在網絡中為了防止用戶頻繁Ping服務器而導致服務器性能下降,一般都會在防火牆中設置規則決絕Ping請求。那麼如果單純借助系統自身的功能是否也可以拒絕用戶Ping服務器呢
頻繁地使用Ping命令會導致網絡堵塞、降低傳輸效率,為了避免惡意的網絡攻擊,一般都會拒絕用戶Ping服務器。為實現這一目的,不僅可以在防火牆中進行設置,也可以在路由器上進行設置,並且還可以利用Windows 2000/2003系統自身的功能實現。無論采用哪種方式,都是通過禁止使用ICMP協議來實現拒絕Ping動作
以在Windows Server 2003中設置IP策略拒絕用戶Ping服務器為例,具體操作步驟如下:
1.添加IP篩選器
第1步,依次單擊“開始/管理工具/本地安全策略”,打開“本地安全設置”窗口。右鍵單擊左窗格的“IP安全策略,在本地計算機”選項,執行“管理IP篩選器表和篩選器操作”快捷命令。在“管理IP篩選器列表”選項中單擊“添加”按鈕,命名這個篩選器名稱為“禁止PING”,描述語言可以為“禁止任何其它計算機PING我的主機”,然後單擊“添加”按鈕
第2步,依次單擊“下一步”→“下一步”按鈕,選擇“IP通信源地址”為“我的IP地址”,單擊“下一步”按鈕;選擇“IP通信目標地址”為“任何IP地址”,單擊“下一步”按鈕;選擇“IP協議類型”為ICMP,單擊“下一步”按鈕。依次單擊“完成”→“確定”按鈕結束添加
第3步,切換到“管理篩選器操作”選項卡中,依次單擊“添加”→“下一步”按鈕,命名篩選器操作名稱為“阻止所有連接”,描述語言可以為“阻止所有網絡連接”,單擊“下一步”按鈕;點選“阻止”選項作為此篩選器的操作行為,最後依次單擊“下一步”→“完成”→“關閉”按鈕完成所有添加操作
2.創建IP安全策略。
右鍵單擊控制台樹的“IP安全策略,在本地計算機”選項,執行“創建IP安全策略”快捷命令,然後單擊“下一步”按鈕。命名這個IP安全策略為“禁止PING主機”,描述語言為“拒絕任何其它計算機的PING要求”並單擊“下一步”按鈕。然後在勾選“激活默認響應規則”的前提下單擊“下一步”按鈕。在“默認響應規則身份驗證方法”對話框中點選“使用此字符串保護密鑰交換”選項,並在下面的文字框中鍵入一段字符串如“NO PING
”,單擊“下一步”按鈕。最後在勾選“編輯屬性”的前提下單擊“完成”按鈕結束創建
3.配置IP安全策略。
在打開的“禁止PING主機屬性”對話框中的“規則”選項卡中依次單擊“添加/下一步”按鈕,默認點選“此規則不指定隧道”並單擊“下一步”按鈕;點選“所有網絡連接”以保證所有的計算機都PING不通該主機,單擊“下一步”按鈕。在“IP篩選器列表”框中點選“禁止PING”,單擊“下一步”按鈕;在“篩選器操作”列表框中點選“阻止所有連接”,依次單擊“下一步”按鈕;取消“編輯屬性”選項並單擊“完成”按鈕結束配置
4.指派IP安全策略。
安全策略創建完畢後並不能馬上生效,還需通過“指派”使其發揮作用。右鍵單擊“本地安全設置”窗口右窗格的“禁止PING主機”策略,執行“指派”命令即可啟用該策略
經過這樣的一番設置,這台服務器已經具備了拒絕其它任何計算機Ping自己IP地址的能力了,不過在本地Ping自身仍然是通的。
Linux下邊禁止ping命令的使用
以root進入Linux系統,然後編輯文件icmp_echo_ignore_all
vi /proc/sys/net/ipv4/icmp_echo_ignore_all
將其值改為1後為禁止PING
將其值改為0後為解除禁止PING
直接修改會提示錯誤:
WARNING: The file has been changed since
reading it!!!
Do you really want to write to it (y/n)?y
"icmp_echo_ignore_all" E667:
Fsync failed
Hit ENTER or type command to continue
這是因為 proc/sys/net/ipv4/icmp_echo_ignore_all
這個不是真實的文件
如果想修改他的數值可以echo 0 或 1到這個文件
(即echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all )。要是想永久更改可以加一行
net.ipv4.icmp_echo_ignore_all=1
到配置文件/etc/sysctl.conf裡面
3 用高級設置法預防Ping
默認情況下,所有Internet控制消息協議(ICMP)選項均被禁用。如果啟用ICMP選項,您的網絡將在 Internet 中是可視的,因而易於受到攻擊。
如果要啟用ICMP,必須以管理員或Administrators 組成員身份登錄計算機,右擊“網上鄰居”,在彈出的快捷菜單中選擇“屬性”即打開了“網絡連接”,選定已啟用Internet連接防火牆的連接,打開其屬性窗口,並切換到“高級”選項頁,點擊下方的“設置”,這樣就出現了“高級設置”對話窗口,在“ICMP”選項卡上,勾選希望您的計算機響應的請求信息類型,旁邊的復選框即表啟用此類型請求,如要禁用請清除相應請求信息類型即可。