক পেতে পারেন। আমার ওয়েব সার্ভারটি সম্ভবত প্রতি মিনিটে 10-100 আইসিএমপি প্যাকেট পায়, যার বেশিরভাগই পিএমটিইউ আবিষ্কার। এমনকি যদি কেউ আমার সার্ভারকে কোনও প্রকারের আইএমএমপি প্যাকেটগুলির সাথে আক্রমণ করতে বেছে নিয়েছে, তবে এটি সত্যিই এত বড় বিষয় নয়। যদি আপনার মেশিন এমনকি একটি টিসিপি সংযোগ (এসএসএস, এইচপি, মেল, ইত্যাদি) গ্রহণ করে তবে আইসিএমপি এর ভুল বোঝাবুঝির চেয়ে বড় আক্রমণ আক্রমণকারীই হবেন।

আইসিএমপি ব্যবহার করে ডায়াগনস্টিকের একটি পরিসীমা (যেমন পিং, ট্রেস্রোয়েট) এবং নেটওয়ার্ক নিয়ন্ত্রণ (যেমন পিএমটিইউ আবিষ্কার) ফাংশন। আইসিএমপি নির্বিচারে ব্লক করার ফলে অন্যান্য লোকেরা হরেক রকমের জ্বলন্ত জ্বলন সৃষ্টি করে এবং আপনি যা করছেন ঠিক তা না জানলে আপনার এটিকে একা রেখে দেওয়া উচিত।

আমি কখনই বুঝতে পারি না কেন লোকেরা আইসিএমপি ঘড়ি দেয়, যেমন এটি উপরে বলেছিল কেবল নিজের এবং অন্যদের জন্যই কখনও মাথা ব্যথা করে। আপনি নির্ধারণ করতে পারবেন যে কোনও হোস্ট সহজেই যথেষ্ট পরিমাণে আপ এবং এত দীর্ঘ যে এটি কোনও ডস হিসাবে ব্যবহার না করার জন্য যথেষ্ট সীমাবদ্ধ তাই আমি এটিকে অবরুদ্ধ করার কোনও বাধ্যতামূলক কারণ শুনিনি। (যদি কেউ কারণ নিয়ে আসতে পারেন তবে পোস্ট করুন)

আপনি কেবলমাত্র সীমাবদ্ধকরণের আইসিএমপি চেষ্টা করতে পারেন এটি কোনও ডস আক্রমণ হিসাবে ব্যবহার করা যায় না। তবে পিং, এমটিআর (আমি উইন্ডোজ সমতুল্য ভুলে যাচ্ছি), ট্রেস্রোয়েট (ট্রেসার্ট), আইসিএমপি ব্যবহার করার মতো অনেকগুলি সমস্যা সমাধানের সরঞ্জাম রয়েছে। এগুলি পুরোপুরি বাদ দেওয়া কেবল বোকামি। আপনি কোনও বন্দরগুলিতে টেলনেট করতে না পারলেও আপনার উদাহরণটি রয়েছে কিনা তা যাচাই করার একটি ভাল উপায়।

--limit 10/second

সুরক্ষা তত্ত্বটি কী পরামর্শ দেবে তার চেতনায় এখানে একটি বিকল্প দৃষ্টিভঙ্গি রয়েছে। অন্যান্য পোস্টারগুলি সঠিক যে সুরক্ষা অনুশীলনগুলি প্রায়শই অত্যধিক alousর্ষান্বিত হয়, তবে এটির বেশিরভাগেরই একটি ভাল ভিত্তি রয়েছে।

সুরক্ষা তত্ত্বটি সাধারণত আপনি কেবল যা প্রয়োজন তা সক্ষম করে enable অন্যান্য জিনিসগুলি (যা কার্যকর হতে পারে - উদাহরণস্বরূপ, পিং প্রতিক্রিয়াগুলি) আক্রমণকারী দ্বারা আপনার সিস্টেমের সুযোগ তৈরি করতে বা সম্ভবত এখনও আবিষ্কারযোগ্য কিছু দুর্বলতার জন্য আক্রমণ আক্রমণকারী হিসাবে ব্যবহার করা যেতে পারে।

সুতরাং, আইসিএমপি বার্তার ধরণগুলি দেখে, আপনার সিস্টেমের স্বাভাবিক ও সঠিক পরিচালনার জন্য আপনি কী প্রয়োজন?

