LINUX下禁止ping命令的使用
以root進入Linux系統,然後編輯文件icmp_echo_ignore_all
vi /proc/sys/net/ipv4/icmp_echo_ignore_all
將其值改為1後為禁止PING
將其值改為0後為解除禁止PING
直接修改會提示錯誤:
WARNING: The file has been changed since reading it!!!
Do you really want to write to it (y/n)?y
"icmp_echo_ignore_all" E667: Fsync failed
Hit ENTER or type command to continue
這是因為 proc/sys/net/ipv4/icmp_echo_ignore_all
這個不是真實的文件
如果想修改他的數值可以echo 0 或 1到這個文件
(即echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all )。要是想永久更改可以加一行
net.ipv4.icmp_echo_ignore_all=1
到配置文件/etc/sysctl.conf裡面
如何禁止PING我的WINDOWS服務器
在黑客入侵尋找對象時,大多都使用Ping命令來檢測主機,如果Ping不通,水平差的“黑客”大多就會知難而退。事實上,完全可以造成一種假相,即使我們在線,但對方Ping時也不能相通,這樣就能躲避很多攻擊。
第一步:添加獨立管理單元 開始-運行,輸入:mmc,啟動打開“控制台”窗口。再點選“控制台”菜單下的“添加/刪除管理單元”,單擊“添加”按鈕,在彈出的窗口中選擇“IP安全策略管理”項,單擊“添加”按鈕。在打開窗口中選擇管理對象為“本地計算機”,單擊“完成”按鈕,同時關閉“添加/刪除管理單元”窗口,返回主控台。
(圖一)
第二步:創建IP安全策略
右擊剛剛添加的“IP安全策略,在本地機器”(圖二),選擇“創建IP安全策略”,單擊“下一步”,然後輸入一個策略描述,如“no Ping”(圖三)。單擊“下一步”,選中“激活默認響應規則”復選項,單擊“下一步”。開始設置身份驗證方式,選中“此字符串用來保護密鑰交換(預共享密鑰)”選項,然後隨便輸入一些字符(下面還會用到這些字符)(圖四)。單擊“下一步”,就會提示已完成IP安全策略,確認選中了“編輯屬性”復選框,單擊“完成”按鈕,會打開其屬性對話框。
(圖二)
(圖三)
(圖四)
第三步:配置安全策略
單擊“添加”按鈕,並在打開安全規則向導中單擊“下一步”進行隧道終結設置,在這裡選擇“此規則不指定隧道”。(圖六)單擊“下一步”,並選擇“所有網絡連接”以保證所有的計算機都Ping不通。單擊“下一步”,設置身份驗證方式,與上面一樣選擇第三個選項“此字符串用來保護密鑰交換(預共享密鑰)”並填入與剛才相同的內容。單擊“下一步”,在打開窗口中單擊“添加”按鈕,打開“IP篩選器列表”窗口。(圖七)單擊“添加”,單擊“下一步”,設置源地址為“我的IP地址”,單擊“下一步”,設置目標地址為“任何IP地址”,單擊“下一步”,選擇協議為ICMP,現在就可依次單擊“完成”和“關閉”按鈕返回。此時,可以在IP篩選器列表中看到剛剛創建的篩選器,將其選中之後單擊“下一步”,選擇篩選器操作為“要求安全設置”選項(圖八),然後依次點擊“完成”、“關閉”按鈕,保存相關的設置返回管理控制台。
(圖五)
(圖六)
(圖七)
(圖八)
第四步:指派安全策略
最後只需在“控制台根節點”中右擊配置好的“禁止Ping”策略,選擇“指派”命令使配置生效(圖九)。經過上面的設置,當其他計算機再Ping該計算機時,就不再相通了。但如果自己Ping本地計算機,仍可相通。此法對於Windows 2000/XP均有效。
(圖九)
如何才能防止被別人ping
一、用高級設置法預防Ping
默認情況下,所有Internet控制消息協議(ICMP)選項均被禁用。如果啟用ICMP選項,您的網絡將在 Internet 中是可視的,因而易於受到攻擊。
如果要啟用ICMP,必須以管理員或Administrators 組成員身份登錄計算機,右擊“網上鄰居”,在彈出的快捷菜單中選擇“屬性”即打開了“網絡連接”,選定已啟用Internet連接防火牆的連接,打開其屬性窗口,並切換到“高級”選項頁,點擊下方的“設置”,這樣就出現了“高級設置”對話窗口,在“ICMP”選項卡上,勾選希望您的計算機響應的請求信息類型,旁邊的復選框即表啟用此類型請求,如要禁用請清除相應請求信息類型即可。
二、用網絡防火牆阻隔Ping
使用防火牆來阻隔Ping是最簡單有效的方法,現在基本上所有的防火牆在默認情況下都啟用了ICMP過濾的功能。在此,以金山網镖2003和天網防火牆2.50版為藍本來說明。
對於使用金山網镖2003的網友,請用鼠標右擊系統托盤中的金山網镖2003圖標,在彈出的快捷菜單中選擇“實用工具”中的“自定義IP規則編輯器”,在出現的窗口中選中“防御ICMP類型攻擊”規則,消除“允許別人用ping命令探測本機”規則,保存應用後就發揮效應。
如果您用的是天網防火牆,在其主界面點擊“自定義IP規則”,然後不勾選“防止別人用ping命令探測”規則,勾選“防御ICMP攻擊”規則,然後點擊“保存/應用”使IP規則生效。
三、啟用IP安全策略防Ping
