遠離系統Ping漏洞的威脅

    懂得網絡的人對于Ping這個最基本的網絡命令一定很熟悉，它是一個非常好用的TCP/IP工具。它可以向你提供的地址發送一個小的數據包，然后偵聽這臺機器是否有“回答”。你可以使用機器的 Internet 地址，如：ping 192.78.222.81，或者也可使用機器名，如：ping MyComputer。 在使用Ping時，Ping工具程序發送一個ICMP（Internet Control Management Protocol，簡稱Internet控制管理協議）應答請求給對方，以驗證另一臺計算機是否在網絡上，分析對方的名字和IP地址。 簡單來說，PING能告訴你現在哪些機器在網絡上活動?？墒沁@個Ping也能給Windows系統帶來嚴重的后果，那就是Ping入侵即是ICMP入侵，原理是通過Ping大量的數據包使得計算機的CPU使用率居高不下而崩潰，通常在一個時段內連續向計算機發出大量請求而導致CPU處理不及而死機。實際上我們可以通過相應的設定或者利用防火墻來使對方無法PING到自己的計算機。

　　下面將向朋友介紹如何配置系統IP安全策略來禁止他人Ping自己的主機，具體操作步驟如下：

　　一、添加IP安全策略

　　我們首先要做的就是，在控制臺中添加IP安全策略單元，添加步驟如下：

　　1）依次點擊“開始”→“運行”，然后在“運行”窗口中輸入“mmc”并回車，此時將會打開“控制臺1”窗口（如圖1）； 　　

　　2）在圖1所示窗口依次點擊“文件”→“添加/刪除管理單元” →“添加”，此時將會打開“添加/刪除管理單元”窗口，我們在此窗口下的列表中雙擊“IP安全策略管理”（如圖2）；
　　
　 3）這時將會彈出“選擇計算機域”窗口，在此我們選中“本地計算機”，然后點擊“完成”按鈕，最后依次點擊“關閉”→“確定”，返回“控制臺1”主界面，此時我們將會發現在“控制臺要節點”下多了“IP安全策略，在本地計算機”（如圖3）項，此時可以說明控制臺中已經添加了IP安全策略項。
　　
    二、創建IP安全策略

　　在我們添加了IP安全策略后，還要創建一個新的IP安全策略，步驟如下：

　?。?）在圖3中右鍵點擊“IP安全策略，在本地機器”選項，執行“創建IP安全策略”命令，此時將會打開“IP安全策略向導”窗口；

　?。?）單擊“下一步”按鈕，此時將會出現要求指定IP安全策略名稱及描述向導頁面，我們可以在“描述”下輸入一個策略描述，比如“禁止Ping”（如圖4）；
　　
　?。?）點擊“下一步”，然后在出現的頁面中確保選中了“激活默認相應規則”項，然后單擊“下一步”；

　　 （4）在出現的“默認響應規則身份驗證方法”對話框中我們選中“此字符串用來保護密鑰交換（預共享密鑰）”選項，然后在下面的文字框中任意鍵入一段字符串（如“禁止 Ping”）（如圖5）；
　　

　?。?）單擊“下一步”，此時將會出現完成IP安全策略向導頁面窗口，最后單擊“完成”按鈕即完成了IP安全策略的創建工作。

    （6）在“IP篩選器列表”窗口中單擊“添加”按鈕，此時將會彈出“IP篩選器向導”窗口，我們單擊“下一步”，此時將會彈出“IP通信源”頁面，在該頁面中設置“源地址”為“我的IP地址”（如圖10）；

　?。?）單擊“下一步”按鈕，我們在彈出的頁面中設置“目標地址”為“任何IP地址”，任何IP地址的計算機都不能Ping你的機器（如圖11）；
　　
　　 （8）點擊“下一步”，然后在出現的“IP協議類型”頁面中設置“選擇協議類型”為“ICMP”（如圖12）；
　　
　　 （9）依次單擊“下一步”→“完成”，此時，你將會在“IP篩選器列表”看到剛剛創建的篩選器，將其選中后單擊“下一步”，我們在出現的“篩選器操作”頁面中設置篩選器操作為“需要安全”選項（如圖13）；
　　

　　10）點擊“下一步”，然后依次點擊“完成”→“確定”→“關閉”按鈕，保存相關的設置返回控制臺即可。

    四、指派IP安全策略

　　安全策略創建完畢后并不能馬上生效，我們還需通過“指派”功能令其發揮作用。方法是：在“控制臺根節點”中右擊“新的IP安全策略”項，然后在彈出的右鍵菜單中執行“指派”命令，即可啟用該策略（如圖14）?！　?

　　至此，這臺主機已經具備了拒絕其他任何機器Ping自己IP地址的功能，不過在本地仍然能夠Ping通自己。經過這樣的設置之后，所有用戶（包括管理員）都不能在其他機器上對此服務器進行Ping操作。從此你再也不用擔心被Ping威脅了吧！

原文轉自：http://www.kjueaiud.com