利用策略禁止PING-

1、一、用高級設(shè)置法預(yù)防Ping默認(rèn)情況下,所有Internet控制消息協(xié)議(ICMP選項(xiàng)均被禁用。如果啟用ICMP選項(xiàng),您的網(wǎng)絡(luò)將在 Internet 中是可視的,因而易于受到攻擊。如果要啟用ICMP,必須以管理員或Administrators 組成員身份登錄計(jì)算機(jī),右擊“網(wǎng)上鄰居”,在彈出的快捷菜單中選擇“屬性”即打開了“網(wǎng)絡(luò)連接”,選定已啟用Internet連接防火墻的連接,打開其屬性窗口,并切換到“高級”選項(xiàng)頁,點(diǎn)擊下方的“設(shè)置”,這樣就出現(xiàn)了“高級設(shè)置”對話窗口,在“ICMP”選項(xiàng)卡上,勾選希望您的計(jì)算機(jī)響應(yīng)的請求信息類型,旁邊的復(fù)選框即表啟用此類型請求,如要禁用請清除相應(yīng)請求信息類型即

2、可。二、用網(wǎng)絡(luò)防火墻阻隔Ping使用防火墻來阻隔Ping是最簡單有效的方法,現(xiàn)在基本上所有的防火墻在默認(rèn)情況下都啟用了ICMP過濾的功能。在此,以金山網(wǎng)鏢2003和天網(wǎng)防火墻2.50版為藍(lán)本來說明。對于使用金山網(wǎng)鏢2003的網(wǎng)友,請用鼠標(biāo)右擊系統(tǒng)托盤中的金山網(wǎng)鏢2003圖標(biāo),在彈出的快捷菜單中選擇“實(shí)用工具”中的“自定義IP規(guī)則編輯器”,在出現(xiàn)的窗口中選中“防御ICMP類型攻擊”規(guī)則,消除“允許別人用ping命令探測本機(jī)”規(guī)則,保存應(yīng)用后就發(fā)揮效應(yīng)。如果您用的是天網(wǎng)防火墻,在其主界面點(diǎn)擊“自定義IP規(guī)則”,然后不勾選“防止別人用ping命令探測”規(guī)則,勾選“防御ICMP攻擊”規(guī)則,然后點(diǎn)擊“保

3、存/應(yīng)用”使IP規(guī)則生效。三、啟用IP安全策略防PingIP安全機(jī)制(IP Security即IPSec 策略,用來配置 IPSec 安全服務(wù)。這些策略可為多數(shù)現(xiàn)有網(wǎng)絡(luò)中的多數(shù)通信類型提供各種級別的保護(hù)。您可配置 IPSec 策略以滿足計(jì)算機(jī)、應(yīng)用程序、組織單位、域、站點(diǎn)或全局企業(yè)的安全需要?？墒褂?Windows XP 中提供的“IP 安全策略”管理單元來為 Active Directory 中的計(jì)算機(jī)(對于域成員或本地計(jì)算機(jī)(對于不屬于域的計(jì)算機(jī)定義 IPSec 策略。在此以WINDOWS XP為例,通過“控制面板”“管理工具”來打開“本地安全策略”,選擇IP安全策略,在這里,我們可以定義

4、自己的IP安全策略。一個(gè)IP安全過濾器由兩個(gè)部分組成:過濾策略和過濾操作。要新建IP安全過濾器,必須新建自己的過濾策略和過濾操作,右擊窗口左側(cè)的“IP安全策略,在本地機(jī)器”,在彈出的快捷菜單中選擇“創(chuàng)建IP安全策略”,單擊“下一步”,然后輸入策略名稱和策略描述。單擊“下一步”,選中“激活默認(rèn)響應(yīng)規(guī)則”復(fù)選項(xiàng),單擊“下一步”。開始設(shè)置響應(yīng)規(guī)則身份驗(yàn)證方式,選中“此字符串用來保護(hù)密鑰交換(預(yù)共享密鑰”選項(xiàng),然后隨便輸入一些字符(后面還會用到這些字符的,單擊“下一步”,就會提示已完成IP安全策略,確認(rèn)選中了“編輯屬性”復(fù)選框,單擊“完成”按鈕,會打開其屬性對話框。接下來就要進(jìn)行此新建安全策略的配置。

