设置ping相关的安全策略如下:
STEP1:添加IP筛选器和筛选器 *** 作
依次单击[开始]→[管理工具]→[本地安全策略],打开“本地安全设置”对话框。右击该对话框左侧控制台树的[IP安全策略,在本地计算机]选项,执行[管理IP筛选器表和筛选器 *** 作]命令。在打开的对话框的[管理IP筛选器列表]标签下单击[添加]按钮,命名这个筛选器名称为“禁止PING”,描述语言可以为“禁止任何其他计算机PING我的主机”,然后单击[添加]按钮。接下来依次单击[下一步]→[下一步],选择“IP通信源地址”为[我的IP 地址],单击[下一步];选择“IP通信目标地址”为[任何IP地址],单击[下一步];选择“IP协议类型”为[ICMP],单击[下一步]。单击[完成]→[确定]结束添加。然后切换到[管理筛选器 *** 作]标签下,依次单击[添加]→[下一步],命名筛选器 *** 作名称为“阻止所有连接”,描述语言可以为 “阻止所有网络连接”,单击[下一步];点选[阻止]选项作为此筛选器的 *** 作行为,最后单击[下一步]→[完成]→[关闭]完成所有添加 *** 作。
STEP2:创建IP安全策略
右击控制台树的[IP安全策略,在本地计算机]选项,执行[创建安全策略]命令,然后单击[下一步]按钮。命名这个IP安全策略为“禁止PING主机”,描述语言为“拒绝任何其他计算机的PING要求”并单击[下一步]。然后在勾选[激活默认响应规则]的前提下单击[下一步]。在“默认响应规则身份验证方法”对话框中点选[使用此字符串保护密钥交换]选项,并在下面的文字框中键入一段字符串如“NO PING”,单击[下一步]。最后在勾选“编辑属性”的前提下单击[完成]按钮结束创建
STEP3:配置IP安全策略
在打开的“禁止PING属性”对话框中的[常规]标签下单击[添加]→[下一步],默认点选[此规则不指定隧道]并单击[下一步];点选[所有网络连接]以保证所有的计算机都PING不通该主机,单击[下一步]。在“IP筛选器列表”框中点选[禁止PING],单击[下一步];在“筛选器 *** 作”列表框中点选[阻止所有连接],依次单击[下一步];取消“编辑属性”选项并单击[完成]结束配置。
STEP4:指派IP安全策略
安全策略创建完毕后并不能马上生效,我们还需通过“指派”使其发挥作用。右击“本地安全设置”对话框右侧的[禁止PING主机]策略,执行“指派”命令即可启用该策略。同网段能PING通,说明网卡已经起作用,应该是缺省网关没有设置好,用netstat -rn查看是否有缺省网关,如果没有,用route命令添加。
route add -net default gw 19216811
然后再试试看ping DNS方法:
禁止被ping通:echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
允许被ping通:echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
注意:因为 /proc/sys/net/ipv4/icmp_echo_ignore_all 并不是真实文件,不能以vi形式进行更改。
并且上面更改的方式为临时更改,服务器重启又回还原成默认可被ping。
要是想永久更改可在配制文件/etc/sysctlconf中加一行
netipv4icmp_echo_ignore_all=1
禁止被ping有什么意义?为什么要这样做?
我们一般会认为对方主机能ping通代表着网络是通的。潜意识下为认为ping不通代表网络不通(这当然是错误的啦~)
在黑客入侵寻找对象时,大多都使用Ping命令来检测主机,如果Ping不通,水平差的“黑客”大多就会知难而退。事实上,完全可以造成一种假相,即使我们在线,但对方Ping时也不能相通,这样就能躲避很多攻击。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)