作者:hacker发布时间:2022-07-18分类:破解邮箱浏览:75评论:2
ICMP是完成IP层主要控制功能的辅助协议,它可弥补IP在网络控制方面的不足;而端口通信则是由集成到操作系统内核中的TCP/IP协议,通过软件形式与任何一台具有类似接口计算机进行通信的方式。一台安装有防病毒、网络防火墙的个人电脑,如果还频频受到来自网络上的攻击,除了没有经常更新相应病毒库和网墙数据库,其症结一般都出自操作系统中诸多可随意被打开但并不常用的端口。为了避免恶意者通过网络对你的计算机进行扫描和进一步的入侵动作,关闭ICMP协议及多余的端口是简单并切实有效的解决方法,足以应付大多数恶作剧式的网络攻击。其中后者不仅可以通过Win2000及以上操作系统内部设置进行调整,更能够依靠相应网络防火墙进行关闭工作。
关闭ICMP协议的步骤如下:开始→设置→控制面板→管理工具→本地安全策略→右击“IP安全策略在本地计算机”→管理IP筛选器表和筛选器操作→所有ICMP通讯量→添加→起任意名称后点击“添加”→下一步→任何IP地址→下一步→我的IP地址→协议类型选择“ICMP”→完成。
而要关闭非信任主机对135、TCP4444、UDP69等计算机端口的访问,则有两种方法:其一是通过“管理IP筛选器表和筛选器操作”→添加→起任意名称后点击“添加”→下一步→任何IP地址→下一步→我的IP地址→协议类型选择“TCP”→“从任意端口”到“此端口”并填入相应端口号→完成,这样就成功对一个端口进行了封堵,重复上述步骤即可对其它端口进行相关设置;
另一种方法则是利用目前多数网络防火墙提供的规则设置,对端口号、各IP地址、协议类型、传输方向等选项进行一一添加或更改,同样能够达到封阻可疑端口的目的。
此外,通过关闭DCOM协议也能达到预防部分蠕虫病毒的效能,只是由于禁用该协议会截断一切本地计算机与网络上其余计算机相同对象间的通信,因此运用起来具有一定的风险。预防胜于治疗,良好的用机及上网习惯仍旧是杜绝黑客程序感染的最好方法,毕竟砖石结构的城堡是最容易由内部被攻破的
如果你不想关掉ICMP ,建议你安装一个防火墙,比如下面这款:BitDefender,Jetico Personal Firewall,等等,都能抵御洪水攻击
现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用,只要选中“防御ICMP攻击”、“防止别人用ping命令探测”就可以了。
还可以利用TCP/IP筛选和组策略:
第一步:打开在电脑的桌面,右键点击“网上邻居→属性→本地连接→属性→Internet协议(TCP/IP)→属性→高级→选项-TCP/IP筛选-属性”。
第二步:“TCP/IP筛选”窗口中,点击选中“启用TCP/IP筛选(所有适配器)”。然后分别在“TCP端口、UDP端口和IP协议”的添加框上,点击“只允许”,后按添加按钮,然后在跳出的对话框输入端口,通常我们用来上网的端口是:80、8080,而邮件服务器的端口是:25、110,FTP的端口是20、21,同样将UDP端口和IP协议相关进行添加。
第三步:打开“控制面板→管理工具→本地安全策略”,然后右击“IP安全策略,在本地机器”选“管理IP筛选器和IP筛选器操作”,在管理IP筛选器和 IP筛选器操作列表中添加一个新的过滤规则,名称输入“防止ICMP攻击”,然后按添加,在源地址选任何IP地址,目标地址选我的IP地址,协议类型为 ICMP,设置完毕。
第四步:在“管理筛选器操作”,取消选中“使用添加向导”,添加,在常规中输入名字“Deny的操作”,安全措施为“阻止”。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。
第五步:点击“IP安全策略,在本地机器”,选择“创建IP安全策略-下一步-输入名称为ICMP过滤器”,通过增加过滤规则向导,把刚刚定义的“防止 ICMP攻击”过滤策略指定给ICMP过滤器,然后选择刚刚定义“Deny的操作”,然后右击“防止ICMP攻击”并启用。
至于IGMP攻击,最好把系统升级到XP。此外还有一个办法:用DEBUG或者可以编辑16进制的软件,打开文件VIP.386,找16进制代码 6A 02 E8 找到把 02 改成F2就可以。 原理是那儿代码是安装IGMP协议的(那02就是IP协议里面的IGMP,01是ICMP,06是TCP,11是UDP),改成F2就是协议类型安装成了F2,那样02 就不是解释成IGMP协议了,其实这样大致就是把IGMP协议关了,因为单机根本就可以不要IGMP协议的,所以没什么影响
状态检测防火墙通过跟踪它的连接状态,动态允许外出数据包的响应信息进入防火墙所保护的网络。例如,状态检测防火墙可以记录一个出去的 PING(ICMP Echo Request),在接下来的一个确定的时间段内,允许目标主机响应的ICMP Echo Reply直接发送给前面发出了PING命令的IP,除此之外的其他ICMP Echo Reply消息都会被防火墙阻止。与此形成对比的是,包过滤类型的防火墙允许所有的ICMP Echo Reply消息进入防火墙所保护的网络了。许多路由器和基于Linux内核2.2或以前版本的防火墙系统,都属于包过滤型,用户应该避免选择这些系统。