5、在“Goodbye Ping 屬性”對話窗口的“規(guī)則”選項(xiàng)頁中單擊“添加”按鈕,并在打開安全規(guī)則向?qū)е袉螕簟跋乱徊健边M(jìn)行隧道終結(jié)設(shè)置,在這里選擇“此規(guī)則不指定隧道”。單擊“下一步”,并選擇“所有網(wǎng)絡(luò)連接”以保證所有的計(jì)算機(jī)都Ping不通。單擊“下一步”,設(shè)置身份驗(yàn)證方式,與上面一樣選擇第三個(gè)選項(xiàng)“此字符串用來保護(hù)密鑰交換(預(yù)共享密鑰”并填入與剛才上面相同的內(nèi)容。單擊“下一步”即打開“IP篩選器列表”窗口,在“IP篩選器列表”中選擇“新IP篩選器列表”,單擊右側(cè)的“編輯”,在出現(xiàn)的窗口中點(diǎn)擊“添加”,單擊“下一步”,設(shè)置“源地址”為“我的IP地址”,單擊“下一步”,設(shè)置“目標(biāo)地址”為“任何IP地

6、址”,單擊“下一步”,選擇協(xié)議類型為ICMP,單擊“完成”后再點(diǎn)“確定”返回如圖9的窗口,單擊“下一步”,選擇篩選器操作為“要求安全”選項(xiàng),然后依次點(diǎn)擊“下一步”、“完成”、“確定”、“關(guān)閉”按鈕保存相關(guān)的設(shè)置返回管理控制臺。最后在“本地安全設(shè)置”中右擊配置好的“Goodbye Ping”策略,在彈出的快捷菜單中選擇“指派”命令使配置生效。經(jīng)過上面的設(shè)置,當(dāng)其他計(jì)算機(jī)再Ping該計(jì)算機(jī)時(shí),就不再Ping通了。但如果自己Ping 本地計(jì)算機(jī),仍可Ping通。在Windows 2000中操作基本相同。四、修改TTL值防Ping許多入侵者喜歡用TTL值來判斷操作系統(tǒng),他們首先會Ping一下你的機(jī)子,

7、如看到TTL值為128就認(rèn)為你的系統(tǒng)為Windows NT/2000,如果TTL值為32則認(rèn)為目標(biāo)主機(jī)操作系統(tǒng)為Windows 95/98,如果為TTL值為255/64就認(rèn)為是UNIX/Linux操作系統(tǒng)。既然入侵者相信TTL值所反應(yīng)出來的結(jié)果,那么我們不妨修改TTL值來欺騙入侵者,達(dá)到保護(hù)系統(tǒng)的目的。方法如下:打開Windows自帶的“記事本”程序,編寫如下所示的批處理命令:echo REGEDIT4>>ChangeTTL.regecho.>>ChangeTTL.regechoHKEY_LOCAL_MACHINESystemCurrentControlSetServi

8、cesTcpipParameters>>Chang eTTL.regecho DefaultTTL=dword:000000ff>>ChangeTTL.regREGEDIT /S /C ChangeTTL.reg另存為以.bat為擴(kuò)展名的批處理文件,點(diǎn)擊這個(gè)文件,你的操作系統(tǒng)的缺省TTL值就會被修改為ff,即十進(jìn)制的255,即把你的操作系統(tǒng)人為地改為UNIX系統(tǒng)了!DefaultTTL=dword:000000ff是用來設(shè)置系統(tǒng)缺省TTL值的,如果你想將自己的操作系統(tǒng)的TTL值改為其它操作系統(tǒng)的ICMP回顯應(yīng)答值,請改變DefaultTTL的鍵值,要注意它的鍵值為16進(jìn)

9、制。如何禁止別人ping自己的主機(jī)(2000自帶我的電腦-控制面板-管理工具-本地安全策略-ip安全策略這是2000給我們的配置ip管理的工具,我這里只說一下如何禁止別人ping我的主機(jī)。共有四個(gè)步驟:1。建立禁ping 規(guī)則2。建立禁止/允許規(guī)則3。把這兩個(gè)規(guī)則聯(lián)系在一起4。指派詳細(xì):1。右擊ip安全策略-管理ip篩選器表和篩選器操作-ip篩選器列表-添加:名稱:ping;描述:ping;(勾選“使用添加向?qū)А?-添加-下一步:指定源/目的ip ,協(xié)議類型(icmp,下一步直至完成,關(guān)閉此對話框。2。管理ip篩選器表和篩選器操作-管理篩選器操作-添加(勾選“使用添加向?qū)А?下一步:名稱:refuse;描述:refuse-下一步:阻止-下一步直至完成。3。右擊ip安全策略-創(chuàng)建ip安全策略-下一步:名稱:禁止ping;-下一步:取消激活默認(rèn)響應(yīng)規(guī)則-下一步:選中選中“編輯屬性“-完成。然后再“禁止ping屬性“上-添加(勾選“使用添加向?qū)А?下一步直至“身份驗(yàn)證方法”;選第三項(xiàng),輸入共享字串-下一步:在ip篩選器列表里選“ping-下一步:選“refuse-下一