• প্রতিধ্বনির উত্তর (পিং) - এত বেশি নয়
• অ্যাক্সেসযোগ্য গন্তব্য - এখানে দরকারী প্রচুর তথ্য। এটি অক্ষম করুন এবং আপনি কিছু ক্লায়েন্টের জন্য আপনার সার্ভারের অ্যাক্সেস ভঙ্গ করবেন।
• উত্স বাছা - 1995 সাল থেকে অবহেলা, এবং স্পষ্টতই (সর্বশেষে) 2005 সাল থেকে হোস্ট বাস্তবায়ন থেকে সরানো হয়েছে tools
• পুনঃনির্দেশ - অবশ্যই না
• রাউটারের বিজ্ঞাপন ও অনুরোধ - যদি আপনার স্টাটিকালি আপনার রুটগুলি কনফিগার করা হয়, এবং ডস এর জন্য ব্যবহার করা যেতে পারে তবে প্রয়োজন নেই। আপনার এটির প্রয়োজন না হলে আমি এটিকে অবরুদ্ধ করব এবং যদি আপনার এটির প্রয়োজন হয় তবে কেবলমাত্র সম্ভাব্য পরিচিত রাউটারগুলির কাছ থেকে তথ্য গ্রহণের জন্য কোনও নিয়ম কোড করুন।
• টিটিএল ছাড়িয়ে গেছে - কেবল ট্রেস্রোয়েটের জন্য নয়, আপনাকে বলে যে আপনার ট্র্যাফিক তার গন্তব্যে পৌঁছাচ্ছে না

... ইত্যাদি। আপনি যদি সত্যিই এটি বুঝতে চান তবে বিভিন্ন আইসিএমপি ধরণের এবং সেগুলির জন্য কী তা শিখুন। Wikipedia নিবন্ধটি একটি ভাল প্রথম ধাপ।

অনুশীলনে, সত্যিই কুরুচিপূর্ণ পুনর্নির্দেশ; আপনি যদি দ্রুত এবং দরকারী কিছু করতে চান তবে তা অবরুদ্ধ করুন এবং বাকিদের অনুমতি দিন।

আমি যুক্ত করব যে আইপেটেবল সংযোগ ট্র্যাকিং সক্রিয় সংযোগগুলির জন্য উপযুক্ত রিটার্ন আইসিএমপি প্যাকেটগুলিকে অনুমতি দেবে। সুতরাং আপনি যদি কনট্র্যাক চালিয়ে যাচ্ছেন, আপনি যতক্ষণ না রিল্যাটেড প্যাকেটগুলি গ্রহণ করছেন (যতক্ষণ না আপনি নিজের নিয়মে আইসিএমপি ব্লক করার আগে) বেশিরভাগ আইসিএমপি ইনবাউন্ডে ব্লক করতে সক্ষম হবেন।

নেটওয়ার্ক সংযোগ সমস্যা সমাধানের জন্য এটি একটি দরকারী ডায়াগনস্টিক সরঞ্জাম।

এটি আপনাকে ইন্টারনেটে অন্য কোথাও সংযোগগুলি ব্যবহার করার অনুমতি দেয় যা আপনার নেটওয়ার্কের চেয়ে ছোট এমটিইউ ব্যবহার করে। যদি আপনি এমন কোনও প্যাকেট প্রেরণ করার চেষ্টা করেন যা খুব বড় এবং খণ্ডিত করা যায় না, ডিভাইসটি প্যাকেটটি ফেলে দেয় এবং একটি আইএমএমপি ফ্রেগমেন্টেশন প্রয়োজনীয় প্যাকেট প্রেরকের কাছে প্রেরণ করে। আপনি যদি সমস্ত আইসিএমপি প্যাকেট ফেলে দেন তবে আপনি সেগুলি হারাবেন এবং অদ্ভুত জিনিসগুলি আপনার নেটওয়ার্কে ঘটে।

আসল প্রশ্নটি "আইসিএমপি ব্লক করুন কেন?" আপনি কি লাভ? আপনার সীমান্তে এবং আপনার মূল্যবান সম্পদের সামনে কেবল ফিল্টারিংয়ের নিয়ম রয়েছে।

পিং একটি দুর্দান্ত ডায়াগনস্টিক সরঞ্জাম, আপনি সত্যিই ইচ্ছা করেন যে আপনি এটি কোনও দিন পেয়েছেন। আমি এগুলি ব্যবহার করছি:

-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT

আপনি এটি শ্বাসরোধ করতে চান।

আজকাল এমনকি সার্ভারে আইসিএমপি প্যাকেট সীমাবদ্ধ করা ডিডোএস আক্রমণে মাথা ব্যাথা তৈরি করতে পারে। আক্রমণগুলি বেশিরভাগই একটি সার্ভারে বিশাল উইন্ডো আইসিএমপি অনুরোধ প্রেরণ করে করা হয় এবং সার্ভার যদি এর প্রতিটিটির প্রতিক্রিয়া জানাতে চেষ্টা করে থাকে তবে অনুমান করুন কী ঘটে?

