- 헬스 체크를 우회하는 이유
서버나 장비의 상태를 확인할 때 가장 흔히 사용하는 방법 중 하나는 ping이다. 많은 네트워크 모니터링 시스템에서는 ping 응답 여부를 기준으로 해당 장비가 "정상 작동 중"인지 판단한다.
하지만 모든 장비가 ping에 응답해야 하는 것은 아니다.예를 들어, 보안상의 이유로 외부에서 내 장비의 상태를 파악하지 못하게 해야 할 경우, 또는 모니터링 시스템에서 제외되어야 할 경우에는 ping 요청에 응답하지 않도록 설정할 필요가 있다.
오늘는 Ubuntu에서 ICMP Echo 요청(ping)에 응답하지 않도록 차단하는 방법을 정리한다. 실제 네트워크에서 모니터링을 우회하거나 보안을 강화할 목적, 혹은 모니터링 시스템이 제대로 헬스 체크를 하고 있는지 확인할 수 있는 방법으로 사용할 수 있다.
1. 실습 환경
- OS: Ubuntu 22.04.2 LTS
- 목표: 외부에서 ping을 보내더라도 응답하지 않도록 설정해 모니터링 우회
- 상황:
모니터링 서버 -----> ping -----> 대상 Ubuntu 컴퓨터 (응답 차단)
2. 방법 1 sysctl 설정으로 ICMP 응답 끄기
Linux 커널 파라미터인 icmp_echo_ignore_all 값을 사용하면, 모든 ICMP Echo 요청에 대해 응답하지 않도록 설정할 수 있다.
2-1. 설정 명령어
# 현재 상태 확인 (0이면 응답함, 1이면 응답 안 함)
cat /proc/sys/net/ipv4/icmp_echo_ignore_all
# 응답하지 않도록 설정
sudo sysctl -w net.ipv4.icmp_echo_ignore_all=1값을 1로 설정하면 이제 외부에서 ping을 보내도 이 컴퓨터는 응답하지 않는다.
2-2. 재부팅 후에도 적용되게 하려면
sudo vi /etc/sysctl.conf
하단의 아래의 내용을 추가한다.
net.ipv4.icmp_echo_ignore_all=1sudo sysctl -p3. 방법 2: ufw 방화벽으로 ping 차단
Ubuntu에 기본 탑재된 방화벽 ufw를 사용해 ICMP Echo Request만 차단할 수 있다.
3-1 설정 방법
sudo vi /etc/ufw/before.rules*filter 아래에 다음 줄을 추가한다.
-A ufw-before-input -p icmp --icmp-type echo-request -j DROPufw를 재시작한다.
sudo ufw disable sudo ufw enable
3-2. 주의 사항
이 방법은 Echo Request만 차단하며, 다른 ICMP 유형(예: MTU 조정, 경로 추적 등)은 여전히 허용된다.
4. 방법 3: iptables 명령어로 직접 차단
더 세부적인 설정을 원할 경우 iptables를 사용하여 설정할 수 있다.
4-1. 차단 명령어 입력
# ICMP Echo Request 차단
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
4-2. 규칙 확인
sudo iptables -L -v -n
4-3. 재부팅 후에도 유지하기
sudo apt install iptables-persistent sudo netfilter-persistent save
5. ICMP 응답 차단 방법들의 요약 비교
| 구분 | 차단 범위 | 특징 | 재부팅 후 유지 |
| sysctl | 모든 ICMP Echo 요청 | 가장 간단함 | sysctl.conf 설정 시 유지됨 |
| ufw | Echo Request만 | Ubuntu 방화벽과 통합 | 수동 편집 필요 |
| iptables | Echo Request만 | 유연한 제어 가능 | iptables-persistent 필요 |
7. 마무리
- ICMP를 완전히 차단하면 ping 외에도 traceroute, MTU 확인, 네트워크 문제 진단 도구들이 영향을 받을 수 있다.
- 일반적으로는 Echo Request만 차단하고 나머지는 허용하는 방식이 바람직하다.
- ICMP 차단은 보안 강화를 위해, 또는 의도적으로 모니터링을 회피해야 하는 환경(테스트)에서 효과적으로 사용될 수 있을 것 같다!
'네트워크 공부 & 실습 > 네트워크 이론' 카테고리의 다른 글
| [Network] ACL 개념과 적용법 (전방십자인대 아님) (1) | 2025.07.23 |
|---|---|
| [Network] SNMP v2 -> SNMP v3 개념 (2) | 2025.07.22 |
| [Network] IPCC 란 무엇인가? (3) | 2025.06.25 |
| [Network] VPN 과 외부 네트워크가 같은 대역의 (공인) IP 를 사용한다면? (1) | 2025.06.24 |
| [Network] Network Bonding 이란? - 개념편- (0) | 2025.06.17 |