LINUX下禁止ping命令的使用

以root進(jìn)入Linux系統(tǒng)，然后編輯文件icmp_echo_ignore_all

vi /proc/sys/net/ipv4/icmp_echo_ignore_all

將其值改為1后為禁止PING

將其值改為0后為解除禁止PING

直接修改會(huì)提示錯(cuò)誤:

WARNING: The file has been changed since reading it!!!

Do you really want to write to it (y/n)?y

“icmp_echo_ignore_all” E667: Fsync failed

Hit ENTER or type command to continue

這是因?yàn)?proc/sys/net/ipv4/icmp_echo_ignore_all

這個(gè)不是真實(shí)的文件

如果想修改他的數(shù)值可以echo 0 或 1到這個(gè)文件

(即echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all )。要是想永久更改可以加一行

net.ipv4.icmp_echo_ignore_all=1

到配置文件/etc/sysctl.conf里面

如何禁止PING我的WINDOWS服務(wù)器

在黑客入侵尋找對(duì)象時(shí)，大多都使用Ping命令來檢測(cè)主機(jī)，如果Ping不通，水平差的“黑客”大多就會(huì)知難而退。事實(shí)上，完全可以造成一種假相，即使我們?cè)诰€，但對(duì)方Ping時(shí)也不能相通，這樣就能躲避很多攻擊。

第一步:添加獨(dú)立管理單元

開始-運(yùn)行，輸入:mmc，啟動(dòng)打開“控制臺(tái)”窗口。再點(diǎn)選“控制臺(tái)”菜單下的“添加/刪除管理單元”，單擊“添加”按鈕，在彈出的窗口中選擇“IP安全策略管理”項(xiàng)，單擊“添加”按鈕。在打開窗口中選擇管理對(duì)象為“本地計(jì)算機(jī)”，單擊“完成”按鈕，同時(shí)關(guān)閉“添加/刪除管理單元”窗口，返回主控臺(tái)。

(圖一)

第二步:創(chuàng)建IP安全策略

右擊剛剛添加的“IP安全策略，在本地機(jī)器”(圖二)，選擇“創(chuàng)建IP安全策略”，單擊“下一步”，然后輸入一個(gè)策略描述，如“no Ping”(圖三)。單擊“下一步”，選中“激活默認(rèn)響應(yīng)規(guī)則”復(fù)選項(xiàng)，單擊“下一步”。開始設(shè)置身份驗(yàn)證方式，選中“此字符串用來保護(hù)密鑰交換(預(yù)共享密鑰)”選項(xiàng)，然后隨便輸入一些字符(下面還會(huì)用到這些字符)(圖四)。單擊“下一步”，就會(huì)提示已完成IP安全策略，確認(rèn)選中了“編輯屬性”復(fù)選框，單擊“完成”按鈕，會(huì)打開其屬性對(duì)話框。

(圖二)

(圖三)

(圖四)

第三步:配置安全策略

單擊“添加”按鈕，并在打開安全規(guī)則向?qū)е袉螕?ldquo;下一步”進(jìn)行隧道終結(jié)設(shè)置，在這里選擇“此規(guī)則不指定隧道”。(圖六)單擊“下一步”，并選擇“所有網(wǎng)絡(luò)連接”以保證所有的計(jì)算機(jī)都Ping不通。單擊“下一步”，設(shè)置身份驗(yàn)證方式，與上面一樣選擇第三個(gè)選項(xiàng)“此字符串用來保護(hù)密鑰交換(預(yù)共享密鑰)”并填入與剛才相同的內(nèi)容。單擊“下一步”，在打開窗口中單擊“添加”按鈕，打開“IP篩選器列表”窗口。(圖七)單擊“添加”，單擊“下一步”，設(shè)置源地址為“我的IP地址”，單擊“下一步”，設(shè)置目標(biāo)地址為“任何IP地址”，單擊“下一步”，選擇協(xié)議為ICMP，現(xiàn)在就可依次單擊“完成”和“關(guān)閉”按鈕返回。此時(shí)，可以在IP篩選器列表中看到剛剛創(chuàng)建的篩選器，將其選中之后單擊“下一步”，選擇篩選器操作為“要求安全設(shè)置”選項(xiàng)(圖八)，然后依次點(diǎn)擊“完成”、“關(guān)閉”按鈕，保存相關(guān)的設(shè)置返回管理控制臺(tái)。

(圖五)

(圖六)

(圖七)

(圖八)

第四步:指派安全策略

最后只需在“控制臺(tái)根節(jié)點(diǎn)”中右擊配置好的“禁止Ping”策略，選擇“指派”命令使配置生效(圖九)。經(jīng)過上面的設(shè)置，當(dāng)其他計(jì)算機(jī)再Ping該計(jì)算機(jī)時(shí)，就不再相通了。但如果自己Ping本地計(jì)算機(jī)，仍可相通。此法對(duì)于Windows 2000/XP均有效。

(圖九)

