如何将电脑ping探测拒之门外

Ping命令应该算是大家最熟悉的命令之一,也是我们最常用到的命令之一。

我们都知道,在进行网络攻击或入侵前,一般都要进行踩点,也就是收集要入侵的目标主机的敏感信息,然后我们再根据收集到的信息来确定下一步要如何去入侵。而踩点过程中我们经常都会用到ping命令。

为了测试自己与目标电脑是否能够连通,或是利用ping命令得到对方的ip地址,另外,有许多端口扫描工具也是依赖ping的结果来工作的。

可以说ping是最简单有效的探测命令了,因此禁止系统对ping请求作出响应,对于系统的安全是有很大好处的。那么,我们要如何才能禁止系统对ping请求做出响应呢?

其实方法有很多,在linux系统中设置比较简单,我们可以使用以下命令来达到禁止ping响应的目的: eche 1>
       /proc/sys/net/ipvd/icmp_eche_ignore_all。

而在windows2000/xp/2003系统中,可以通过设置ip安全策略来禁止外部的ping请求包,来达到禁止ping响应的目的。

1.创建ip安全策略

打开控制面板-性能和维护-管理工具-本地安全策略,弹出本地安全策略对话框,右键单击ip安全策略,在弹出的右键快捷菜单中选择创建ip安全策略选项,在ip安全策略向导对话框中创建一个新的安全策略,输入相应的名称和描述。单击下一步按钮后,去掉激活默认响应规则选项,然后单击下一步按钮。选中编辑属性并点击完成按钮。

跟着上述步骤就可以看到对话框了

2.添加一个安全规则

在上一步完成后,会自动进入新创建的ip安全属性窗口-deny ping属性,单击添加按钮,来添加一个新的安全规则,这个时候就会弹出安全规则向导窗口,然后依次在隧道终结点中选择此规则不指定隧道,在网络类型中选择所有网络连接,在身份验证方法中选择active directory默认值(kerberos v5 协议)(注意,如果计算机不是某个域的成员,kerberos是不会生效的,所以会在这一步弹出一个警告框“只有当这个规则在一台为域成员的计算机上kerberos才会有效。这台计算机不是一个域成员,你想要继续并保留这些规则的属性吗?”,若要继续,选择“是”即可)。这时单击下一步会进入ip筛选器列表窗口。

3.添加一个新的ip筛选器

单击添加按钮,输入筛选器名称(这个名称可以自己任意起,只是一个标识的作用)和描述信息,单击添加按钮,弹出筛选器向导窗口,单击下一步按钮,在源地址处选择任何ip地址。在目标地址处选择我的ip地址,在协议类型处选择icmp,不选择编辑属性,最后单击完成按钮会自动关闭筛选器向导对话框,添加ip筛选器后的ip筛选器列表。

4.在安全规则向导窗口中,选中刚刚创建的安全规则“deny ping”,单击下一步按钮,进入筛选器操作窗口,建立一个如图所示的筛选器操作。

单击下一步按钮选择阻止选项,单击确定按钮,然后在筛选器操作窗口中,单击下一步按钮,不选择编辑属性,最后单击完成按钮。

最后为了使新添加的策略生效,在本地安全设置中选中新的策略,单击鼠标右键,在弹出的快捷菜单中选择“指派”一项,新的策略开始生效。

当然,这样设置的禁止ping的安全策略是双向的,也就是不允许外部对本机的ping操作,也禁止了本机的ping操作,这样的话,我们自己使用起来也不方便了,其实可以在刚建立的安全操作中去掉“镜像”选项,这样这个安全策略就变为单向的了,即使我们可以正常使用ping命令的同时又可以避免对其机器发出的ping命令做出响应。具体操作步骤如下:在新的安全策略属性窗口编辑选中的安全规则,编辑选中的筛选器列表,编辑筛选器属性,取消其中镜像选项。

当然如果windows启动了路由和远程访问的服务,那么作为路由的这台主机也可以通过设置路由和远程访问的过滤规则来禁止响应 icmp echo请求。

除了通过ip安全策略来禁止ping响应外,但作为个人用户,我觉得安装防火墙也是一个不错的选择。相比较而言,目前许多防火墙都提供了比较完善的数据包过滤功能,操作起来也是非常简单,就比如说天网,绿色警戒,isa等,使用防火墙我们也可以进行同样的设置。

来源网络让更多需要的人看到

(0)

相关推荐