如何將電腦ping探測拒之門外

Ping命令應該算是大家最熟悉的命令之一，也是我們最常用到的命令之一。

我們都知道，在進行網路攻擊或入侵前，一般都要進行踩點，也就是收集要入侵的目標主機的敏感資訊，然後我們再根據收集到的資訊來確定下一步要如何去入侵。而踩點過程中我們經常都會用到ping命令。

為了測試自己與目標電腦是否能夠連通，或是利用ping命令得到對方的ip地址，另外，有許多埠掃描工具也是依賴ping的結果來工作的。

可以說ping是最簡單有效的探測命令了，因此禁止系統對ping請求作出響應，對於系統的安全是有很大好處的。那麼，我們要如何才能禁止系統對ping請求做出響應呢？

其實方法有很多，在linux系統中設定比較簡單，我們可以使用以下命令來達到禁止ping響應的目的: eche 1>
       /proc/sys/net/ipvd/icmp_eche_ignore_all。

而在windows2000/xp/2003系統中，可以通過設定ip安全策略來禁止外部的ping請求包，來達到禁止ping響應的目的。

1.建立ip安全策略

開啟控制面板-效能和維護-管理工具-本地安全策略，彈出本地安全策略對話方塊，右鍵單擊ip安全策略，在彈出的右鍵快捷選單中選擇建立ip安全策略選項，在ip安全策略嚮導對話方塊中建立一個新的安全策略，輸入相應的名稱和描述。單擊下一步按鈕後，去掉啟用預設響應規則選項，然後單擊下一步按鈕。選中編輯屬性並點選完成按鈕。

跟著上述步驟就可以看到對話方塊了

2.新增一個安全規則

在上一步完成後，會自動進入新建立的ip安全屬性視窗-deny ping屬性，單擊新增按鈕，來新增一個新的安全規則，這個時候就會彈出安全規則嚮導視窗，然後依次在隧道終結點中選擇此規則不指定隧道，在網路型別中選擇所有網路連線，在身份驗證方法中選擇active directory預設值（kerberos v5 協議）（注意，如果計算機不是某個域的成員，kerberos是不會生效的，所以會在這一步彈出一個警告框“只有當這個規則在一臺為域成員的計算機上kerberos才會有效。這臺計算機不是一個域成員，你想要繼續並保留這些規則的屬性嗎？”，若要繼續，選擇“是”即可）。這時單擊下一步會進入ip篩選器列表視窗。

3.新增一個新的ip篩選器

單擊新增按鈕，輸入篩選器名稱（這個名稱可以自己任意起，只是一個標識的作用）和描述資訊，單擊新增按鈕，彈出篩選器嚮導視窗，單擊下一步按鈕，在源地址處選擇任何ip地址。在目標地址處選擇我的ip地址，在協議型別處選擇icmp，不選擇編輯屬性，最後單擊完成按鈕會自動關閉篩選器嚮導對話方塊，新增ip篩選器後的ip篩選器列表。

4.在安全規則嚮導視窗中，選中剛剛建立的安全規則“deny ping”，單擊下一步按鈕，進入篩選器操作視窗，建立一個如圖所示的篩選器操作。

單擊下一步按鈕選擇阻止選項，單擊確定按鈕，然後在篩選器操作視窗中，單擊下一步按鈕，不選擇編輯屬性，最後單擊完成按鈕。

最後為了使新新增的策略生效，在本地安全設定中選中新的策略，單擊滑鼠右鍵，在彈出的快捷選單中選擇“指派”一項，新的策略開始生效。

當然，這樣設定的禁止ping的安全策略是雙向的，也就是不允許外部對本機的ping操作，也禁止了本機的ping操作，這樣的話，我們自己使用起來也不方便了，其實可以在剛建立的安全操作中去掉“映象”選項，這樣這個安全策略就變為單向的了，即使我們可以正常使用ping命令的同時又可以避免對其機器發出的ping命令做出響應。具體操作步驟如下:在新的安全策略屬性視窗編輯選中的安全規則，編輯選中的篩選器列表，編輯篩選器屬性，取消其中映象選項。

當然如果windows啟動了路由和遠端訪問的服務，那麼作為路由的這臺主機也可以通過設定路由和遠端訪問的過濾規則來禁止響應 icmp echo請求。

除了通過ip安全策略來禁止ping響應外，但作為個人使用者，我覺得安裝防火牆也是一個不錯的選擇。相比較而言，目前許多防火牆都提供了比較完善的資料包過濾功能，操作起來也是非常簡單，就比如說天網，綠色警戒，isa等，使用防火牆我們也可以進行同樣的設定。

來源網路讓更多需要的人看到