在Win2000中如何關(guān)閉ICMP(Ping)　ICMP的全名是Internet Control and Message Protocal即因特網(wǎng)控制消息/錯(cuò)誤報(bào)文協(xié)議，這個(gè)協(xié)議主要是用來(lái)進(jìn)行錯(cuò)誤信息和控制信息的傳遞，例如著名的Ping和Tracert工具都是利用 ICMP協(xié)議中的ECHO request報(bào)文進(jìn)行的（請(qǐng)求報(bào)文ICMP ECHO類型8代碼0，應(yīng)答報(bào)文ICMP ECHOREPLY類型0代碼0）。

　　ICMP協(xié)議有一個(gè)特點(diǎn)---它是無(wú)連結(jié)的，也就是說(shuō)只要發(fā)送端完成ICMP報(bào)文的封裝并傳遞給路由器，這個(gè)報(bào)文將會(huì)象郵包一樣自己去尋找目的地址，這個(gè)特點(diǎn)使得ICMP協(xié)議非常靈活快捷，但是同時(shí)也帶來(lái)一個(gè)致命的缺陷---易偽造（郵包上的寄信人地址是可以隨便寫的），任何人都可以偽造一個(gè) ICMP報(bào)文并發(fā)送出去，偽造者可以利用SOCK_RAW編程直接改寫報(bào)文的ICMP首部和IP首部，這樣的報(bào)文攜帶的源地址是偽造的，在目的端根本無(wú)法追查，（攻擊者不怕被抓那還不有恃無(wú)恐？）根據(jù)這個(gè)原理，外面出現(xiàn)了不少基于ICMP的攻擊軟件，有通過(guò)網(wǎng)絡(luò)架構(gòu)缺陷制造ICMP風(fēng)暴的，有使用非常大的報(bào)文堵塞網(wǎng)絡(luò)的，有利用ICMP碎片攻擊消耗服務(wù)器CPU的，甚至如果將ICMP協(xié)議用來(lái)進(jìn)行通訊，可以制作出不需要任何TCP/UDP端口的木馬（參見《揭開木馬的神秘面紗三》）......既然ICMP協(xié)議這么危險(xiǎn)，我們?yōu)槭裁床魂P(guān)掉它呢？

　　

　　我們都知道，Win2000在網(wǎng)絡(luò)屬性中自帶了一個(gè)TCP/IP過(guò)濾器，我們來(lái)看看能不能通過(guò)這里關(guān)掉ICMP協(xié)議，桌面上右擊網(wǎng)上鄰居- >屬性->右擊你要配置的網(wǎng)卡->屬性->TCP/IP->高級(jí)->選項(xiàng)->TCP/IP過(guò)濾，這里有三個(gè)過(guò)濾器，分別為：TCP端口、UDP端口和IP協(xié)議，我們先允許TCP/IP過(guò)濾，然后一個(gè)一個(gè)來(lái)配置，先是TCP端口，點(diǎn)擊"只允許"，然后在下面加上你需要開的端口，一般來(lái)說(shuō)WEB服務(wù)器只需要開80(www)，F(xiàn)TP服務(wù)器需要開20(FTP Data)，21(FTP Control)，郵件服務(wù)器可能需要打開25(SMTP),110(POP3)，以此類推......接著是UDP，UDP協(xié)議和ICMP協(xié)議一樣是基于無(wú)連結(jié)的，一樣容易偽造，所以如果不是必要（例如要從UDP提供DNS服務(wù)之類）應(yīng)該選擇全部不允許，避免受到洪水（Flood）或碎片（Fragment）攻擊。最右邊的一個(gè)編輯框是定義IP協(xié)議過(guò)濾的，我們選擇只允許TCP協(xié)議通過(guò)，添加一個(gè)6（6是TCP在IP協(xié)議中的代碼， IPPROTO_TCP=6）,從道理上來(lái)說(shuō)，只允許TCP協(xié)議通過(guò)時(shí)無(wú)論UDP還是ICMP都不應(yīng)該能通過(guò)，可惜的是這里的IP協(xié)議過(guò)濾指的是狹義的 IP協(xié)議，從架構(gòu)上來(lái)說(shuō)雖然ICMP協(xié)議和IGMP協(xié)議都是IP協(xié)議的附屬協(xié)議，但是從網(wǎng)絡(luò)7層結(jié)構(gòu)上ICMP/IGMP協(xié)議與IP協(xié)議同屬一層，所以微軟在這里的IP協(xié)議過(guò)濾是不包括ICMP協(xié)議的，也就是說(shuō)即使你設(shè)置了“只允許TCP協(xié)議通過(guò)”，ICMP報(bào)文仍然可以正常通過(guò)，所以如果我們要過(guò)濾 ICMP協(xié)議還需要另想辦法。

