ping이나 tracert에 응답하지 않기 실습

 

• 해커가 타겟 서버의 IP 를 자신의 출발지 네트워크로 위장해서 수시로 전체 네트워크에 ARP 프로토콜로 echo request 브로드 캐스팅해서 특정 노드를 찾으면, 모든 클라이언트들이 이 패킷을 받고 해당 노드가 echo reply 로 자신의 MAC 주소를 해커에게 응답하므로 네트워크상의 트래픽이 과부하되어 서버가 DoS 공격을 받게 되는 셈이 된다.
• 또 nmap -sS 192.168.100.100 식으로 타겟머신의 서비스와 포트를 알아내는 nmap 도구도 ICMP 프로토콜이 사용되므로 echo request 에 대한 echo reply 를 막아두면 내부 정보가 노출되지 않을 것이다.
• ⇒ 이런 공격을 막으려면 브로드캐스트로 요청되는 echo request ICMP 패킷에 응답하지 않게 하거나, 라우터와 서버에 패킷 필터링을 걸어서 패킷 량을 조절해두면 된다.

# sysctl -a | grep icmp_echo_ignore_all

• ping 은 echo reply 와 echo request 를 이용하기 때문에 2개를 막으면 된다.

다른 머신 구동

$ ping -c 3 192.168.100.128

# sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1

broadcasts 에 대해서만 ignore 해라

 

icmp 가 ping 같은 것이다

또는

# echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

모든 icmp_echo 에 대해서 ignore 해라

 

두가지 다 하고 다른 머신에서 다시 ping

 

 

이걸 영구히 짱 박으려면

# nano /etc/sysctl.conf

# iptables -I INPUT 1 -p icmp -j DROP

drop 은 log 에 남기지 않고 버리는 것이고

eject 는 log 에 남기고 버리는 것입니다.

# service iptables save && service iptables restart