禁用Ping
一、用高级设置法预防Ping
默认情况下,所有Internet控制消息协议(ICMP)选项均被禁用。如果启用ICMP选项,我们的网络将在 Internet 中是可视的,因而易于受到攻击。
如果要启用ICMP,必须以管理员或Administrators 组成员身份登录计算机,以下是详细操作步骤:
STEP 1:右击“网上邻居”,选择属性,如图1
图1
STEP 2:即打开了“网络连接”,如图2
图2
STEP 3:右击选择属性,弹出“本地连接属性”窗口,选择高级选项卡,如图3
图3
STEP 4:在该项选卡中单击“设置”,即弹出“Windows 防火墙”设置窗口,如图4
图4
STEP 5:单击“设置(T)”,出现“高级设置”窗口,切换到ICMP选项卡,选择允许传入的回显请求,然后一路确定即可。如图5
图5
STEP 6:当我没有钩选“允许传入的回显请求”时,从另一台机器是ping不通的,截图,如图6
图6
STEP 7:钩选“允许传入的回显请求”后,从另一台机器可以正常ping通,因此我们可以分析出对方用的系统是windows NT5.0及以上,截图,如图7
图7
附:勾选希望您的计算机响应的请求信息类型,旁边的复选框即表启用此类型请求,如要禁用清除相应请求信息类型即可。
二、用网络防火墙阻隔Ping
利用Windows 自带的防火墙功能:该方法同方法一,只是调用防火墙的控制面板的时候我们可以直接通过:控制面板->安全中心->Windows 防火墙(高级->设置(T)->ICMP->[选择]->确定)即可完成。截图见方法一
利用其他软件的防火墙功能:使用防火墙来阻隔Ping是最简单有效的方法,现在基本上所有的防火墙在默认情况下都启用了ICMP过滤的功能。在此,以金山网镖2003和天网防火墙2.50版为蓝本来说明。
对于金山网镖2003,鼠标右击系统托盘中的金山网镖2003图标,在弹出的快捷菜单中选择“实用工具”中的“自定义IP规则编辑器”,在出现的窗口中选中“防御ICMP类型攻击”规则,消除“允许别人用ping命令探测本机”规则,保存应用后就发挥效应。
如果用的是天网防火墙,在其主界面点击“自定义IP规则”,然后不勾选“防止别人用ping命令探测”规则,勾选“防御ICMP攻击”规则,然后点击“保存/应用”使IP规则生效。
三、启用IP安全策略防Ping
除了以上两种比较简单的方法以外,第三种方法是利用IP安全机制(IPSecurity)即IPSec 策略,用来配置 IPSec 安全服务,同样可以达到防ping的效果。但比起前两种方法,该方法稍显繁琐。
策略的简单介绍:这些策略可为多数现有网络中的多数通信类型提供各种级别的保护。用户可配置IPSec 策略以满足计算机、应用程序、组织单位、域、站点或全局企业的安全需要。可使用 Windows XP 中提供的“IP 安全策略”管理单元来为 Active Directory 中的计算机(对于域成员)或本地计算机(对于不属于域的计算机)定义IPSec 策略。以下是详细配置步骤:
(一)、添加IP筛选器和筛选器操作
STEP1:依次在控制面板中打开“性能和维护->管理工具->本地安全策略”打开本地安全设置,右击该对话框左侧的"IP安全策略,在本地计算机"选项,执行"管理IP筛选器表和筛选器操作"命令,如图1
图1
STEP2:在管理 IP 筛选器表和筛选器操作中,单击添加,如图2
图2
STEP3:弹出IP 筛选器列表,输入这个筛选器的名称和描述性语言,这里我输入的名称是"禁止PING",描述语言可以为"禁止任何其他计算机PING我的主机",单击[添加(A)],然后弹出的IP 筛选器向导中直接点击[下一步],如图3,4
图3
图4
STEP4:在以下对话框中,依次选择"IP通信源地址"为"我的IP地址",单击[下一步];选择"IP通信目标地址"为"任何IP地址",单击[下一步];选择"IP协议类型"为"ICMP"(Ping和Tracert等命令操作都是利用ICMP协议中的报文进行的),单击[下一步],最后点击[完成],这里取消编辑属性,然后结束添加。截图如图5-9所示