　　剛剛在我們進(jìn)行TCP/IP過(guò)濾時(shí)，還有另外一個(gè)選項(xiàng)：IP安全機(jī)制（IP Security)，我們過(guò)濾ICMP的想法就要著落在它身上。

　　打開本地安全策略，選擇IP安全策略，在這里我們可以定義自己的IP安全策略。

　　一個(gè)IP安全過(guò)濾器由兩個(gè)部分組成：過(guò)濾策略和過(guò)濾操作，過(guò)濾策略決定哪些報(bào)文應(yīng)當(dāng)引起過(guò)濾器的關(guān)注，過(guò)濾操作決定過(guò)濾器是“允許”還是“拒絕”報(bào)文的通過(guò)。要新建IP安全過(guò)濾器，必須新建自己的過(guò)濾策略和過(guò)濾操作：右擊本機(jī)的IP安全策略，選擇管理IP過(guò)濾器，在IP過(guò)濾器管理列表中建立一個(gè)新的過(guò)濾規(guī)則：ICMP_ANY_IN，源地址選任意IP，目標(biāo)地址選本機(jī)，協(xié)議類型是ICMP，切換到管理過(guò)濾器操作，增加一個(gè)名為Deny的操作，操作類型為"阻止"（Block）。這樣我們就有了一個(gè)關(guān)注所有進(jìn)入ICMP報(bào)文的過(guò)濾策略和丟棄所有報(bào)文的過(guò)濾操作了。需要注意的是，在地址選項(xiàng)中有一個(gè)鏡像選擇，如果選中鏡像，那么將會(huì)建立一個(gè)對(duì)稱的過(guò)濾策略，也就是說(shuō)當(dāng)你關(guān)注any IP->my IP的時(shí)候

　　熟悉網(wǎng)絡(luò)的人都知道Ping，Ping是用于檢測(cè)網(wǎng)絡(luò)連接性、可到達(dá)性和名稱解析的疑難問(wèn)題的主要TCP/IP命令。Ping最主要的用處就是檢測(cè)目標(biāo)主機(jī)是否可連通。

　　黑客要入侵，就得先鎖定目標(biāo)，一般都是通過(guò)使用Ping命令來(lái)檢測(cè)主機(jī)，獲取相關(guān)信息，然后再進(jìn)行漏洞掃描。如何不受別人的攻擊？那就是阻止別人Ping自己的電腦，讓攻擊無(wú)從著手。筆者介紹四種常見的阻止Ping的方法，供大家參考：

　　一、用高級(jí)設(shè)置法預(yù)防Ping

　　默認(rèn)情況下，所有Internet控制消息協(xié)議(ICMP)選項(xiàng)均被禁用。如果啟用ICMP選項(xiàng)，您的網(wǎng)絡(luò)將在 Internet 中是可視的，因而易于受到攻擊。

　　如果要啟用ICMP，必須以管理員或Administrators 組成員身份登錄計(jì)算機(jī)，右擊“網(wǎng)上鄰居”，在彈出的快捷菜單中選擇“屬性”即打開了“網(wǎng)絡(luò)連接”，選定已啟用Internet連接防火墻的連接，打開其屬性窗口，并切換到“高級(jí)”選項(xiàng)頁(yè)，點(diǎn)擊下方的“設(shè)置”，這樣就出現(xiàn)了“高級(jí)設(shè)置”對(duì)話窗口，在“ICMP”選項(xiàng)卡上，勾選希望您的計(jì)算機(jī)響應(yīng)的請(qǐng)求信息類型，旁邊的復(fù)選框即表啟用此類型請(qǐng)求，如要禁用請(qǐng)清除相應(yīng)請(qǐng)求信息類型即可。

　　二、用網(wǎng)絡(luò)防火墻阻隔Ping

　　使用防火墻來(lái)阻隔Ping是最簡(jiǎn)單有效的方法，現(xiàn)在基本上所有的防火墻在默認(rèn)情況下都啟用了ICMP過(guò)濾的功能。在此，以金山網(wǎng)鏢2003和天網(wǎng)防火墻2.50版為藍(lán)本來(lái)說(shuō)明。