IP安全機制(IP Security)即IPSec 策略,用來配置 IPSec 安全服務。這些策略可為多數現有網絡中的多數通信類型提供各種級別的保護。您可配置 IPSec 策略以滿足計算機、應用程序、組織單位、域、站點或全局企業的安全需要。可使用 Windows XP 中提供的“IP 安全策略”管理單元來為 Active Directory 中的計算機(對於域成員)或本地計算機(對於不屬於域的計算機)定義 IPSec 策略。
在此以WINDOWS XP為例,通過“控制面板”—“管理工具”來打開“本地安全策略”,選擇IP安全策略,在這裡,我們可以定義自己的IP安全策略。一個IP安全過濾器由兩個部分組成:過濾策略和過濾操作。要新建IP安全過濾器,必須新建自己的過濾策略和過濾操作,右擊窗口左側的“IP安全策略,在本地機器”,在彈出的快捷菜單中選擇“創建IP安全策略”,單擊“下一步”,然後輸入策略名稱和策略描述。單擊“下一步”,選中“激活默認響應規則”復選項,單擊“下一步”。開始設置響應規則身份驗證方式,選中“此字符串用來保護密鑰交換(預共享密鑰)”選項,然後隨便輸入一些字符(後面還會用到這些字符的),單擊“下一步”,就會提示已完成IP安全策略,確認選中了“編輯屬性”復選框,單擊“完成”按鈕,會打開其屬性對話框。
接下來就要進行此新建安全策略的配置。在“Goodbye Ping 屬性”對話窗口的“規則”選項頁中單擊“添加”按鈕,並在打開安全規則向導中單擊“下一步”進行隧道終結設置,在這裡選擇“此規則不指定隧道”。單擊“下一步”,並選擇“所有網絡連接”以保證所有的計算機都Ping不通。單擊“下一步”,設置身份驗證方式,與上面一樣選擇第三個選項“此字符串用來保護密鑰交換(預共享密鑰)”並填入與剛才上面相同的內容。單擊“下一步”即打開“IP篩選器列表”窗口,在“IP篩選器列表”中選擇“新IP篩選器列表”,單擊右側的“編輯”,在出現的窗口中點擊“添加”,單擊“下一步”,設置“源地址”為“我的IP地址”,單擊“下一步”,設置“目標地址”為“任何IP地址”,單擊“下一步”,選擇協議類型為ICMP,單擊“完成”後再點“確定”返回如圖9的窗口,單擊“下一步”,選擇篩選器操作為“要求安全”選項,然後依次點擊“下一步”、“完成”、“確定”、“關閉”按鈕保存相關的設置返回管理控制台。
最後在“本地安全設置”中右擊配置好的“Goodbye Ping”策略,在彈出的快捷菜單中選擇“指派”命令使配置生效。
經過上面的設置,?.渌 撲慊 貾ing該計算機時,就不再Ping通了。但如果自己Ping本地計算機,仍可Ping通。在Windows 2000中操作基本相同。
四、修改TTL值防Ping
許多入侵者喜歡用TTL值來判斷操作系統,他們首先會Ping一下你的機子,如看到TTL值為128就認為你的系統為Windows NT/2000,如果TTL值為32則認為目標主機操作系統為Windows 95/98,如果為TTL值為255/64就認為是UNIX/Linux操作系統。既然入侵者相信TTL值所反應出來的結果,那麼我們不妨修改TTL值來欺騙入侵者,達到保護系統的目的。方法如下:
打開Windows自帶的“記事本”程序,編寫如下所示的批處理命令:
@echo REGEDIT4>>ChangeTTL.reg
@echo.>>ChangeTTL.reg
@echo [HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters]>>ChangeTTL.reg
@echo DefaultTTL=dword:000000ff>>ChangeTTL.reg
@REGEDIT /S /C ChangeTTL.reg
另存為以.bat為擴展名的批處理文件,點擊這個文件,你的操作系統的缺省TTL值就會被修改為ff,即十進制的255,即把你的操作系統人為地改為UNIX系統了!
DefaultTTL=dword:000000ff是用來設置系統缺省TTL值的,如果你想將自己的操作系統的TTL值改為其它操作系統的ICMP回顯應答值,請改變DefaultTTL的鍵值,要注意它的鍵值為16進制。
如何禁止別人ping自己的主機(2000自帶)
我的電腦-控制面板-管理工具-本地安全策略-ip安全策略
這是2000給我們的配置ip管理的工具,我這裡只說一下如何禁止別人ping我的主機。
共有四個步驟:
1。建立禁ping 規則
2。建立禁止/允許規則
3。把這兩個規則聯系在一起
4。指派
詳細:
1。右擊ip安全策略-管理ip篩選器表和篩選器操作-ip篩選器列表-添加:名稱:ping;描述:ping;(勾選“使用添加向導”),---添加-下一步:指定源/目的ip ,協議類型(icmp),下一步直至完成,關閉此對話框。
2。管理ip篩選器表和篩選器操作-管理篩選器操作-添加(勾選“使用添加向導”)-下一步:名稱:refuse;描述:refuse--下一步:阻止-下一步直至完成。
3。右擊ip安全策略-創建ip安全策略-下一步:名稱:禁止ping;--下一步:取消激活默認響應規則-下一步:選中選中“編輯屬性“-完成。然後再“禁止ping屬性“上-添加(勾選“使用添加向導”)-下一步直至“身份驗證方法”;選第三項,輸入共享字串-下一步:在ip篩選器列表裡選“ping--下一步:選“refuse-下一步到完成。
這是你在“本地安全設置“右側會看到“禁止ping“這條規則,但是現在他還沒有起作用。
4。右擊“禁止ping“--指派。
這回一條禁止別人ping自己的機器的ip策略完成了。
趕快找個機器試試,自己的機器不行。會提示:請求超時(timeout).
以上只是一條小得的ip過濾。你可以自己制作其他的ip策略。
