2012年職稱(chēng)計(jì)算機(jī)輔導(dǎo)Internet應(yīng)用-防范被Ping與封閉端口

　　隨著學(xué)校校園網(wǎng)越來(lái)越多人使用，用戶(hù)對(duì)網(wǎng)絡(luò)知識(shí)認(rèn)知的提高，很多人在網(wǎng)上下載一些黑客工具或者用Ping命令，進(jìn)行掃描端口、IP尋找肉機(jī)，帶來(lái)很壞的影響。

　　Ping命令它可以向你提供的地址發(fā)送一個(gè)小的數(shù)據(jù)包，然后偵聽(tīng)這臺(tái)機(jī)器是否有“回答”。查找現(xiàn)在哪些機(jī)器在網(wǎng)絡(luò)上活動(dòng)。使用Ping入侵即是ICMP 入侵，原理是通過(guò)Ping在一個(gè)時(shí)段內(nèi)連續(xù)向計(jì)算機(jī)發(fā)出大量請(qǐng)求使得計(jì)算機(jī)的CPU占用率居高不下達(dá)到100%而系統(tǒng)死機(jī)甚至崩潰?；诖?，寫(xiě)這篇IP安全策略防Ping文章以保障自己的系統(tǒng)安全。

　　其實(shí)防Ping安裝和設(shè)置防火墻也可以解決，但防火墻并不是每一臺(tái)電腦都會(huì)去裝，要考慮資源占用還有設(shè)置技巧。如果你安裝了防火墻但沒(méi)有去修改、添加IP規(guī)則那一樣沒(méi)用。有些配置不是很高為免再給防火墻占用資源用手工在自己系統(tǒng)中設(shè)置安全略是一個(gè)上上的辦法。

　　下面就寫(xiě)下具體創(chuàng)建過(guò)程：

　　(一)創(chuàng)建IP安全策略

　　1、依次單擊“開(kāi)始→控制面板→管理工具→本地安全策略”，打開(kāi)“本地安全設(shè)置”，右擊該對(duì)話(huà)框左側(cè)的“IP安全策略，在本地計(jì)算機(jī)”選項(xiàng)，執(zhí)行“創(chuàng)建IP安全策略”命令。(之間有些簡(jiǎn)單的點(diǎn)擊下一步之類(lèi)的過(guò)程省略不寫(xiě))

　　2、在出現(xiàn)的“默認(rèn)響應(yīng)規(guī)則身份驗(yàn)證方法”對(duì)話(huà)框中我們選中“此字符串用來(lái)保護(hù)密鑰交換(預(yù)共享密鑰)”選項(xiàng)，然后在下面的文字框中任意鍵入一段字符串。(如“禁止 Ping”)

　　3、完成了IP安全策略的創(chuàng)建工作后在“IP篩選器列表”窗口中單擊“添加”按鈕，此時(shí)將會(huì)彈出“IP篩選器向?qū)А贝翱冢覀儐螕簟跋乱徊健?，此時(shí)將會(huì)彈出“IP通信源”頁(yè)面，在該頁(yè)面中設(shè)置“源地址”為“我的IP地址”：“目標(biāo)地址”為“任何IP地址”，任何IP地址的計(jì)算機(jī)都不能Ping你的機(jī)器。

　　在“篩選器屬性”中可封閉端口。比如封閉TCP協(xié)議的135端口：在“選擇協(xié)議類(lèi)型”的下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，點(diǎn)擊“確定”按鈕，這樣就添加了一個(gè)屏蔽 TCP 135(RPC)端口的篩選器，它可以防止外界通過(guò)135端口連上你的電腦。重復(fù)可封閉TCP UDP等自己認(rèn)為需要封閉的端口。這里不一一寫(xiě)出。

　　4、依次單擊“下一步”→“完成”，此時(shí)，你將會(huì)在“IP篩選器列表”看到剛剛創(chuàng)建的篩選器，將其選中后單擊“下一步”，我們?cè)诔霈F(xiàn)的“篩選器操作”頁(yè)面中設(shè)置篩選器操作為“需要安全”選項(xiàng)。