如何才能防止被別人ping

一、用高級(jí)設(shè)置法預(yù)防Ping

默認(rèn)情況下，所有Internet控制消息協(xié)議(ICMP)選項(xiàng)均被禁用。如果啟用ICMP選項(xiàng)，您的網(wǎng)絡(luò)將在 Internet 中是可視的，因而易于受到攻擊。

如果要啟用ICMP，必須以管理員或Administrators 組成員身份登錄計(jì)算機(jī)，右擊“網(wǎng)上鄰居”，在彈出的快捷菜單中選擇“屬性”即打開了“網(wǎng)絡(luò)連接”，選定已啟用Internet連接防火墻的連接，打開其屬性窗口，并切換到“高級(jí)”選項(xiàng)頁，點(diǎn)擊下方的“設(shè)置”，這樣就出現(xiàn)了“高級(jí)設(shè)置”對(duì)話窗口，在“ICMP”選項(xiàng)卡上，勾選希望您的計(jì)算機(jī)響應(yīng)的請(qǐng)求信息類型，旁邊的復(fù)選框即表啟用此類型請(qǐng)求，如要禁用請(qǐng)清除相應(yīng)請(qǐng)求信息類型即可。

二、用網(wǎng)絡(luò)防火墻阻隔Ping

使用防火墻來阻隔Ping是最簡(jiǎn)單有效的方法，現(xiàn)在基本上所有的防火墻在默認(rèn)情況下都啟用了ICMP過濾的功能。在此，以金山網(wǎng)鏢2003和天網(wǎng)防火墻2.50版為藍(lán)本來說明。

對(duì)于使用金山網(wǎng)鏢2003的網(wǎng)友，請(qǐng)用鼠標(biāo)右擊系統(tǒng)托盤中的金山網(wǎng)鏢2003圖標(biāo)，在彈出的快捷菜單中選擇“實(shí)用工具”中的“自定義IP規(guī)則編輯器”，在出現(xiàn)的窗口中選中“防御ICMP類型攻擊”規(guī)則，消除“允許別人用ping命令探測(cè)本機(jī)”規(guī)則，保存應(yīng)用后就發(fā)揮效應(yīng)。

如果您用的是天網(wǎng)防火墻，在其主界面點(diǎn)擊“自定義IP規(guī)則”，然后不勾選“防止別人用ping命令探測(cè)”規(guī)則，勾選“防御ICMP攻擊”規(guī)則，然后點(diǎn)擊“保存/應(yīng)用”使IP規(guī)則生效。

三、啟用IP安全策略防Ping

IP安全機(jī)制(IP Security)即IPSec 策略，用來配置 IPSec 安全服務(wù)。這些策略可為多數(shù)現(xiàn)有網(wǎng)絡(luò)中的多數(shù)通信類型提供各種級(jí)別的保護(hù)。您可配置 IPSec 策略以滿足計(jì)算機(jī)、應(yīng)用程序、組織單位、域、站點(diǎn)或全局企業(yè)的安全需要。可使用 Windows XP 中提供的“IP 安全策略”管理單元來為 Active Directory 中的計(jì)算機(jī)(對(duì)于域成員)或本地計(jì)算機(jī)(對(duì)于不屬于域的計(jì)算機(jī))定義 IPSec 策略。

在此以WINDOWS XP為例，通過“控制面板”—“管理工具”來打開“本地安全策略”，選擇IP安全策略，在這里，我們可以定義自己的IP安全策略。一個(gè)IP安全過濾器由兩個(gè)部分組成：過濾策略和過濾操作。要新建IP安全過濾器，必須新建自己的過濾策略和過濾操作，右擊窗口左側(cè)的“IP安全策略，在本地機(jī)器”，在彈出的快捷菜單中選擇“創(chuàng)建IP安全策略”，單擊“下一步”，然后輸入策略名稱和策略描述。單擊“下一步”，選中“激活默認(rèn)響應(yīng)規(guī)則”復(fù)選項(xiàng)，單擊“下一步”。開始設(shè)置響應(yīng)規(guī)則身份驗(yàn)證方式，選中“此字符串用來保護(hù)密鑰交換(預(yù)共享密鑰)”選項(xiàng)，然后隨便輸入一些字符(后面還會(huì)用到這些字符的)，單擊“下一步”，就會(huì)提示已完成IP安全策略，確認(rèn)選中了“編輯屬性”復(fù)選框，單擊“完成”按鈕，會(huì)打開其屬性對(duì)話框。