新的攻击不断出现,防火墙仅仅能够防止已知攻击是远远不够的。通过对所有数据包进行细致分析,删除非法的数据包,防火墙可以防止已知和未知的 DoS攻击。这就要求防火墙能够进行数据包一致性检查。安全策略需要针对ICMP进行细致的控制。因此防火墙应该允许对ICMP类型、代码和包大小进行过滤,并且能够控制连接时间和ICMP包的生成速率。
配置防火墙以预防攻击
一旦选择了合适的防火墙,用户应该配置一个合理的安全策略。以下是被普遍认可的防火墙安全配置惯例,可供管理员在系统安全性和易用性之间作出权衡。
防火墙应该强制执行一个缺省的拒绝策略。除了出站的ICMP Echo Request、出站的ICMP Source Quench、进站的TTL Exceeded和进站的ICMP Destination Unreachable之外,所有的ICMP消息类型都应该被阻止。下面是针对每个ICMP消息类型的过滤规则的详细分析。
Echo Request和Reply(类型8和0):允许Echo Request消息出站以便于内部用户能够PING一个远程主机。阻止入站Echo Request和出站Echo Reply可以防止外部网络的主机对内部网络进行扫描。如果您使用了位于外部网络的监视器来监视内部网络,就应该只允许来自于特定外部IP的Echo Request进入您的网络。限制ICMP Echo包的大小可以防止Ping Floods攻击,并且可以阻止那些利用Echo Request和Reply来偷运数据通过防火墙的木马程序。
Destination unreachable (类型3):允许其入站以便于内部网用户可以使用traceroute。需要注意的是,有些攻击者可以使用它来进行针对会话的DoS攻击,如果您曾经历过类似的攻击,也可以阻止它。阻止出站的ICMP Destination unreachable消息,因为它可能会泄漏内部网络的结构。不过有一个例外,对于那些允许外部网络通过TCP访问的内部主机(如位于DMZ区的Web服务器)发出的Destination unreachable,则应该允许它通过。为了能够支持Path MTU Discovery,您应该允许出站的Packet Too Big消息(类型3,代码4)到达那些主机。
Source quench(类型4):阻止其入站,因为它可以作为一种DoS攻击,能够降低发送者的发送速度。允许其出站以便于内部主机能够控制发送端发送数据的速度。有些防火墙会忽略所有直接发送到防火墙端口的Source Quench消息,以防止针对于防火墙的DoS攻击。
Redirect、Router announcement、 Router selection(类型5,9,10):这些消息都存在潜在危险,因为它们可以用来把数据重定向到攻击者的机器。这些消息都应该被阻止。
TTL exceeded(类型11):允许其进站以便于内部用户可以使用traceroute。firewalking使用很低的TTL值来对网络进行扫描,甚至可以通过防火墙对内网进行扫描,所以应该禁止其出站。一些防火墙可以阻止TTL值小于设定值的数据包进入防火墙。
Parameter problem(类型12):禁止其入站和出站。通过使用一个能够进行数据包一致性检查的防火墙,错误和恶意的数据包都会被阻塞。
1.控制面板→管理工具→本地安全策略,然后点击“IP安全策略,在本地机器”,右击创建ip安全策略
2.在主控台中右击刚刚添加的“IP安全策略,选择“创建IP安全策略”,单击“下一步”,然后输入一个策略描述,如“ping go”。单击“下一步”,选中“激活默认响应规则”复选项,单击“下一步”。开始设置身份验证方式,选中“此字符串用来保护密钥交换(预共享密钥)”选项,然后随便输入一些字符。单击“下一步”,就会提示已完成IP安全策略,确认选中了“编辑属性”复选框,单击“完成”按钮,会打开其属性对话框。
3.配置安全策略
单击“添加”按钮,并在打开安全规则向导中单击“下一步”进行隧道终结设置,在这里选择“此规则不指定隧道”。单击“下一步”,并选择“所有网络连接”以保证所有的计算机都Ping不通。单击“下一步”,设置身份验证方式,与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)”并填入与刚才相同的内容。单击“下一步”,在打开窗口中单击“添加”按钮,打开“IP筛选器列表”窗口。单击“添加”,单击“下一步”,设置源地址为“我的IP地址”,单击“下一步”,设置目标地址为“任何IP地址”,单击“下一步”,选择协议为ICMP,现在就可依次单击“完成”和“关闭”按钮返回。在IP筛选器列表中看到刚刚创建的筛选器,将其选中之后单击“下一步”,选择筛选器操作为“要求安全设置”选项,然后依次点击“完成”、“关闭”按钮,保存相关的设置返回管理控制台。
