職稱計算機輔導:防被Ping與封閉端口

字號:

隨著學校校園網越來越多人使用,用戶對網絡知識認知的提高,很多人在網上下載一些黑客工具或者用Ping命令,進行掃描端口、IP尋找肉機,帶來很壞的影響。
    Ping命令它可以向你提供的地址發(fā)送一個小的數(shù)據包,然后偵聽這臺機器是否有“回答”。查找現(xiàn)在哪些機器在網絡上活動。使用Ping入侵即是ICMP 入侵,原理是通過Ping在一個時段內連續(xù)向計算機發(fā)出大量請求使得計算機的CPU占用率居高不下達到100%而系統(tǒng)死機甚至崩潰?;诖耍瑢戇@篇IP安全策略防Ping文章以保障自己的系統(tǒng)安全。
    其實防Ping安裝和設置防火墻也可以解決,但防火墻并不是每一臺電腦都會去裝,要考慮資源占用還有設置技巧。如果你安裝了防火墻但沒有去修改、添加IP規(guī)則那一樣沒用。有些配置不是很高為免再給防火墻占用資源用手工在自己系統(tǒng)中設置安全略是一個上上的辦法。
    下面就寫下具體創(chuàng)建過程:
    (一)創(chuàng)建IP安全策略
    1、依次單擊“開始→控制面板→管理工具→本地安全策略”,打開“本地安全設置”,右擊該對話框左側的“IP安全策略,在本地計算機”選項,執(zhí)行“創(chuàng)建IP安全策略”命令。(之間有些簡單的點擊下一步之類的過程省略不寫)
    2、在出現(xiàn)的“默認響應規(guī)則身份驗證方法”對話框中我們選中“此字符串用來保護密鑰交換(預共享密鑰)”選項,然后在下面的文字框中任意鍵入一段字符串。(如“禁止 Ping”)
    3、完成了IP安全策略的創(chuàng)建工作后在“IP篩選器列表”窗口中單擊“添加”按鈕,此時將會彈出“IP篩選器向導”窗口,我們單擊“下一步”,此時將會彈出“IP通信源”頁面,在該頁面中設置“源地址”為“我的IP地址”:“目標地址”為“任何IP地址”,任何IP地址的計算機都不能Ping你的機器。
    在“篩選器屬性”中可封閉端口。比如封閉TCP協(xié)議的135端口:在“選擇協(xié)議類型”的下拉列表中選擇“TCP”,然后在“到此端口”下的文本框中輸入“135”,點擊“確定”按鈕,這樣就添加了一個屏蔽 TCP 135(RPC)端口的篩選器,它可以防止外界通過135端口連上你的電腦。重復可封閉TCP UDP等自己認為需要封閉的端口。這里不一一寫出。
    4、依次單擊“下一步”→“完成”,此時,你將會在“IP篩選器列表”看到剛剛創(chuàng)建的篩選器,將其選中后單擊“下一步”,我們在出現(xiàn)的“篩選器操作”頁面中設置篩選器操作為“需要安全”選項。
    (二)指派IP安全策略
    安全策略創(chuàng)建完畢后并不能馬上生效,我們還需通過“指派”功能令其發(fā)揮作用。方法是:在“控制臺根節(jié)點”中右擊“新的IP安全策略”項,然后在彈出的右鍵菜單中執(zhí)行“指派”命令,即可啟用該策略。
    至此,這臺主機已經具備了拒絕其他任何機器Ping自己IP地址的功能,不過在本地仍然能夠Ping通自己。經過這樣的設置之后,所有用戶(包括管理員)都不能在其他機器上對此服務器進行Ping操作。從此你再也不用擔心被Ping威脅。如果再把一些黑客工具、木馬常探尋的端口封閉那你的系統(tǒng)就更加固若金湯了。
    Ping的工作過程及單向Ping通的原因
    當網絡出現(xiàn)問題時,我們最常用的測試工具就是“Ping”命令了。但有時候我們會碰到單方向Ping通的現(xiàn)象,例如通過HUB或一根交叉線連接的在同一個局域網內的電腦A、 B,在檢查它們之間的網絡連通性時,發(fā)現(xiàn)從主機A Ping 主機B正常而從主機B Ping 主機A時,出現(xiàn)“超時無應答”錯誤。為什么呢?
