職稱計算機考試輔導(dǎo)：防范被Ping與封閉端口

隨著學(xué)校校園網(wǎng)越來越多人使用，用戶對網(wǎng)絡(luò)知識認知的提高，很多人在網(wǎng)上下載一些黑客工具或者用Ping命令，進行掃描端口、IP尋找肉機，帶來很壞的影響。
    Ping命令它可以向你提供的地址發(fā)送一個小的數(shù)據(jù)包，然后偵聽這臺機器是否有“回答”。查找現(xiàn)在哪些機器在網(wǎng)絡(luò)上活動。使用Ping入侵即是ICMP 入侵，原理是通過Ping在一個時段內(nèi)連續(xù)向計算機發(fā)出大量請求使得計算機的CPU占用率居高不下達到100%而系統(tǒng)死機甚至崩潰。基于此，寫這篇IP安全策略防Ping文章以保障自己的系統(tǒng)安全。
    其實防Ping安裝和設(shè)置防火墻也可以解決，但防火墻并不是每一臺電腦都會去裝，要考慮資源占用還有設(shè)置技巧。如果你安裝了防火墻但沒有去修改、添加IP規(guī)則那一樣沒用。有些配置不是很高為免再給防火墻占用資源用手工在自己系統(tǒng)中設(shè)置安全略是一個上上的辦法。
    下面就寫下具體創(chuàng)建過程：
    （一）創(chuàng)建IP安全策略
    1、依次單擊“開始→控制面板→管理工具→本地安全策略”，打開“本地安全設(shè)置”，右擊該對話框左側(cè)的“IP安全策略，在本地計算機”選項，執(zhí)行“創(chuàng)建IP安全策略”命令。（之間有些簡單的點擊下一步之類的過程省略不寫）
    2、在出現(xiàn)的“默認響應(yīng)規(guī)則身份驗證方法”對話框中我們選中“此字符串用來保護密鑰交換（預(yù)共享密鑰）”選項，然后在下面的文字框中任意鍵入一段字符串。（如“禁止 Ping”）
    3、完成了IP安全策略的創(chuàng)建工作后在“IP篩選器列表”窗口中單擊“添加”按鈕，此時將會彈出“IP篩選器向?qū)А贝翱?，我們單擊“下一步”，此時將會彈出“IP通信源”頁面，在該頁面中設(shè)置“源地址”為“我的IP地址”：“目標地址”為“任何IP地址”，任何IP地址的計算機都不能Ping你的機器。
    在“篩選器屬性”中可封閉端口。比如封閉TCP協(xié)議的135端口：在“選擇協(xié)議類型”的下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，點擊“確定”按鈕，這樣就添加了一個屏蔽 TCP 135（RPC）端口的篩選器，它可以防止外界通過135端口連上你的電腦。重復(fù)可封閉TCP UDP等自己認為需要封閉的端口。這里不一一寫出。
    4、依次單擊“下一步”→“完成”，此時，你將會在“IP篩選器列表”看到剛剛創(chuàng)建的篩選器，將其選中后單擊“下一步”，我們在出現(xiàn)的“篩選器操作”頁面中設(shè)置篩選器操作為“需要安全”選項。
    （二）指派IP安全策略
    安全策略創(chuàng)建完畢后并不能馬上生效，我們還需通過“指派”功能令其發(fā)揮作用。方法是：在“控制臺根節(jié)點”中右擊“新的IP安全策略”項，然后在彈出的右鍵菜單中執(zhí)行“指派”命令，即可啟用該策略。
    至此，這臺主機已經(jīng)具備了拒絕其他任何機器Ping自己IP地址的功能，不過在本地仍然能夠Ping通自己。經(jīng)過這樣的設(shè)置之后，所有用戶（包括管理員）都不能在其他機器上對此服務(wù)器進行Ping操作。從此你再也不用擔心被Ping威脅。如果再把一些黑客工具、木馬常探尋的端口封閉那你的系統(tǒng)就更加固若金湯了。
    Ping的工作過程及單向Ping通的原因
    當網(wǎng)絡(luò)出現(xiàn)問題時，我們最常用的測試工具就是“Ping”命令了。但有時候我們會碰到單方向Ping通的現(xiàn)象，例如通過HUB或一根交叉線連接的在同一個局域網(wǎng)內(nèi)的電腦A、 B，在檢查它們之間的網(wǎng)絡(luò)連通性時，發(fā)現(xiàn)從主機A Ping 主機B正常而從主機B Ping 主機A時，出現(xiàn)“超時無應(yīng)答”錯誤。為什么呢?
    要知道這其中的奧秘，我們有必要來看看Ping命令的工作過程到底是怎么樣的。
    假定主機A的IP地址是192.168.1.1，主機B的IP地址是192.168.1.2，都在同一子網(wǎng)內(nèi)，則當你在主機A上運行“Ping 192.168.1.2”后，都發(fā)生了些什么呢?