　　(二)指派IP安全策略

　　安全策略創(chuàng)建完畢后并不能馬上生效，我們還需通過(guò)“指派”功能令其發(fā)揮作用。方法是：在“控制臺(tái)根節(jié)點(diǎn)”中右擊“新的IP安全策略”項(xiàng)，然后在彈出的右鍵菜單中執(zhí)行“指派”命令，即可啟用該策略。

　　至此，這臺(tái)主機(jī)已經(jīng)具備了拒絕其他任何機(jī)器Ping自己IP地址的功能，不過(guò)在本地仍然能夠Ping通自己。經(jīng)過(guò)這樣的設(shè)置之后，所有用戶(hù)(包括管理員)都不能在其他機(jī)器上對(duì)此服務(wù)器進(jìn)行Ping操作。從此你再也不用擔(dān)心被Ping威脅。如果再把一些黑客工具、木馬常探尋的端口封閉那你的系統(tǒng)就更加固若金湯了。

　　Ping的工作過(guò)程及單向Ping通的原因

　　當(dāng)網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)，我們最常用的測(cè)試工具就是“Ping”命令了。但有時(shí)候我們會(huì)碰到單方向Ping通的現(xiàn)象，例如通過(guò)HUB或一根交叉線(xiàn)連接的在同一個(gè)局域網(wǎng)內(nèi)的電腦A、 B，在檢查它們之間的網(wǎng)絡(luò)連通性時(shí)，發(fā)現(xiàn)從主機(jī)A Ping 主機(jī)B正常而從主機(jī)B Ping 主機(jī)A時(shí)，出現(xiàn)“超時(shí)無(wú)應(yīng)答”錯(cuò)誤。為什么呢?

　　要知道這其中的奧秘，我們有必要來(lái)看看Ping命令的工作過(guò)程到底是怎么樣的。

　　假定主機(jī)A的IP地址是192.168.1.1，主機(jī)B的IP地址是192.168.1.2，都在同一子網(wǎng)內(nèi)，則當(dāng)你在主機(jī)A上運(yùn)行“Ping 192.168.1.2”后，都發(fā)生了些什么呢?

　　首先，Ping命令會(huì)構(gòu)建一個(gè)固定格式的ICMP請(qǐng)求數(shù)據(jù)包，然后由ICMP協(xié)議將這個(gè)數(shù)據(jù)包連同地址“192.168.1.2”一起交給IP層協(xié)議(和ICMP一樣，實(shí)際上是一組后臺(tái)運(yùn)行的進(jìn)程)，IP層協(xié)議將以地址“192.168.1.2”作為目的地址，本機(jī)IP地址作為源地址，加上一些其他的控制信息，構(gòu)建一個(gè)IP數(shù)據(jù)包，并在一個(gè)映射表中查找出IP地址192.168.1.2所對(duì)應(yīng)的物理地址(也叫MAC地址，熟悉網(wǎng)卡配置的朋友不會(huì)陌生，這是數(shù)據(jù)鏈路層協(xié)議構(gòu)建數(shù)據(jù)鏈路層的傳輸單元――幀所必需的)，一并交給數(shù)據(jù)鏈路層。后者構(gòu)建一個(gè)數(shù)據(jù)幀，目的地址是IP層傳過(guò)來(lái)的物理地址，源地址則是本機(jī)的物理地址，還要附加上一些控制信息，依據(jù)以太網(wǎng)的介質(zhì)訪(fǎng)問(wèn)規(guī)則，將它們傳送出去。

　　主機(jī)B收到這個(gè)數(shù)據(jù)幀后，先檢查它的目的地址，并和本機(jī)的物理地址對(duì)比，如符合，則接收;否則丟棄。接收后檢查該數(shù)據(jù)幀，將IP數(shù)據(jù)包從幀中提取出來(lái)，交給本機(jī)的IP層協(xié)議。同樣，IP層檢查后，將有用的信息提取后交給ICMP協(xié)議，后者處理后，馬上構(gòu)建一個(gè)ICMP應(yīng)答包，發(fā)送給主機(jī)A，其過(guò)程和主機(jī)A發(fā)送ICMP請(qǐng)求包到主機(jī)B一模一樣。

　　從Ping的工作過(guò)程，我們可以知道，主機(jī)A收到了主機(jī)B的一個(gè)應(yīng)答包，說(shuō)明兩臺(tái)主機(jī)之間的去、回通路均正常。也就是說(shuō)，無(wú)論從主機(jī)A到主機(jī)B，還是從主機(jī)B到主機(jī)A，都是正常的。那么，是什么原因引起只能單方向Ping通的呢?

