上一篇：网络欺骗技术

在Win2000中预防Ping攻击

在win2000中如何关闭icmp(ping)　icmp的全名是internet control and message protocal即因特网控制消息/错误报文协议，这个协议主要是用来进行错误信息和控制信息的传递，例如著名的ping和tracert工具都是利用 icmp协议中的echo request报文进行的（请求报文icmp echo类型8代码0，应答报文icmp echoreply类型0代码0）。

　　icmp协议有一个特点---它是无连结的，也就是说只要发送端完成icmp报文的封装并传递给路由器，这个报文将会象邮包一样自己去寻找目的地址，这个特点使得icmp协议非常灵活快捷，但是同时也带来一个致命的缺陷---易伪造（邮包上的寄信人地址是可以随便写的），任何人都可以伪造一个 icmp报文并发送出去，伪造者可以利用sock_raw编程直接改写报文的icmp首部和ip首部，这样的报文携带的源地址是伪造的，在目的端根本无法追查，（攻击者不怕被抓那还不有恃无恐？）根据这个原理，外面出现了不少基于icmp的攻击软件，有通过网络架构缺陷制造icmp风暴的，有使用非常大的报文堵塞网络的，有利用icmp碎片攻击消耗服务器cpu的，甚至如果将icmp协议用来进行通讯，可以制作出不需要任何tcp/udp端口的木马（参见《揭开木马的神秘面纱三》）......既然icmp协议这么危险，我们为什么不关掉它呢？

　　

　　我们都知道，win2000在网络属性中自带了一个tcp/ip过滤器，我们来看看能不能通过这里关掉icmp协议，桌面上右击网上邻居- >属性->右击你要配置的网卡->属性->tcp/ip->高级->选项->tcp/ip过滤，这里有三个过滤器，分别为：tcp端口、udp端口和ip协议，我们先允许tcp/ip过滤，然后一个一个来配置，先是tcp端口，点击"只允许"，然后在下面加上你需要开的端口，一般来说web服务器只需要开80(www)，ftp服务器需要开20(ftp data)，21(ftp control)，邮件服务器可能需要打开25(smtp),110(pop3)，以此类推......接着是udp，udp协议和icmp协议一样是基于无连结的，一样容易伪造，所以如果不是必要（例如要从udp提供dns服务之类）应该选择全部不允许，避免受到洪水（flood）或碎片（fragment）攻击。最右边的一个编辑框是定义ip协议过滤的，我们选择只允许tcp协议通过，添加一个6（6是tcp在ip协议中的代码， ipproto_tcp=6）,从道理上来说，只允许tcp协议通过时无论udp还是icmp都不应该能通过，可惜的是这里的ip协议过滤指的是狭义的 ip协议，从架构上来说虽然icmp协议和igmp协议都是ip协议的附属协议，但是从网络7层结构上icmp/igmp协议与ip协议同属一层，所以微软在这里的ip协议过滤是不包括icmp协议的，也就是说即使你设置了“只允许tcp协议通过”，icmp报文仍然可以正常通过，所以如果我们要过滤 icmp协议还需要另想办法。

　　刚刚在我们进行tcp/ip过滤时，还有另外一个选项：ip安全机制（ip security)，我们过滤icmp的想法就要着落在它身上。

　　打开本地安全策略，选择ip安全策略，在这里我们可以定义自己的ip安全策略。

　　一个ip安全过滤器由两个部分组成：过滤策略和过滤操作，过滤策略决定哪些报文应当引起过滤器的关注，过滤操作决定过滤器是“允许”还是“拒绝”报文的通过。要新建ip安全过滤器，必须新建自己的过滤策略和过滤操作：右击本机的ip安全策略，选择管理ip过滤器，在ip过滤器管理列表中建立一个新的过滤规则：icmp_any_in，源地址选任意ip，目标地址选本机，协议类型是icmp，切换到管理过滤器操作，增加一个名为deny的操作，操作类型为"阻止"（block）。这样我们就有了一个关注所有进入icmp报文的过滤策略和丢弃所有报文的过滤操作了。需要注意的是，在地址选项中有一个镜像选择，如果选中镜像，那么将会建立一个对称的过滤策略，也就是说当你关注any ip->my ip的时候