　　對(duì)于使用金山網(wǎng)鏢2003的網(wǎng)友，請(qǐng)用鼠標(biāo)右擊系統(tǒng)托盤中的金山網(wǎng)鏢2003圖標(biāo)，在彈出的快捷菜單中選擇“實(shí)用工具”中的“自定義IP規(guī)則編輯器”，在出現(xiàn)的窗口中選中“防御ICMP類型攻擊”規(guī)則，消除“允許別人用ping命令探測(cè)本機(jī)”規(guī)則，保存應(yīng)用后就發(fā)揮效應(yīng)。

　　如果您用的是天網(wǎng)防火墻，在其主界面點(diǎn)擊“自定義IP規(guī)則”，然后不勾選“防止別人用ping命令探測(cè)”規(guī)則，勾選“防御ICMP攻擊”規(guī)則，然后點(diǎn)擊“保存/應(yīng)用”使IP規(guī)則生效。

　　三、啟用IP安全策略防Ping

　　IP安全機(jī)制（IP Security）即IPSec 策略，用來(lái)配置 IPSec 安全服務(wù)。這些策略可為多數(shù)現(xiàn)有網(wǎng)絡(luò)中的多數(shù)通信類型提供各種級(jí)別的保護(hù)。您可配置 IPSec 策略以滿足計(jì)算機(jī)、應(yīng)用程序、組織單位、域、站點(diǎn)或全局企業(yè)的安全需要?？墒褂?Windows XP 中提供的“IP 安全策略”管理單元來(lái)為 Active Directory 中的計(jì)算機(jī)（對(duì)于域成員）或本地計(jì)算機(jī)（對(duì)于不屬于域的計(jì)算機(jī)）定義 IPSec 策略。

　　在此以WINDOWS XP為例，通過(guò)“控制面板”—“管理工具”來(lái)打開“本地安全策略”，選擇IP安全策略，在這里，我們可以定義自己的IP安全策略。一個(gè)IP安全過(guò)濾器由兩個(gè)部分組成：過(guò)濾策略和過(guò)濾操作。要新建IP安全過(guò)濾器，必須新建自己的過(guò)濾策略和過(guò)濾操作，右擊窗口左側(cè)的“IP安全策略，在本地機(jī)器”，在彈出的快捷菜單中選擇“創(chuàng)建IP安全策略”，單擊“下一步”，然后輸入策略名稱和策略描述。單擊“下一步”，選中“激活默認(rèn)響應(yīng)規(guī)則”復(fù)選項(xiàng)，單擊“下一步”。開始設(shè)置響應(yīng)規(guī)則身份驗(yàn)證方式，選中“此字符串用來(lái)保護(hù)密鑰交換(預(yù)共享密鑰)”選項(xiàng)，然后隨便輸入一些字符（后面還會(huì)用到這些字符的），單擊“下一步”，就會(huì)提示已完成IP安全策略，確認(rèn)選中了“編輯屬性”復(fù)選框，單擊“完成”按鈕，會(huì)打開其屬性對(duì)話框。

　　接下來(lái)就要進(jìn)行此新建安全策略的配置。在“Goodbye Ping 屬性”對(duì)話窗口的“規(guī)則”選項(xiàng)頁(yè)中單擊“添加”按鈕，并在打開安全規(guī)則向?qū)е袉螕?ldquo;下一步”進(jìn)行隧道終結(jié)設(shè)置，在這里選擇“此規(guī)則不指定隧道”。單擊“下一步”，并選擇“所有網(wǎng)絡(luò)連接”以保證所有的計(jì)算機(jī)都Ping不通。單擊“下一步”，設(shè)置身份驗(yàn)證方式，與上面一樣選擇第三個(gè)選項(xiàng)“此字符串用來(lái)保護(hù)密鑰交換（預(yù)共享密鑰）”并填入與剛才上面相同的內(nèi)容。單擊“下一步”即打開“IP篩選器列表”窗口，在“IP篩選器列表”中選擇“新IP篩選器列表”，單擊右側(cè)的“編輯”，在出現(xiàn)的窗口中點(diǎn)擊“添加”，單擊“下一步”，設(shè)置“源地址”為“我的IP地址”，單擊“下一步”，設(shè)置“目標(biāo)地址”為“任何IP地址”，單擊“下一步”，選擇協(xié)議類型為ICMP，單擊“完成”后再點(diǎn)“確定”返回如圖9的窗口，單擊“下一步”，選擇篩選器操作為“要求安全”選項(xiàng)，然后依次點(diǎn)擊“下一步”、“完成”、“確定”、“關(guān)閉”按鈕保存相關(guān)的設(shè)置返回管理控制臺(tái)。

