在Windows與Linux下禁止被ping的設定方法[推薦]

LINUX下禁止ping命令的使用

以root進入Linux系統，然後編輯檔案icmp_echo_ignore_all
vi /proc/sys/net/ipv4/icmp_echo_ignore_all
將其值改為1後為禁止PING
將其值改為0後為解除禁止PING

直接修改會提示錯誤:

WARNING: The file has been changed since reading it!!!
Do you really want to write to it (y/n)?y
"icmp_echo_ignore_all" E667: Fsync failed
Hit ENTER or type command to continue

這是因為 proc/sys/net/ipv4/icmp_echo_ignore_all
這個不是真實的檔案
如果想修改他的數值可以echo 0 或 1到這個檔案

（即echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all ）。要是想永久更改可以加一行

net.ipv4.icmp_echo_ignore_all=1

到設定檔/etc/sysctl.conf裡面

如何禁止PING我的WINDOWS伺服器在駭客入侵尋找對象時，大多都使用Ping命令來檢測主機，如果Ping不通，水平差的“駭客”大多就會知難而退。事實上，完全可以造成一種假相，即使我們線上，但對方Ping時也不能相通，這樣就能躲避很多攻擊。

　　第一步:添加獨立嵌入式管理單元

　　開始-運行，輸入:mmc，啟動開啟“控制台”視窗。再點選“控制台”菜單下的“添加/刪除嵌入式管理單元”，單擊“添加”按鈕，在彈出的視窗中選擇“IP安全性原則管理”項，單擊“添加”按鈕。在開啟視窗中選擇管理對象為“本機電腦”，單擊“完成”按鈕，同時關閉“添加/刪除嵌入式管理單元”視窗，返回主控台。

（圖一）

　　第二步:建立IP安全性原則

　　右擊剛剛添加的“IP安全性原則，在本地機器”（圖二），選擇“建立IP安全性原則”，單擊“下一步”，然後輸入一個策略描述，如“no Ping”（圖三）。單擊“下一步”，選中“啟用預設響應規則”複選項，單擊“下一步”。開始設定身分識別驗證方式，選中“此字串用來保護金鑰交換(預先共用金鑰)”選項，然後隨便輸入一些字元(下面還會用到這些字元)（圖四）。單擊“下一步”，就會提示已完成IP安全性原則，確認選中了“編輯屬性”複選框，單擊“完成”按鈕，會開啟其屬性對話方塊。

（圖二）

（圖三）

（圖四）

　　第三步:配置安全性原則

　　單擊“添加”按鈕，並在開啟安全規則嚮導中單擊“下一步”進行隧道終結設定，在這裡選擇“此規則不指定隧道”。（圖六）單擊“下一步”，並選擇“所有網路連接”以保證所有的電腦都Ping不通。單擊“下一步”，設定身分識別驗證方式，與上面一樣選擇第三個選項“此字串用來保護金鑰交換(預先共用金鑰)”並填入與剛才相同的內容。單擊“下一步”，在開啟視窗中單擊“添加”按鈕，開啟“IP篩選器列表”視窗。（圖七）單擊“添加”，單擊“下一步”，設定源地址為“我的IP地址”，單擊“下一步”，設定目標地址為“任何IP地址”，單擊“下一步”，選擇協議為ICMP，現在就可依次單擊“完成”和“關閉”按鈕返回。此時，可以在IP篩選器列表中看到剛剛建立的篩選器，將其選中之後單擊“下一步”，選擇篩選器操作為“要求安全設定”選項（圖八），然後依次點擊“完成”、“關閉”按鈕，儲存相關的設定返回管理主控台。

（圖五）

（圖六）

（圖七）

（圖八）

　　第四步:指派安全性原則

　　最後只需在“主控台根目錄”中右擊配置好的“禁止Ping”策略，選擇“指派”命令使配置生效（圖九）。經過上面的設定，當其他電腦再Ping該電腦時，就不再相通了。但如果自己Ping本機電腦，仍可相通。此法對於Windows 2000/XP均有效。