    要知道這其中的奧秘,我們有必要來看看Ping命令的工作過程到底是怎么樣的。
    假定主機A的IP地址是192.168.1.1,主機B的IP地址是192.168.1.2,都在同一子網內,則當你在主機A上運行“Ping 192.168.1.2”后,都發(fā)生了些什么呢?
    首先,Ping命令會構建一個固定格式的ICMP請求數(shù)據包,然后由ICMP協(xié)議將這個數(shù)據包連同地址“192.168.1.2”一起交給IP層協(xié)議(和ICMP一樣,實際上是一組后臺運行的進程),IP層協(xié)議將以地址“192.168.1.2”作為目的地址,本機IP地址作為源地址,加上一些其他的控制信息,構建一個IP數(shù)據包,并在一個映射表中查找出IP地址192.168.1.2所對應的物理地址(也叫MAC地址,熟悉網卡配置的朋友不會陌生,這是數(shù)據鏈路層協(xié)議構建數(shù)據鏈路層的傳輸單元——幀所必需的),一并交給數(shù)據鏈路層。后者構建一個數(shù)據幀,目的地址是IP層傳過來的物理地址,源地址則是本機的物理地址,還要附加上一些控制信息,依據以太網的介質訪問規(guī)則,將它們傳送出去。
    主機B收到這個數(shù)據幀后,先檢查它的目的地址,并和本機的物理地址對比,如符合,則接收;否則丟棄。接收后檢查該數(shù)據幀,將IP數(shù)據包從幀中提取出來,交給本機的IP層協(xié)議。同樣,IP層檢查后,將有用的信息提取后交給ICMP協(xié)議,后者處理后,馬上構建一個ICMP應答包,發(fā)送給主機A,其過程和主機A發(fā)送ICMP請求包到主機B一模一樣。
    從Ping的工作過程,我們可以知道,主機A收到了主機B的一個應答包,說明兩臺主機之間的去、回通路均正常。也就是說,無論從主機A到主機B,還是從主機B到主機A,都是正常的。那么,是什么原因引起只能單方向Ping通的呢?
    一、安裝了個人防火墻
    在共享上網的機器中,出于安全考慮,大部分作為服務器的主機都安裝了個人防火墻軟件,而其他作為客戶機的機器則一般不安裝。幾乎所有的個人防火墻軟件,默認情況下是不允許其他機器Ping本機的。一般的做法是將來自外部的ICMP請求報文濾掉,但它卻對本機出去的ICMP請求報文,以及來自外部的ICMP應答報文不加任何限制。這樣,從本機Ping其他機器時,如果網絡正常,就沒有問題。但如果從其他機器Ping這臺機器,即使網絡一切正常,也會出現(xiàn)“超時無應答”的錯誤。
    大部分的單方向Ping通現(xiàn)象源于此。解決的辦法也很簡單,根據你自己所用的不同類型的防火墻,調整相應的設置即可。
    二、錯誤設置IP地址
    正常情況下,一臺主機應該有一個網卡,一個IP地址,或多個網卡,多個IP地址(這些地址一定要處于不同的IP子網)。但對于在公共場所使用的電腦,特別是網吧,人多手雜,其中不泛有“探索者”。曾有一次兩臺電腦也出現(xiàn)了這種單方向Ping通的情況,經過仔細檢查,發(fā)現(xiàn)其中一臺電腦的“撥號網絡適配器”(相當于一塊軟網卡)的TCP/IP設置中,設置了一個與網卡IP地址處于同一子網的IP地址,這樣,在IP層協(xié)議看來,這臺主機就有兩個不同的接口處于同一網段內。當從這臺主機Ping其他的機器時,會存在這樣的問題:
    (1)主機不知道將數(shù)據包發(fā)到哪個網絡接口,因為有兩個網絡接口都連接在同一網段;
    (2)主機不知道用哪個地址作為數(shù)據包的源地址。因此,從這臺主機去Ping其他機器,IP層協(xié)議會無法處理,超時后,Ping 就會給出一個“超時無應答”的錯誤信息提示。但從其他主機Ping這臺主機時,請求包從特定的網卡來,ICMP只須簡單地將目的、源地址互換,并更改一些標志即可,ICMP應答包能順利發(fā)出,其他主機也就能成功Ping通這臺機器了