服务器禁止被ping
利用服务器搭建网站之后,一般都会担心自己的服务器被攻击,写这个旨在记录一下一些防护措施。
禁止ping服务器
网站的攻击一般是从ping开始的,黑客攻击网站前会先ping下服务器看其是否在线,所以如果服务器禁止ping,可以有效减少服务器被攻击次数。Centos系统默认是允许ping的,如你有服务器root账户管理权限,可以通过修改Centos系统内核参数永久禁止ping。
Linux默认是允许Ping响应的,系统是否允许Ping由2个因素决定的:
- 内核参数
- 防火墙。
需要2个因素同时允许才能允许Ping,2个因素有任意一个禁Ping就无法Ping。
具体的配置方法如下:
内核参数设置
- 临时允许/禁止PING设置
临时设置PING操作的命令为: 1
2#echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all //允许PING
#echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all //禁止PING - 永久允许/禁止Ping设置
在/etc/sysctl.conf 中增加一行如果已经有net.ipv4.icmp_echo_ignore_all这一行了,直接修改=号后面的值即可的(0表示允许,1表示禁止)。1
2net.ipv4.icmp_echo_ignore_all=1 //禁止PING
net.ipv4.icmp_echo_ignore_all=1 //允许PING
修改完成后执行下面语句使配置生效1
sysctl -p
防火墙设置(注:此处的方法的前提是内核配置是默认值,也就是没有禁止Ping
这里以Iptables防火墙为例,其他防火墙操作方法可参考防火墙的官方文档。
1、允许PING设置
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
或者也可以临时停止防火墙操作的。
service iptables stop
2、禁止PING设置
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
相关文章