（圖九）

如何才能防止被別人ping一、用進階設定法預防Ping

預設情況下，所有Internet控制訊息協議(ICMP)選項均被禁用。如果啟用ICMP選項，您的網路將在 Internet 中是可視的，因而易於受到攻擊。

如果要啟用ICMP，必須以管理員或Administrators 群組成員資格登入電腦，右擊“網路位置”，在彈出的捷徑功能表中選擇“屬性”即開啟了“網路連接”，選定已啟用Internet串連防火牆的串連，開啟其屬性視窗，並切換到“進階”選項頁，點擊下方的“設定”，這樣就出現了“進階設定”交談視窗，在“ICMP”選項卡上，勾選希望您的電腦響應的請求資訊類型，旁邊的複選框即表啟用此類型請求，如要禁用請清除相應請求資訊類型即可。

二、用網路防火牆阻隔Ping

使用防火牆來阻隔Ping是最簡單有效方法，現在基本上所有的防火牆在預設情況下都啟用了ICMP過濾的功能。在此，以金山網鏢2003和天網防火牆2.50版為藍本來說明。

對於使用金山網鏢2003的網友，請用滑鼠右擊系統托盤中的金山網鏢2003表徵圖，在彈出的捷徑功能表中選擇“工具 + 生產力”中的“自訂IP規則編輯器”，在出現的視窗中選中“防禦ICMP類型攻擊”規則，消除“允許別人用ping命令探測本機”規則，儲存應用後就發揮效應。

如果您用的是天網防火牆，在其主介面點擊“自訂IP規則”，然後不勾選“防止別人用ping命令探測”規則，勾選“防禦ICMP攻擊”規則，然後點擊“儲存/應用”使IP規則生效。

三、啟用IP安全性原則防Ping

IP安全機制（IP Security）即IPSec 策略，用來配置 IPSec 安全服務。這些策略可為多數現有網路中的多數通訊類型提供各種層級的保護。您可配置 IPSec 策略以滿足電腦、應用程式、組織單位、域、網站或全域企業的安全需要。可使用 Windows XP 中提供的“IP 安全性原則”嵌入式管理單元來為 Active Directory 中的電腦（對於域成員）或本機電腦（對於不屬於域的電腦）定義 IPSec 策略。

在此以WINDOWS XP為例，通過“控制台”—“管理工具”來開啟“本地安全性原則”，選擇IP安全性原則，在這裡，我們可以定義自己的IP安全性原則。一個IP安全過濾器由兩個部分組成：過濾策略和過濾操作。要建立IP安全過濾器，必須建立自己的過濾策略和過濾操作，右擊視窗左側的“IP安全性原則，在本地機器”，在彈出的捷徑功能表中選擇“建立IP安全性原則”，單擊“下一步”，然後輸入策略名稱和策略描述。單擊“下一步”，選中“啟用預設響應規則”複選項，單擊“下一步”。開始設定響應規則身分識別驗證方式，選中“此字串用來保護金鑰交換(預先共用金鑰)”選項，然後隨便輸入一些字元（後面還會用到這些字元的），單擊“下一步”，就會提示已完成IP安全性原則，確認選中了“編輯屬性”複選框，單擊“完成”按鈕，會開啟其屬性對話方塊。

接下來就要進行此建立安全性原則的配置。在“Goodbye Ping 屬性”交談視窗的“規則”選項頁中單擊“添加”按鈕，並在開啟安全規則嚮導中單擊“下一步”進行隧道終結設定，在這裡選擇“此規則不指定隧道”。單擊“下一步”，並選擇“所有網路連接”以保證所有的電腦都Ping不通。單擊“下一步”，設定身分識別驗證方式，與上面一樣選擇第三個選項“此字串用來保護金鑰交換（預先共用金鑰）”並填入與剛才上面相同的內容。單擊“下一步”即開啟“IP篩選器列表”視窗，在“IP篩選器列表”中選擇“新IP篩選器列表”，單擊右側的“編輯”，在出現的視窗中點擊“添加”，單擊“下一步”，設定“源地址”為“我的IP地址”，單擊“下一步”，設定“目標地址”為“任何IP地址”，單擊“下一步”，選擇協議類型為ICMP，單擊“完成”後再點“確定”返回9的視窗，單擊“下一步”，選擇篩選器操作為“要求安全”選項，然後依次點擊“下一步”、“完成”、“確定”、“關閉”按鈕儲存相關的設定返回管理主控台。