　　熟悉网络的人都知道ping，ping是用于检测网络连接性、可到达性和名称解析的疑难问题的主要tcp/ip命令。ping最主要的用处就是检测目标主机是否可连通。

　　黑客要入侵，就得先锁定目标，一般都是通过使用ping命令来检测主机，获取相关信息，然后再进行漏洞扫描。如何不受别人的攻击？那就是阻止别人ping自己的电脑，让攻击无从着手。笔者介绍四种常见的阻止ping的方法，供大家参考：

　　一、用高级设置法预防ping

　　默认情况下，所有internet控制消息协议(icmp)选项均被禁用。如果启用icmp选项，您的网络将在 internet 中是可视的，因而易于受到攻击。

　　如果要启用icmp，必须以管理员或administrators 组成员身份登录计算机，右击“网上邻居”，在弹出的快捷菜单中选择“属性”即打开了“网络连接”，选定已启用internet连接防火墙的连接，打开其属性窗口，并切换到“高级”选项页，点击下方的“设置”，这样就出现了“高级设置”对话窗口，在“icmp”选项卡上，勾选希望您的计算机响应的请求信息类型，旁边的复选框即表启用此类型请求，如要禁用请清除相应请求信息类型即可。

　　二、用网络防火墙阻隔ping

　　使用防火墙来阻隔ping是最简单有效的方法，现在基本上所有的防火墙在默认情况下都启用了icmp过滤的功能。在此，以金山网镖2003和天网防火墙2.50版为蓝本来说明。

　　对于使用金山网镖2003的网友，请用鼠标右击系统托盘中的金山网镖2003图标，在弹出的快捷菜单中选择“实用工具”中的“自定义ip规则编辑器”，在出现的窗口中选中“防御icmp类型攻击”规则，消除“允许别人用ping命令探测本机”规则，保存应用后就发挥效应。

　　如果您用的是天网防火墙，在其主界面点击“自定义ip规则”，然后不勾选“防止别人用ping命令探测”规则，勾选“防御icmp攻击”规则，然后点击“保存/应用”使ip规则生效。

　　三、启用ip安全策略防ping

　　ip安全机制（ip security）即ipsec 策略，用来配置 ipsec 安全服务。这些策略可为多数现有网络中的多数通信类型提供各种级别的保护。您可配置 ipsec 策略以满足计算机、应用程序、组织单位、域、站点或全局企业的安全需要。可使用 windows xp 中提供的“ip 安全策略”管理单元来为 active directory 中的计算机（对于域成员）或本地计算机（对于不属于域的计算机）定义 ipsec 策略。

　　在此以windows xp为例，通过“控制面板”—“管理工具”来打开“本地安全策略”，选择ip安全策略，在这里，我们可以定义自己的ip安全策略。一个ip安全过滤器由两个部分组成：过滤策略和过滤操作。要新建ip安全过滤器，必须新建自己的过滤策略和过滤操作，右击窗口左侧的“ip安全策略，在本地机器”，在弹出的快捷菜单中选择“创建ip安全策略”，单击“下一步”，然后输入策略名称和策略描述。单击“下一步”，选中“激活默认响应规则”复选项，单击“下一步”。开始设置响应规则身份验证方式，选中“此字符串用来保护密钥交换(预共享密钥)”选项，然后随便输入一些字符（后面还会用到这些字符的），单击“下一步”，就会提示已完成ip安全策略，确认选中了“编辑属性”复选框，单击“完成”按钮，会打开其属性对话框。