图5
图6
图7
图8
图9 完成IP筛选列表的配置,点击确定
STEP5:还是在“管理 IP 筛选列表和筛选器操作”窗口上,切换到"管理筛选器操作"标签下,依次单击"添加→下一步",命名筛选器操作名称为"阻止所有连接",描述语言可以为"阻止所有网络连接",单击[下一步];点选"阻止"选项作为此筛选器的操作行为,最后单击[下一步],完成所有添加操作,具体截图如图10-15所示
图10
图11
图12
图13
图14
图15
(二)、创建IP安全策略
STEP1:右击控制台中的"IP安全策略,在本地计算机"选项,执行[创建安全策略]命令,然后单击[下一步]按钮,如图1,2
图1
图2
STEP2:命名这个IP安全策略为"拒绝Ping",描述语言为"拒绝任何其他计算机的Ping请求",并单击[下一步],如图3
图3
STEP3:勾选"激活默认响应规则"后,单击[下一步] ,如图4
图4
STEP4:在"默认响应规则身份验证方法"对话框中点选"使用此字符串保护密钥交换"选项,并在下面的文字框中任意键入一段字符串(如"NO PING"),单击[下一步] ,如图5
图5
STEP5:最后勾选"编辑属性",单击[完成]按钮结束创建,如图6
图6
(三)、配置IP安全策略
STEP1:在打开的"禁止Ping属性"对话框中的"常规"标签下单击"添加→下一步",如图1,2
图1
图2
STEP2::在隧道终结点对话框中,点选"此规则不指定隧道"并单击[下一步],图3
图3
STEP3:在网络类型对话框中,点选"所有网络连接",保证所有的计算机都Ping不通该主机,单击[下一步],图4
图4
STEP4:在身份验证方法的对话框中,点选"使用此字符串保护密钥交换"选项,并在下面的文字框中任意键入一段字符串(如"NO PING"),单击[下一步] ,如图5
图5
STEP5:在"IP筛选器列表"框中点选"禁止PING"(之前已经配置好),单击[下一步]:,如图6
图6
STEP6:在"筛选器操作"列表框中点选"阻止所有连接"(之前已经配置好),单击[下一步],如图7
图7
STEP7:取消"编辑属性"选项并单击[完成],结束配置。图8
图8
(四)、指派IP安全策略
安全策略创建完毕后并不能马上生效,我们还需通过"指派"功能令其发挥作用。右击"本地安全设置"对话框右侧的"禁止Ping主机"策略,执行"指派"命令,即可启用该策略。
测试一,为指派之前(可以正常ping通)
测试二、指派成功之后(不需要重启),不能ping通
四、总结
至此,这台主机已经具备了拒绝其他任何机器Ping自己IP地址的功能,不过在本地仍然能够Ping通自己(原因:因为大多数产品都支持环回接口,以允许运行在同一台主机上的客户程序和服务器程序通过TCP/IP进行通信。A类网络号127就是为环回接口预留的,通常大多数系统把IP地址127.0.0.1分配给这个接口,并命名为localhost,一个传给环回接口的IP数据报不能在任何网络上出现。禁用ICMP包是在网卡借口处仅用的,而ping用的是ICMP协议,ICMP工作在网络层,当ping 127.0.0.1的IP数据报离开网络层时就把它返回给自己,不经过网卡,因此对环回地址,即127.0.0.1无效)。经过这样的设置之后,所有其他计算机用户(包括管理员)都不能在其他机器上对此服务器进行Ping操作。此操作在Windows2000/XP/server03等系统下同样适用(在mmc控制台同样可以完成上述功能,这里我没有截图,原理同上)
通常作为普通用户,防火墙就可以完成方案三中繁琐的功能了。
虽然实验是成功的,但是Microsoft的安全设置强大的功能还有待发掘。
(截图太多了,发文都困难,强烈建议论坛支持图片批量上传)