最後在“本地安全設定”中右擊配置好的“Goodbye Ping”策略，在彈出的捷徑功能表中選擇“指派”命令使配置生效。

經過上面的設定，?.淥 撲慊 貾ing該電腦時，就不再Ping通了。但如果自己Ping本機電腦，仍可Ping通。在Windows 2000中操作基本相同。

四、修改TTL值防Ping

許多入侵者喜歡用TTL值來判斷作業系統，他們首先會Ping一下你的機子，如看到TTL值為128就認為你的系統為Windows NT/2000，如果TTL值為32則認為目標主機作業系統為Windows 95/98，如果為TTL值為255/64就認為是UNIX/Linux作業系統。既然入侵者相信TTL值所反應出來的結果，那麼我們不妨修改TTL值來欺騙入侵者，達到保護系統的目的。方法如下：

開啟Windows內建的“記事本”程式，編寫如下所示的批處理命令：

@echo REGEDIT4>>ChangeTTL.reg

@echo.>>ChangeTTL.reg

@echo [HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters]>>ChangeTTL.reg

@echo DefaultTTL=dword:000000ff>>ChangeTTL.reg

@REGEDIT /S /C ChangeTTL.reg

另存新檔以.bat為副檔名的批次檔，點擊這個檔案，你的作業系統的預設TTL值就會被修改為ff，即十進位的255，即把你的作業系統人為地改為UNIX系統了！

DefaultTTL=dword:000000ff是用來設定系統預設TTL值的，如果你想將自己的作業系統的TTL值改為其它作業系統的ICMP回顯應答值，請改變DefaultTTL的索引值，要注意它的索引值為16進位。

如何禁止別人ping自己的主機（2000內建）

我的電腦-控制台-管理工具-本地安全性原則-ip安全性原則

這是2000給我們的配置ip管理的工具，我這裡只說一下如何禁止別人ping我的主機。

共有四個步驟：

1。建立禁ping 規則

2。建立禁止/允許規則

3。把這兩個規則聯絡在一起

4。指派

詳細：

1。右擊ip安全性原則-管理ip篩選器表和篩選器操作-ip篩選器列表-添加：名稱：ping;描述：ping;(勾選“使用添加嚮導”),---添加-下一步：指定源/目的ip ,協議類型(icmp),下一步直至完成，關閉此對話方塊。

2。管理ip篩選器表和篩選器操作-管理篩選器操作-添加(勾選“使用添加嚮導”)-下一步：名稱：refuse;描述:refuse--下一步：阻止-下一步直至完成。

3。右擊ip安全性原則-建立ip安全性原則-下一步：名稱：禁止ping；--下一步：取消啟用預設響應規則-下一步：選中選中“編輯屬性“-完成。然後再“禁止ping屬性“上-添加(勾選“使用添加嚮導”)-下一步直至“驗證方法”；選第三項，輸入共用字串-下一步：在ip篩選器列表裡選“ping--下一步：選“refuse-下一步到完成。

這是你在“本地安全設定“右側會看到“禁止ping“這條規則，但是現在他還沒有起作用。

4。右擊“禁止ping“--指派。

這回一條禁止別人ping自己的機器的ip策略完成了。

趕快找個機器試試，自己的機器不行。會提示：請求逾時（timeout).

以上只是一條小得的ip過濾。你可以自己製作其他的ip策略。