4.指派安全策略
在“控制台根节点”中右击配置好的“禁止Ping”策略,选择“指派”命令。这样当其他计算机再Ping该计算机时,就Ping不通了,又给电脑加了一个防盗锁。
一、用高级设置法预防Ping 默认情况下,所有Internet控制消息协议(ICMP)选项均被禁用。如果启用ICMP选项,您的网络将在 Internet 中是可视的,因而易于受到攻击。 如果要启用ICMP,必须以管理员或Administrators 组成员身份登录计算机,右击“网上邻居”,在弹出的快捷菜单中选择“属性”即打开了“网络连接”,选定已启用Internet连接防火墙的连接,打开其属性窗口,并切换到“高级”选项页,点击下方的“设置”,这样就出现了“高级设置”对话窗口,在“ICMP”选项卡上,勾选希望您的计算机响应的请求信息类型,旁边的复选框即表启用此类型请求,如要禁用请清除相应请求信息类型即可。 二、用网络防火墙阻隔Ping 使用防火墙来阻隔Ping是最简单有效的方法,现在基本上所有的防火墙在默认情况下都启用了ICMP过滤的功能。在此,以金山网镖2003和天网防火墙2.50版为蓝本来说明。 对于使用金山网镖2003的网友,请用鼠标右击系统托盘中的金山网镖2003图标,在弹出的快捷菜单中选择“实用工具”中的“自定义IP规则编辑器”,在出现的窗口中选中“防御ICMP类型攻击”规则,消除“允许别人用ping命令探测本机”规则,保存应用后就发挥效应。 如果您用的是天网防火墙,在其主界面点击“自定义IP规则”,然后不勾选“防止别人用ping命令探测”规则,勾选“防御ICMP攻击”规则,然后点击“保存/应用”使IP规则生效。
现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用,只要选中“防御ICMP攻击”、“防止别人用ping命令探测”就可以了。
还可以利用TCP/IP筛选和组策略:
第一步:打开在电脑的桌面,右键点击“网上邻居→属性→本地连接→属性→Internet协议(TCP/IP)→属性→高级→选项-TCP/IP筛选-属性”。
第二步:“TCP/IP筛选”窗口中,点击选中“启用TCP/IP筛选(所有适配器)”。然后分别在“TCP端口、UDP端口和IP协议”的添加框上,点击“只允许”,后按添加按钮,然后在跳出的对话框输入端口,通常我们用来上网的端口是:80、8080,而邮件服务器的端口是:25、110,FTP的端口是20、21,同样将UDP端口和IP协议相关进行添加。
第三步:打开“控制面板→管理工具→本地安全策略”,然后右击“IP安全策略,在本地机器”选“管理IP筛选器和IP筛选器操作”,在管理IP筛选器和 IP筛选器操作列表中添加一个新的过滤规则,名称输入“防止ICMP攻击”,然后按添加,在源地址选任何IP地址,目标地址选我的IP地址,协议类型为 ICMP,设置完毕。
第四步:在“管理筛选器操作”,取消选中“使用添加向导”,添加,在常规中输入名字“Deny的操作”,安全措施为“阻止”。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。
第五步:点击“IP安全策略,在本地机器”,选择“创建IP安全策略-下一步-输入名称为ICMP过滤器”,通过增加过滤规则向导,把刚刚定义的“防止 ICMP攻击”过滤策略指定给ICMP过滤器,然后选择刚刚定义“Deny的操作”,然后右击“防止ICMP攻击”并启用。
至于IGMP攻击,最好把系统升级到XP。此外还有一个办法:用DEBUG或者可以编辑16进制的软件,打开文件VIP.386,找16进制代码 6A 02 E8 找到把 02 改成F2就可以。 原理是那儿代码是安装IGMP协议的(那02就是IP协议里面的IGMP,01是ICMP,06是TCP,11是UDP),改成F2就是协议类型安装成了F2,那样02 就不是解释成IGMP协议了,其实这样大致就是把IGMP协议关了,因为单机根本就可以不要IGMP协议的,所以没什么影响
标签:icmp攻击防御软件
已有2位网友发表了看法:
访客 评论于 2022-07-18 12:06:50 回复
火墙的木马程序。Destination unreachable (类型3):允许其入站以便于内部网用户可以使用traceroute。需要注意的是,有些攻击者可以使用它来进行针对会话的DoS攻击,如果您曾经历过类似的攻击,也可以阻止它。阻止出站的ICMP Destination unre
访客 评论于 2022-07-18 13:35:04 回复
络防火墙进行关闭工作。 关闭ICMP协议的步骤如下:开始→设置→控制面板→管理工具→本地安全策略→右击“IP安全策略在本地计算机”→管理IP筛选器表和筛选器操作→所有ICMP通