　　最后在“本地安全設(shè)置”中右擊配置好的“Goodbye Ping”策略，在彈出的快捷菜單中選擇“指派”命令使配置生效。

　　經(jīng)過(guò)上面的設(shè)置，當(dāng)其他計(jì)算機(jī)再Ping該計(jì)算機(jī)時(shí)，就不再Ping通了。但如果自己Ping本地計(jì)算機(jī)，仍可Ping通。在Windows 2000中操作基本相同。

　　四、修改TTL值防Ping

　　許多入侵者喜歡用TTL值來(lái)判斷操作系統(tǒng)，他們首先會(huì)Ping一下你的機(jī)子，如看到TTL值為128就認(rèn)為你的系統(tǒng)為Windows NT/2000，如果TTL值為32則認(rèn)為目標(biāo)主機(jī)操作系統(tǒng)為Windows 95/98，如果為TTL值為255/64就認(rèn)為是UNIX/Linux操作系統(tǒng)。既然入侵者相信TTL值所反應(yīng)出來(lái)的結(jié)果，那么我們不妨修改TTL值來(lái)欺騙入侵者，達(dá)到保護(hù)系統(tǒng)的目的。方法如下：

　　打開Windows自帶的“記事本”程序，編寫如下所示的批處理命令：

　　@echo REGEDIT4>>ChangeTTL.reg

　　@echo.>>ChangeTTL.reg

　　@echo [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]>>ChangeTTL.reg

　　@echo "DefaultTTL"=dword:000000ff">>ChangeTTL.reg

　　@REGEDIT /S /C ChangeTTL.reg

　　另存為以.bat為擴(kuò)展名的批處理文件，點(diǎn)擊這個(gè)文件，你的操作系統(tǒng)的缺省TTL值就會(huì)被修改為ff，即十進(jìn)制的255，即把你的操作系統(tǒng)人為地改為UNIX系統(tǒng)了！

　　"DefaultTTL"=dword:000000ff"是用來(lái)設(shè)置系統(tǒng)缺省TTL值的，如果你想將自己的操作系統(tǒng)的TTL值改為其它操作系統(tǒng)的ICMP回顯應(yīng)答值，請(qǐng)改變"DefaultTTL"的鍵值，要注意它的鍵值為16進(jìn)制。

　　如何禁止別人ping自己的主機(jī)（2000自帶）

　　我的電腦-控制面板-管理工具-本地安全策略-ip安全策略

　　這是2000給我們的配置ip管理的工具，我這里只說(shuō)一下如何禁止別人ping我的主機(jī)。

　　共有四個(gè)步驟：

　　1。建立禁ping 規(guī)則

　　2。建立禁止/允許規(guī)則

　　3。把這兩個(gè)規(guī)則聯(lián)系在一起

　　4。指派

　　詳細(xì)：

　　1。右擊ip安全策略-管理ip篩選器表和篩選器操作-ip篩選器列表-添加：名稱：ping;描述：ping;(勾選“使用添加向?qū)?rdquo;),---添加-下一步：指定源/目的ip ,協(xié)議類型(icmp),下一步直至完成，關(guān)閉此對(duì)話框。

　　2。管理ip篩選器表和篩選器操作-管理篩選器操作-添加(勾選“使用添加向?qū)?rdquo;)-下一步：名稱：refuse;描述:refuse--下一步：阻止-下一步直至完成。

　　3。右擊ip安全策略-創(chuàng)建ip安全策略-下一步：名稱：禁止ping；--下一步：取消激活默認(rèn)響應(yīng)規(guī)則-下一步：選中選中“編輯屬性“- 完成。然后再“禁止ping屬性“上-添加(勾選“使用添加向?qū)?rdquo;)-下一步直至“身份驗(yàn)證方法”；選第三項(xiàng)，輸入共享字串-下一步：在ip篩選器列表里選“ping"--下一步：選“refuse"-下一步到完成。

　　這是你在“本地安全設(shè)置“右側(cè)會(huì)看到“禁止ping“這條規(guī)則，但是現(xiàn)在他還沒(méi)有起作用。

　　4。右擊“禁止ping“--指派。

　　這回一條禁止別人ping自己的機(jī)器的ip策略完成了。

　　趕快找個(gè)機(jī)器試試，自己的機(jī)器不行。會(huì)提示：請(qǐng)求超時(shí)（timeout).

　　以上只是一條小得的ip過(guò)濾。你可以自己制作其他的ip策略。

最新評(píng)論