Windows 2000系統如何不被Ping

在Win2000中如何關閉ICMP(Ping)

ICMP的全名是Internet Control and Message Protocal即網際網路控制訊息/錯誤判文協議，這個協議主要是用來進行錯誤資訊和控制資訊的傳遞，例如著名的Ping和Tracert工具都是利用ICMP協議中的ECHO request報文進行的（請求報文ICMP ECHO類型8代碼0，應答報文ICMP ECHOREPLY類型0代碼0）。

ICMP協議有一個特點---它是無連結的，也就是說只要發送端完成ICMP報文的封裝並傳遞給路由器，這個報文將會象郵包一樣自己去尋找目的地址，這個特點使得ICMP協議非常靈活快捷，但是同時也帶來一個致命的缺陷---易偽造（郵包上的寄件地址是可以隨便寫的），任何人都可以偽造一個ICMP報文並發送出去，偽造者可以利用SOCK_RAW編程直接改寫報文的ICMP首部和IP首部，這樣的報文攜帶的源地址是偽造的，在目的端根本無法追查，（攻擊者不怕被抓那還不有恃無恐？）根據這個原理，外面出現了不少基於ICMP的攻擊軟體，有通過網路架構缺陷製造ICMP風暴的，有使用非常大的報文堵塞網路的，有利用ICMP片段攻擊消耗伺服器CPU的，甚至如果將ICMP協議用來進行通訊，可以製作出不需要任何TCP/UDP連接埠的木馬（參見《揭開木馬的神秘面紗三》）......既然ICMP協議這麼危險，我們為什麼不關掉它呢？

我們都知道，Win2000在網路屬性中內建了一個TCP/IP過濾器，我們來看看能不能通過這裡關掉ICMP協議，案頭上右擊網路位置->屬性->右擊你要配置的網卡->屬性->TCP/IP->進階->選項->TCP/IP過濾，這裡有三個過濾器，分別為：TCP連接埠、UDP連接埠和IP協議，我們先允許TCP/IP過濾，然後一個一個來配置，先是TCP連接埠，點擊"只允許"，然後在下面加上你需要開的連接埠，一般來說WEB伺服器只需要開80(www)，FTP伺服器需要開20(FTP Data)，21(FTP Control)，郵件伺服器可能需要開啟25(SMTP),110(POP3)，以此類推......接著是UDP，UDP協議和ICMP協議一樣是基於無連結的，一樣容易偽造，所以如果不是必要（例如要從UDP提供DNS服務之類）應該選擇全部不允許，避免受到洪水（Flood）或片段（Fragment）攻擊。最右邊的一個編輯框是定義IP協議過濾的，我們選擇只允許TCP協議通過，添加一個6（6是TCP在IP協議中的代碼，IPPROTO_TCP=6）,從道理上來說，只允許TCP協議通過時無論UDP還是ICMP都不應該能通過，可惜的是這裡的IP協議過濾指的是狹義的IP協議，從架構上來說雖然ICMP協議和IGMP協議都是IP協議的附屬協議，但是從網路7層結構上ICMP/IGMP協議與IP協議同屬一層，所以微軟在這裡的IP協議過濾是不包括ICMP協議的，也就是說即使你設定了“只允許TCP協議通過”，ICMP報文仍然可以正常通過，所以如果我們要過濾ICMP協議還需要另想辦法。

剛剛在我們進行TCP/IP過濾時，還有另外一個選項：IP安全機制（IP Security)，我們過濾ICMP的想法就要著落在它身上。

開啟本地安全性原則，選擇IP安全性原則，在這裡我們可以定義自己的IP安全性原則。

一個IP安全過濾器由兩個部分組成：過濾策略和過濾操作，過濾策略決定哪些報文應當引起過濾器的關注，過濾操作決定過濾器是“允許”還是“拒絕”報文的通過。要建立IP安全過濾器，必須建立自己的過濾策略和過濾操作：右擊原生IP安全性原則，選擇管理IP過濾器，在IP過濾器管理列表中建立一個新的過濾規則：ICMP_ANY_IN，源地址選任意IP，目標地址選本機，協議類型是ICMP，切換到管理過濾器操作，增加一個名為Deny的操作，操作類型為"阻止"（Block）。這樣我們就有了一個關注所有進入ICMP報文的過濾策略和丟棄所有報文的過濾操作了。需要注意的是，在地址選項中有一個鏡像選擇，如果選中鏡像，那麼將會建立一個對稱的過濾策略，也就是說當你關注any IP->my IP的時候

熟悉網路的人都知道Ping，Ping是用於檢測網路連接性、可到達性和名稱解析的疑難問題的主要TCP/IP命令。Ping最主要的用處就是檢測目標主機是否可連通。

駭客要入侵，就得先鎖定目標，一般都是通過使用Ping命令來檢測主機，擷取相關資訊，然後再進行漏洞掃描。如何不受別人的攻擊？那就是阻止別人Ping自己的電腦，讓攻擊無從著手。筆者介紹四種常見的阻止Ping的方法，供大家參考：

一、用進階設定法預防Ping

預設情況下，所有Internet控制訊息協議(ICMP)選項均被禁用。如果啟用ICMP選項，您的網路將在 Internet 中是可視的，因而易於受到攻擊。

如果要啟用ICMP，必須以管理員或Administrators 群組成員資格登入電腦，右擊“網路位置”，在彈出的捷徑功能表中選擇“屬性”即開啟了“網路連接”，選定已啟用Internet串連防火牆的串連，開啟其屬性視窗，並切換到“進階”選項頁，點擊下方的“設定”，這樣就出現了“進階設定”交談視窗，在“ICMP”選項卡上，勾選希望您的電腦響應的請求資訊類型，旁邊的複選框即表啟用此類型請求，如要禁用請清除相應請求資訊類型即可。

二、用網路防火牆阻隔Ping

使用防火牆來阻隔Ping是最簡單有效方法，現在基本上所有的防火牆在預設情況下都啟用了ICMP過濾的功能。在此，以金山網鏢2003和天網防火牆2.50版為藍本來說明。

對於使用金山網鏢2003的網友，請用滑鼠右擊系統托盤中的金山網鏢2003表徵圖，在彈出的捷徑功能表中選擇“工具 + 生產力”中的“自訂IP規則編輯器”，在出現的視窗中選中“防禦ICMP類型攻擊”規則，消除“允許別人用ping命令探測本機”規則，儲存應用後就發揮效應。

如果您用的是天網防火牆，在其主介面點擊“自訂IP規則”，然後不勾選“防止別人用ping命令探測”規則，勾選“防禦ICMP攻擊”規則，然後點擊“儲存/應用”使IP規則生效。

三、啟用IP安全性原則防Ping

IP安全機制（IP Security）即IPSec 策略，用來配置 IPSec 安全服務。這些策略可為多數現有網路中的多數通訊類型提供各種層級的保護。您可配置 IPSec 策略以滿足電腦、應用程式、組織單位、域、網站或全域企業的安全需要。可使用 Windows XP 中提供的“IP 安全性原則”嵌入式管理單元來為 Active Directory 中的電腦（對於域成員）或本機電腦（對於不屬於域的電腦）定義 IPSec 策略。