আমাদের কাছে এমন একটি টিমস্পিক সার্ভার রয়েছে যা প্রতি দিনেই খারাপ প্যাকেট পায়, দু'মাসে কয়েকদিন ছিল যে আমাদের কিছু "ফ্রিটাইম" ছিল। আমরা যা করেছিলাম তা সম্পূর্ণরূপে অক্ষম / আইসিএমপি প্রতিক্রিয়াগুলিকে নিষ্ক্রিয় করা হয়েছে, সার্ভারে আমাদের কোনও ডিএনএস সার্ভার নেই, কোনও এনটিপি সার্ভার নেই, কোনও মেল সার্ভার নেই, কোনও এফটিপি সার্ভার নেই, কেবল দুটি অ্যাপাচি এবং টিমস্পিক রয়েছে। পরিষেবাগুলির জন্য অপরিবর্তিত সমস্ত বন্দর বন্ধ রয়েছে। আমরা এমনকি এসএসএস ব্লক করার পরিকল্পনা করছি এবং কেবল দুটি বন্দর খোলা রাখব। আজ 21k (!) স্থায়ী নিষেধাজ্ঞা রয়েছে।

পরিস্থিতিটি হ'ল আক্রমণকারীরা বেশিরভাগ আইসিএমপি টানেলিং ব্যবহার করেন এবং সার্ভার প্রশাসকদের সাথে কয়েকটি আকর্ষণীয় লগ লাইন নিয়ে আলোচনা করা হয়েছিল এবং তারা বলেছিলেন যে তাদের সার্ভারের আইসিএমপি অনুরোধ রয়েছে, তাই আক্রমণকারীরা তাদের ব্যবহারের সুরঙ্গটি টানেল তৈরি করতে এবং আমাদের আক্রমণ করার জন্য ব্যবহার করেছিল। অদ্ভুত লাগছে তবে সত্য।

আপনার যদি আপনার সার্ভারের ডায়াগনস্টিকসের প্রয়োজন না হয় এবং আপনি যদি অনুরোধগুলি সম্পূর্ণরূপে ব্লক করতে সক্ষম হন বা উদাহরণস্বরূপ বিশাল উইন্ডোগুলি ফেলে দিতে চান তবে তা করুন। আমি আপনাকে পুরোপুরি অবরুদ্ধ করার পরামর্শ দিচ্ছি: চীন, কোরিয়া, থাইল্যান্ড, তুরস্ক, কারণ বেশিরভাগ আইপি অ্যাড্রেসগুলি সেখান থেকে আসে। আমার কাছে এই দেশগুলির সম্পূর্ণ ইনটেনাম তালিকা ছিল তবে প্রায় প্রতিদিনই সেখান থেকে কিছু নতুন আসে।

আমি বলি আমি যা করি, আপনি যদি রাজি না হন - এটি করবেন না। যে হিসাবে সহজ। শুভকামনা

সর্বনিম্ন হিসাবে, আপনার আইসিএমপি প্রকারগুলি 3 (গন্তব্য অপ্রচলিত), 4 (উত্স সন্ধান) এবং 11 (সময় অতিক্রম করে) পাস করার অনুমতি দেওয়া উচিত। এই ধরণের সমস্তগুলি নেটওয়ার্ক সমস্যার সাথে মোকাবিলা করতে ব্যবহৃত হয় এবং ফিল্টার করা উচিত নয়।

iptables -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

(উত্স কাঁচের ধরণটি বর্তমানে অবচয় করা হয়েছে তবে এটি খোলার পক্ষে আঘাত লাগবে না)

আমি স্থানীয় ইন্ট্রানেট থেকে আইসিএমপি ট্র্যাফিকের অনুমতি দিই, এটি ইন্টারনেট থেকে ব্লক করুন। এইভাবে আমার সার্ভারটি কিন্তু অদৃশ্য অনলাইনে রয়েছে (এটি কেবলমাত্র একটি অ-স্ট্যান্ডার্ড এসএসএইচ পোর্টে সাড়া দেয়)।

iptables -I INPUT 7 -d 208.180.X.X -p icmp --icmp-type 8  -j DROP
iptables -I INPUT 8 -d 208.180.X.X -p icmp --icmp-type 0  -j DROP
iptables -I INPUT 9 -d 208.180.X.X -p icmp --icmp-type 11 -j DROP

এটি স্ট্যান্ডার্ড লুপব্যাক, প্রতিষ্ঠিত, ল্যান শ্বেত তালিকা, ভিওআইপি সরবরাহকারী শ্বেত তালিকা এবং এসএসএইচ পোর্ট এসিসিপিটিসের পরে এটি সন্নিবেশ করায়। আমি যে ট্র্যাফিকটি চাই তার অনুমতি দিই এবং তারপরে সার্ভারটিকে বিশ্বের অন্যান্য জায়গায় অদৃশ্য রাখার জন্য যথাসাধ্য চেষ্টা করব।