工具/原料
TCP/IP
ping
windows
方法/步骤
首先打开命令提示符窗口。方法有很多种,这里介绍一种,win+r==>在d出的窗口输入cmd ==>确定。
要学会用ping测试网络,首先知道ping命令有哪些参数,以及各个参数的功能。下面介绍如何使用帮助文档查看ping命令的参数以及功能。输入命令ping -help可查看帮助文档。类似其他命令 -help也能查看相应命令的参数及功能。
学会运用帮助文档之后,我们可以在DOS里输入Ping 127001,该地址是本地循环地址,如发现本地址无法Ping通,就表明本地机TCP/IP协议不能正常工作或者是网卡损坏。
如果上面能Ping通的话,我们接下来可以输入ipconfig命令来查看本地的IP地址,并记录下该IP。
然后Ping与刚才记录下来的IP同一网段的IP,通则表明网络适配器(网卡或MODEM)工作正常,不通则是网络适配器出现故障。
最后,检测一个带DNS服务的网络,在上一步Ping通了目标计算机的IP地址后,仍无法连接到该机,则可Ping该机的网络名,比如Ping >一、使用路由和远程访问服务防Ping
Ping命令通常被用来测试网络的连接情况,是网管必须掌握的命令。但也有很多人把它当做攻击服务器的武器,因此许多网络管理员都在服务器上做了防Ping措施。防Ping的方法非常多,如利用IP安全策略、网络防火墙等,其中使用路由和远程访问服务器是最有效的方法之一。
笔者以Windows Server 2003为例,为大家介绍如何使用路由和远程访问服务器防Ping。
第一步:启用路由和远程访问服务
Windows Server 2003系统默认情况下并没有启用路由和远程访问服务器,因此首先要手工启用它。点击“开始 程序 管理工具 路由和远程访问”,打开路由和远程访问属性窗口,右键点击“本地”服务器,在d出的快捷菜单中选中“配置并启用路由及远程访问”选项,点击“下一步”按钮,在“路由和远程访问服务器安装向导配置”对话框中选择“自定义配置”单选项,点击“下一步”按钮后,在自定义配置对话框中选择“LAN路由器”选项,最后点击“完成”按钮后,启动路由和远程访问服务器。
第二步:添加IP筛选器
在路由和远程访问主窗口中依次展开“本地服务器 IP路由选择 常规”。在右侧的常规窗口中,右键点击接入公网的网卡的连接图标,在d出的快捷菜单中和选择“属性”选项,接着在属性对话框中切换到“常规”标签页,点击“入站筛选器”按钮,在d出的“入站筛选器”对话框中选择“接收所有除符合下列条件以外的数据包”选项,点击“新建”按钮,d出“添加IP筛选器”对话框。在“协议”下拉列表框中选择“ICMP”协议,接着在“ICMP类型”和“ICMP代码”栏中分别输入“8和0”,最后点击“确定”按钮,完成IP筛选器的添加。
补充:
Ping命令是利用ICMP协议中的“回声(请求/响应)”报文进行工作的,其中ICMP类型为“8”、ICMP代码为“0”的报文就是Ping命令所使用的回声报文。如果要过滤所有的ICMP报文只要将ICMP类型和ICMP代码都设置为“225”即可。
二、使用“本地安全策略”
选择"管理筛选器 *** 作"标签,创建一个拒绝 *** 作:
1)单击"添加"按钮,启动"筛选器 *** 作向导",跳过欢迎页面,下一步
2)在筛选器 *** 作名称页面,填写名称,这儿填写"deny"下一步
3)在筛选器 *** 作常规选项页面,将行为设置为"阻止"下一步
4)完成
5关闭"管理 IP 筛选器表和筛选器 *** 作"对话框
创建IP安全策略
1右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导跳过欢迎页面,下一步
2在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝ping",描述可以随便填写下一步
3在安全通信要求页面,不选择"激活默认响应规则"下一步
4在完成页面,选择"编辑属性"完成
5在"拒绝ping属性"对话框中进行设置首先设置规则:
1)单击下面的"添加"按钮,启动安全规则向导跳过欢迎页面,下一步
2)在隧道终结点页面,选择默认的"此规则不指定隧道"下一步
3)在网络类型页面,选择默认的"所有网络连接"下一步
4)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)"下一步 (这一步2003没有)
5)在IP筛选器列表页面选择"所有 ICMP 通讯"筛选器下一步
6)在筛选器 *** 作页面,选择我们刚才建立的"deny" *** 作下一步
7)在完成页面,不选择"编辑属性",确定
6关闭"拒绝对tcp3389端口的访问属性"对话框
三指派和应用IPsec安全策略
1缺省情况下,任何IPsec安全策略都未被指派首先我们要对新建立的安全策略进行指派在本地安全策略MMC中,右击我们刚刚建立的""拒绝ping"安全策略,选择"指派"
Ping命令通常被用来测试网络的连接情况,是网管必须掌握的命令。但也有很多人把它当做攻击服务器的武器,因此许多网络管理员都在服务器上做了防Ping措施。防Ping的方法非常多,如利用IP安全策略、网络防火墙等,其中使用路由和远程访问服务器是最有效的方法之一。
笔者以Windows Server 2003为例,为大家介绍如何使用路由和远程访问服务器防Ping。
第一步:启用路由和远程访问服务