接下來就要進(jìn)行此新建安全策略的配置。在“Goodbye Ping 屬性”對(duì)話窗口的“規(guī)則”選項(xiàng)頁中單擊“添加”按鈕，并在打開安全規(guī)則向?qū)е袉螕?ldquo;下一步”進(jìn)行隧道終結(jié)設(shè)置，在這里選擇“此規(guī)則不指定隧道”。單擊“下一步”，并選擇“所有網(wǎng)絡(luò)連接”以保證所有的計(jì)算機(jī)都Ping不通。單擊“下一步”，設(shè)置身份驗(yàn)證方式，與上面一樣選擇第三個(gè)選項(xiàng)“此字符串用來保護(hù)密鑰交換(預(yù)共享密鑰)”并填入與剛才上面相同的內(nèi)容。單擊“下一步”即打開“IP篩選器列表”窗口，在“IP篩選器列表”中選擇“新IP篩選器列表”，單擊右側(cè)的“編輯”，在出現(xiàn)的窗口中點(diǎn)擊“添加”，單擊“下一步”，設(shè)置“源地址”為“我的IP地址”，單擊“下一步”，設(shè)置“目標(biāo)地址”為“任何IP地址”，單擊“下一步”，選擇協(xié)議類型為ICMP，單擊“完成”后再點(diǎn)“確定”返回如圖9的窗口，單擊“下一步”，選擇篩選器操作為“要求安全”選項(xiàng)，然后依次點(diǎn)擊“下一步”、“完成”、“確定”、“關(guān)閉”按鈕保存相關(guān)的設(shè)置返回管理控制臺(tái)。

最后在“本地安全設(shè)置”中右擊配置好的“Goodbye Ping”策略，在彈出的快捷菜單中選擇“指派”命令使配置生效。

經(jīng)過上面的設(shè)置，?.淥 撲慊 貾ing該計(jì)算機(jī)時(shí)，就不再Ping通了。但如果自己Ping本地計(jì)算機(jī)，仍可Ping通。在Windows 2000中操作基本相同。

四、修改TTL值防Ping

許多入侵者喜歡用TTL值來判斷操作系統(tǒng)，他們首先會(huì)Ping一下你的機(jī)子，如看到TTL值為128就認(rèn)為你的系統(tǒng)為Windows NT/2000，如果TTL值為32則認(rèn)為目標(biāo)主機(jī)操作系統(tǒng)為Windows 95/98，如果為TTL值為255/64就認(rèn)為是UNIX/Linux操作系統(tǒng)。既然入侵者相信TTL值所反應(yīng)出來的結(jié)果，那么我們不妨修改TTL值來欺騙入侵者，達(dá)到保護(hù)系統(tǒng)的目的。方法如下：

打開Windows自帶的“記事本”程序，編寫如下所示的批處理命令：

@echo REGEDIT4>>ChangeTTL.reg

@echo.>>ChangeTTL.reg

@echo [HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters]>>ChangeTTL.reg

@echo DefaultTTL=dword:000000ff>>ChangeTTL.reg

@REGEDIT /S /C ChangeTTL.reg

另存為以.bat為擴(kuò)展名的批處理文件，點(diǎn)擊這個(gè)文件，你的操作系統(tǒng)的缺省TTL值就會(huì)被修改為ff，即十進(jìn)制的255，即把你的操作系統(tǒng)人為地改為UNIX系統(tǒng)了!

DefaultTTL=dword:000000ff是用來設(shè)置系統(tǒng)缺省TTL值的，如果你想將自己的操作系統(tǒng)的TTL值改為其它操作系統(tǒng)的ICMP回顯應(yīng)答值，請(qǐng)改變DefaultTTL的鍵值，要注意它的鍵值為16進(jìn)制。

如何禁止別人ping自己的主機(jī)(2000自帶)

我的電腦-控制面板-管理工具-本地安全策略-ip安全策略

這是2000給我們的配置ip管理的工具，我這里只說一下如何禁止別人ping我的主機(jī)。

共有四個(gè)步驟：

1。建立禁ping 規(guī)則

2。建立禁止/允許規(guī)則

3。把這兩個(gè)規(guī)則聯(lián)系在一起

4。指派

詳細(xì)：

1。右擊ip安全策略-管理ip篩選器表和篩選器操作-ip篩選器列表-添加：名稱：ping;描述：ping;(勾選“使用添加向?qū)?rdquo;),—添加-下一步：指定源/目的ip ,協(xié)議類型(icmp),下一步直至完成，關(guān)閉此對(duì)話框。

2。管理ip篩選器表和篩選器操作-管理篩選器操作-添加(勾選“使用添加向?qū)?rdquo;)-下一步：名稱：refuse;描述:refuse–下一步：阻止-下一步直至完成。

3。右擊ip安全策略-創(chuàng)建ip安全策略-下一步：名稱：禁止ping;–下一步：取消激活默認(rèn)響應(yīng)規(guī)則-下一步：選中選中“編輯屬性“-完成。然后再“禁止ping屬性“上-添加(勾選“使用添加向?qū)?rdquo;)-下一步直至“身份驗(yàn)證方法”;選第三項(xiàng)，輸入共享字串-下一步：在ip篩選器列表里選“ping–下一步：選“refuse-下一步到完成。

這是你在“本地安全設(shè)置“右側(cè)會(huì)看到“禁止ping“這條規(guī)則，但是現(xiàn)在他還沒有起作用。

4。右擊“禁止ping“–指派。

這回一條禁止別人ping自己的機(jī)器的ip策略完成了。

趕快找個(gè)機(jī)器試試，自己的機(jī)器不行。會(huì)提示：請(qǐng)求超時(shí)(timeout).

以上只是一條小得的ip過濾。你可以自己制作其他的ip策略。