　　接下来就要进行此新建安全策略的配置。在“goodbye ping 属性”对话窗口的“规则”选项页中单击“添加”按钮，并在打开安全规则向导中单击“下一步”进行隧道终结设置，在这里选择“此规则不指定隧道”。单击“下一步”，并选择“所有网络连接”以保证所有的计算机都ping不通。单击“下一步”，设置身份验证方式，与上面一样选择第三个选项“此字符串用来保护密钥交换（预共享密钥）”并填入与刚才上面相同的内容。单击“下一步”即打开“ip筛选器列表”窗口，在“ip筛选器列表”中选择“新ip筛选器列表”，单击右侧的“编辑”，在出现的窗口中点击“添加”，单击“下一步”，设置“源地址”为“我的ip地址”，单击“下一步”，设置“目标地址”为“任何ip地址”，单击“下一步”，选择协议类型为icmp，单击“完成”后再点“确定”返回如图9的窗口，单击“下一步”，选择筛选器操作为“要求安全”选项，然后依次点击“下一步”、“完成”、“确定”、“关闭”按钮保存相关的设置返回管理控制台。

　　最后在“本地安全设置”中右击配置好的“goodbye ping”策略，在弹出的快捷菜单中选择“指派”命令使配置生效。

　　经过上面的设置，当其他计算机再ping该计算机时，就不再ping通了。但如果自己ping本地计算机，仍可ping通。在windows 2000中操作基本相同。

　　四、修改ttl值防ping

　　许多入侵者喜欢用ttl值来判断操作系统，他们首先会ping一下你的机子，如看到ttl值为128就认为你的系统为windows nt/2000，如果ttl值为32则认为目标主机操作系统为windows 95/98，如果为ttl值为255/64就认为是unix/linux操作系统。既然入侵者相信ttl值所反应出来的结果，那么我们不妨修改ttl值来欺骗入侵者，达到保护系统的目的。方法如下：

　　打开windows自带的“记事本”程序，编写如下所示的批处理命令：

　　@echo regedit4>>changettl.reg

　　@echo.>>changettl.reg

　　@echo [hkey_local_machine\system\currentcontrolset\services\tcpip\parameters]>>changettl.reg

　　@echo "defaultttl"=dword:000000ff">>changettl.reg

　　@regedit /s /c changettl.reg

　　另存为以.bat为扩展名的批处理文件，点击这个文件，你的操作系统的缺省ttl值就会被修改为ff，即十进制的255，即把你的操作系统人为地改为unix系统了！

　　"defaultttl"=dword:000000ff"是用来设置系统缺省ttl值的，如果你想将自己的操作系统的ttl值改为其它操作系统的icmp回显应答值，请改变"defaultttl"的键值，要注意它的键值为16进制。

　　如何禁止别人ping自己的主机（2000自带）

　　我的电脑-控制面板-管理工具-本地安全策略-ip安全策略

　　这是2000给我们的配置ip管理的工具，我这里只说一下如何禁止别人ping我的主机。

　　共有四个步骤：

　　1。建立禁ping 规则

　　2。建立禁止/允许规则

　　3。把这两个规则联系在一起

　　4。指派

　　详细：

　　1。右击ip安全策略-管理ip筛选器表和筛选器操作-ip筛选器列表-添加：名称：ping;描述：ping;(勾选“使用添加向导”),---添加-下一步：指定源/目的ip ,协议类型(icmp),下一步直至完成，关闭此对话框。

　　2。管理ip筛选器表和筛选器操作-管理筛选器操作-添加(勾选“使用添加向导”)-下一步：名称：refuse;描述:refuse--下一步：阻止-下一步直至完成。

　　3。右击ip安全策略-创建ip安全策略-下一步：名称：禁止ping；--下一步：取消激活默认响应规则-下一步：选中选中“编辑属性“- 完成。然后再“禁止ping属性“上-添加(勾选“使用添加向导”)-下一步直至“身份验证方法”；选第三项，输入共享字串-下一步：在ip筛选器列表里选“ping"--下一步：选“refuse"-下一步到完成。

　　这是你在“本地安全设置“右侧会看到“禁止ping“这条规则，但是现在他还没有起作用。

　　4。右击“禁止ping“--指派。

　　这回一条禁止别人ping自己的机器的ip策略完成了。

　　赶快找个机器试试，自己的机器不行。会提示：请求超时（timeout).

　　以上只是一条小得的ip过滤。你可以自己制作其他的ip策略。

（）

下一篇：浏览器安全权威指南

↓相关文章：