Windows Server 2003系统默认情况下并没有启用路由和远程访问服务器,因此首先要手工启用它。点击“开始 程序 管理工具 路由和远程访问”,打开路由和远程访问属性窗口,右键点击“本地”服务器,在d出的快捷菜单中选中“配置并启用路由及远程访问”选项,点击“下一步”按钮,在“路由和远程访问服务器安装向导配置”对话框中选择“自定义配置”单选项,点击“下一步”按钮后,在自定义配置对话框中选择“LAN路由器”选项,最后点击“完成”按钮后,启动路由和远程访问服务器。
第二步:添加IP筛选器
在路由和远程访问主窗口中依次展开“本地服务器 IP路由选择 常规”。在右侧的常规窗口中,右键点击接入公网的网卡的连接图标,在d出的快捷菜单中和选择“属性”选项,接着在属性对话框中切换到“常规”标签页,点击“入站筛选器”按钮,在d出的“入站筛选器”对话框中选择“接收所有除符合下列条件以外的数据包”选项,点击“新建”按钮,d出“添加IP筛选器”对话框。在“协议”下拉列表框中选择“ICMP”协议,接着在“ICMP类型”和“ICMP代码”栏中分别输入“8和0”,最后点击“确定”按钮,完成IP筛选器的添加。
补充:
Ping命令是利用ICMP协议中的“回声(请求/响应)”报文进行工作的,其中ICMP类型为“8”、ICMP代码为“0”的报文就是Ping命令所使用的回声报文。如果要过滤所有的ICMP报文只要将ICMP类型和ICMP代码都设置为“225”即可。
二、使用“本地安全策略”
选择"管理筛选器 *** 作"标签,创建一个拒绝 *** 作:
1)单击"添加"按钮,启动"筛选器 *** 作向导",跳过欢迎页面,下一步
2)在筛选器 *** 作名称页面,填写名称,这儿填写"deny"下一步
3)在筛选器 *** 作常规选项页面,将行为设置为"阻止"下一步
4)完成
5关闭"管理 IP 筛选器表和筛选器 *** 作"对话框
创建IP安全策略
1右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导跳过欢迎页面,下一步
2在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝ping",描述可以随便填写下一步
3在安全通信要求页面,不选择"激活默认响应规则"下一步
4在完成页面,选择"编辑属性"完成
5在"拒绝ping属性"对话框中进行设置首先设置规则:
1)单击下面的"添加"按钮,启动安全规则向导跳过欢迎页面,下一步
2)在隧道终结点页面,选择默认的"此规则不指定隧道"下一步
3)在网络类型页面,选择默认的"所有网络连接"下一步
4)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)"下一步 (这一步2003没有)
5)在IP筛选器列表页面选择"所有 ICMP 通讯"筛选器下一步
6)在筛选器 *** 作页面,选择我们刚才建立的"deny" *** 作下一步
7)在完成页面,不选择"编辑属性",确定
6关闭"拒绝对tcp3389端口的访问属性"对话框
三指派和应用IPsec安全策略
1缺省情况下,任何IPsec安全策略都未被指派首先我们要对新建立的安全策略进行指派在本地安全策略MMC中,右击我们刚刚建立的""拒绝ping"安全策略,选择"指派"一、计算机的设置
1关闭“文件和打印共享”
文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将d出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。 虽然“文件和打印共享”关闭了,但是还不能确保安全,还要修改注册表,禁止它人更改“文件和打印共享”。打开注册表编辑器,选择
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NetWork
主键,在该主键下新建DWORD类型的键值,键值名为“NoFileSharingControl”,键值设为“1”表示禁止这项功能,从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。
2把Guest账号禁用
有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,d出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。
3禁止建立空连接
在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此,我们必须禁止建立空连接。方法是修改注册表:打开注册表
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
将DWORD值“RestrictAnonymous”的键值改为“1”即可。
二、隐藏IP地址
黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS( 拒绝服务 )攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。 与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端>Windows Server 2003如何让服务器禁ping