　　一、安裝了個(gè)人防火墻

　　在共享上網(wǎng)的機(jī)器中，出于安全考慮，大部分作為服務(wù)器的主機(jī)都安裝了個(gè)人防火墻軟件，而其他作為客戶(hù)機(jī)的機(jī)器則一般不安裝。幾乎所有的個(gè)人防火墻軟件，默認(rèn)情況下是不允許其他機(jī)器Ping本機(jī)的。一般的做法是將來(lái)自外部的ICMP請(qǐng)求報(bào)文濾掉，但它卻對(duì)本機(jī)出去的ICMP請(qǐng)求報(bào)文，以及來(lái)自外部的ICMP應(yīng)答報(bào)文不加任何限制。這樣，從本機(jī)Ping其他機(jī)器時(shí)，如果網(wǎng)絡(luò)正常，就沒(méi)有問(wèn)題。但如果從其他機(jī)器Ping這臺(tái)機(jī)器，即使網(wǎng)絡(luò)一切正常，也會(huì)出現(xiàn)“超時(shí)無(wú)應(yīng)答”的錯(cuò)誤。

　　大部分的單方向Ping通現(xiàn)象源于此。解決的辦法也很簡(jiǎn)單，根據(jù)你自己所用的不同類(lèi)型的防火墻，調(diào)整相應(yīng)的設(shè)置即可。

　　二、錯(cuò)誤設(shè)置IP地址

　　正常情況下，一臺(tái)主機(jī)應(yīng)該有一個(gè)網(wǎng)卡，一個(gè)IP地址，或多個(gè)網(wǎng)卡，多個(gè)IP地址(這些地址一定要處于不同的IP子網(wǎng))。但對(duì)于在公共場(chǎng)所使用的電腦，特別是網(wǎng)吧，人多手雜，其中不泛有“探索者”。曾有一次兩臺(tái)電腦也出現(xiàn)了這種單方向Ping通的情況，經(jīng)過(guò)仔細(xì)檢查，發(fā)現(xiàn)其中一臺(tái)電腦的“撥號(hào)網(wǎng)絡(luò)適配器”(相當(dāng)于一塊軟網(wǎng)卡)的TCP/IP設(shè)置中，設(shè)置了一個(gè)與網(wǎng)卡IP地址處于同一子網(wǎng)的IP地址，這樣，在IP層協(xié)議看來(lái)，這臺(tái)主機(jī)就有兩個(gè)不同的接口處于同一網(wǎng)段內(nèi)。當(dāng)從這臺(tái)主機(jī)Ping其他的機(jī)器時(shí)，會(huì)存在這樣的問(wèn)題:

　　(1)主機(jī)不知道將數(shù)據(jù)包發(fā)到哪個(gè)網(wǎng)絡(luò)接口，因?yàn)橛袃蓚€(gè)網(wǎng)絡(luò)接口都連接在同一網(wǎng)段;

　　(2)主機(jī)不知道用哪個(gè)地址作為數(shù)據(jù)包的源地址。因此，從這臺(tái)主機(jī)去Ping其他機(jī)器，IP層協(xié)議會(huì)無(wú)法處理，超時(shí)后，Ping 就會(huì)給出一個(gè)“超時(shí)無(wú)應(yīng)答”的錯(cuò)誤信息提示。但從其他主機(jī)Ping這臺(tái)主機(jī)時(shí)，請(qǐng)求包從特定的網(wǎng)卡來(lái)，ICMP只須簡(jiǎn)單地將目的、源地址互換，并更改一些標(biāo)志即可，ICMP應(yīng)答包能順利發(fā)出，其他主機(jī)也就能成功Ping通這臺(tái)機(jī)器了。