    首先，Ping命令會構(gòu)建一個固定格式的ICMP請求數(shù)據(jù)包，然后由ICMP協(xié)議將這個數(shù)據(jù)包連同地址“192.168.1.2”一起交給IP層協(xié)議(和ICMP一樣，實際上是一組后臺運行的進程)，IP層協(xié)議將以地址“192.168.1.2”作為目的地址，本機IP地址作為源地址，加上一些其他的控制信息，構(gòu)建一個IP數(shù)據(jù)包，并在一個映射表中查找出IP地址192.168.1.2所對應(yīng)的物理地址(也叫MAC地址，熟悉網(wǎng)卡配置的朋友不會陌生，這是數(shù)據(jù)鏈路層協(xié)議構(gòu)建數(shù)據(jù)鏈路層的傳輸單元——幀所必需的)，一并交給數(shù)據(jù)鏈路層。后者構(gòu)建一個數(shù)據(jù)幀，目的地址是IP層傳過來的物理地址，源地址則是本機的物理地址，還要附加上一些控制信息，依據(jù)以太網(wǎng)的介質(zhì)訪問規(guī)則，將它們傳送出去。
    主機B收到這個數(shù)據(jù)幀后，先檢查它的目的地址，并和本機的物理地址對比，如符合，則接收;否則丟棄。接收后檢查該數(shù)據(jù)幀，將IP數(shù)據(jù)包從幀中提取出來，交給本機的IP層協(xié)議。同樣，IP層檢查后，將有用的信息提取后交給ICMP協(xié)議，后者處理后，馬上構(gòu)建一個ICMP應(yīng)答包，發(fā)送給主機A，其過程和主機A發(fā)送ICMP請求包到主機B一模一樣。
    從Ping的工作過程，我們可以知道，主機A收到了主機B的一個應(yīng)答包，說明兩臺主機之間的去、回通路均正常。也就是說，無論從主機A到主機B，還是從主機B到主機A，都是正常的。那么，是什么原因引起只能單方向Ping通的呢?
    一、安裝了個人防火墻
    在共享上網(wǎng)的機器中，出于安全考慮，大部分作為服務(wù)器的主機都安裝了個人防火墻軟件，而其他作為客戶機的機器則一般不安裝。幾乎所有的個人防火墻軟件，默認情況下是不允許其他機器Ping本機的。一般的做法是將來自外部的ICMP請求報文濾掉，但它卻對本機出去的ICMP請求報文，以及來自外部的ICMP應(yīng)答報文不加任何限制。這樣，從本機Ping其他機器時，如果網(wǎng)絡(luò)正常，就沒有問題。但如果從其他機器Ping這臺機器，即使網(wǎng)絡(luò)一切正常，也會出現(xiàn)“超時無應(yīng)答”的錯誤。
    大部分的單方向Ping通現(xiàn)象源于此。解決的辦法也很簡單，根據(jù)你自己所用的不同類型的防火墻，調(diào)整相應(yīng)的設(shè)置即可。
    二、錯誤設(shè)置IP地址
    正常情況下，一臺主機應(yīng)該有一個網(wǎng)卡，一個IP地址，或多個網(wǎng)卡，多個IP地址(這些地址一定要處于不同的IP子網(wǎng))。但對于在公共場所使用的電腦，特別是網(wǎng)吧，人多手雜，其中不泛有“探索者”。曾有一次兩臺電腦也出現(xiàn)了這種單方向Ping通的情況，經(jīng)過仔細檢查，發(fā)現(xiàn)其中一臺電腦的“撥號網(wǎng)絡(luò)適配器”(相當于一塊軟網(wǎng)卡)的TCP/IP設(shè)置中，設(shè)置了一個與網(wǎng)卡IP地址處于同一子網(wǎng)的IP地址，這樣，在IP層協(xié)議看來，這臺主機就有兩個不同的接口處于同一網(wǎng)段內(nèi)。當從這臺主機Ping其他的機器時，會存在這樣的問題:
    (1)主機不知道將數(shù)據(jù)包發(fā)到哪個網(wǎng)絡(luò)接口，因為有兩個網(wǎng)絡(luò)接口都連接在同一網(wǎng)段;
    (2)主機不知道用哪個地址作為數(shù)據(jù)包的源地址。因此，從這臺主機去Ping其他機器，IP層協(xié)議會無法處理，超時后，Ping 就會給出一個“超時無應(yīng)答”的錯誤信息提示。但從其他主機Ping這臺主機時，請求包從特定的網(wǎng)卡來，ICMP只須簡單地將目的、源地址互換，并更改一些標志即可，ICMP應(yīng)答包能順利發(fā)出，其他主機也就能成功Ping通這臺機器了