在网络中为了防止用户频繁Ping服务器而导致服务器性能下降,一般都会在防火墙中设置规则决绝Ping请求。那么如果单纯借助系统自身的功能是否也可以拒绝用户Ping服务器呢
频繁地使用Ping命令会导致网络堵塞、降低传输效率,为了避免恶意的网络攻击,一般都会拒绝用户Ping服务器。为实现这一目的,不仅可以在防火墙中进行设置,也可以在路由器上进行设置,并且还可以利用Windows 2000/2003系统自身的功能实现。无论采用哪种方式,都是通过禁止使用ICMP协议来实现拒绝Ping动作
以在Windows Server 2003中设置IP策略拒绝用户Ping服务器为例,具体 *** 作步骤如下:
1.添加IP筛选器
第1步,依次单击“开始/管理工具/本地安全策略”,打开“本地安全设置”窗口。右键单击左窗格的“IP安全策略,在本地计算机”选项,执行“管理IP筛选器表和筛选器 *** 作”快捷命令。在“管理IP筛选器列表”选项中单击“添加”按钮,命名这个筛选器名称为“禁止PING”,描述语言可以为“禁止任何其它计算机PING我的主机”,然后单击“添加”按钮
第2步,依次单击“下一步”→“下一步”按钮,选择“IP通信源地址”为“我的IP地址”,单击“下一步”按钮;选择“IP通信目标地址”为“任何IP地址”,单击“下一步”按钮;选择“IP协议类型”为ICMP,单击“下一步”按钮。依次单击“完成”→“确定”按钮结束添加
第3步,切换到“管理筛选器 *** 作”选项卡中,依次单击“添加”→“下一步”按钮,命名筛选器 *** 作名称为“阻止所有连接”,描述语言可以为“阻止所有网络连接”,单击“下一步”按钮;点选“阻止”选项作为此筛选器的 *** 作行为,最后依次单击“下一步”→“完成”→“关闭”按钮完成所有添加 *** 作
2.创建IP安全策略。
右键单击控制台树的“IP安全策略,在本地计算机”选项,执行“创建IP安全策略”快捷命令,然后单击“下一步”按钮。命名这个IP安全策略为“禁止PING主机”,描述语言为“拒绝任何其它计算机的PING要求”并单击“下一步”按钮。然后在勾选“激活默认响应规则”的前提下单击“下一步”按钮。在“默认响应规则身份验证方法”对话框中点选“使用此字符串保护密钥交换”选项,并在下面的文字框中键入一段字符串如“NO
PING
”,单击“下一步”按钮。最后在勾选“编辑属性”的前提下单击“完成”按钮结束创建
3.配置IP安全策略。
在打开的“禁止PING主机属性”对话框中的“规则”选项卡中依次单击“添加/下一步”按钮,默认点选“此规则不指定隧道”并单击“下一步”按钮;点选“所有网络连接”以保证所有的计算机都PING不通该主机,单击“下一步”按钮。在“IP筛选器列表”框中点选“禁止PING”,单击“下一步”按钮;在“筛选器 *** 作”列表框中点选“阻止所有连接”,依次单击“下一步”按钮;取消“编辑属性”选项并单击“完成”按钮结束配置
4.指派IP安全策略。
安全策略创建完毕后并不能马上生效,还需通过“指派”使其发挥作用。右键单击“本地安全设置”窗口右窗格的“禁止PING主机”策略,执行“指派”命令即可启用该策略
经过这样的一番设置,这台服务器已经具备了拒绝其它任何计算机Ping自己IP地址的能力了,不过在本地Ping自身仍然是通的。
Linux下边禁止ping命令的使用
以root进入Linux系统,然后编辑文件icmp_echo_ignore_all
vi /proc/sys/net/ipv4/icmp_echo_ignore_all
将其值改为1后为禁止PING
将其值改为0后为解除禁止PING
直接修改会提示错误:
WARNING: The file has been changed since
reading it!!!
Do you really want to write to it (y/n)y
"icmp_echo_ignore_all" E667:
Fsync failed
Hit ENTER or type command to continue
这是因为 proc/sys/net/ipv4/icmp_echo_ignore_all
这个不是真实的文件
如果想修改他的数值可以echo 0 或 1到这个文件
(即echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all )。要是想永久更改可以加一行
netipv4icmp_echo_ignore_all=1
到配置文件/etc/sysctlconf里面
3 用高级设置法预防Ping
默认情况下,所有Internet控制消息协议(ICMP)选项均被禁用。如果启用ICMP选项,您的网络将在 Internet 中是可视的,因而易于受到攻击。
如果要启用ICMP,必须以管理员或Administrators
组成员身份登录计算机,右击“网上邻居”,在d出的快捷菜单中选择“属性”即打开了“网络连接”,选定已启用Internet连接防火墙的连接,打开其属性窗口,并切换到“高级”选项页,点击下方的“设置”,这样就出现了“高级设置”对话窗口,在“ICMP”选项卡上,勾选希望您的计算机响应的请求信息类型,旁边的复选框即表启用此类型请求,如要禁用请清除相应请求信息类型即可。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)