主机2013年职称计算机考试辅导防范被Ping与封闭端口

2013年 职称计算机 考试辅导防范被Pi ng与封闭 端

口

随着学校校园网越来越多人使用用户对网络知识认知的提高很多人在网上下载一些黑客工具或者用Pin g命令进行扫描端口、 IP寻找肉机带来很坏的影响。

Ping命令它可以向你提供的地址发送一个小的数据包然后侦听这台机器是否有“回答” 。查找现在哪些机器在网络上活动。使用Pin g入侵即是ICMP入侵原理是通过Ping在一个时段内连续向计算机发出大量请求使得计算机的CPU占用率居高不下达到1 00%而系统死机甚至崩溃。基于此写这篇I P安全策略防Ping文章以保障自己的系统安全。

其实防Pi ng安装和设置防火墙也可以解决但防火墙并不是每一台电脑都会去装要考虑资源占用还有设置技巧。如果你安装了防火墙但没有去修改、添加IP规则那一样没用。有些配置不是很高为免再给防火墙占用资源用手工在自己系统中设置安全略是一个上上的办法。

下面就写下具体创建过程

(一)创建IP安全策略

1、依次单击“开始→控制面板→管理工具→本地安全策略” 打开“本地安全设置” 右击该对话框左侧的“IP安全策略在本地计算机”选项执行“创建IP安全策略”命令。 (之间有些简单的点击下一步之类的过程省略不写)

2、在出现的“默认响应规则身份验证方法”对话框中我们选中“此字符串用来保护密钥交换(预共享密钥)”选项然后在下面的文字框中任意键入一段字符串。 (如“禁止Ping” )

3、完成了IP安全策略的创建工作后在“IP筛选器列表”窗口中单击“添加”按钮此时将会弹出“IP筛选器向导”窗口我们单击“下一步” 此时将会弹出“IP通信源”页面在该页面中设置“源地址”为“我的IP地址”  “目标地址”为“任何IP地址” 任何IP地址的计算机都不能Pi ng你的机器。

在“筛选器属性”中可封闭端口。比如封闭T CP协议的135端口在“选择协议类型”的下拉列表中选择“TCP” 然后在“到此端口”下的文本框中输入“135”  点击“确定”按钮这样就添加了一个屏蔽TCP 135(RPC)端口的筛选器它可以防止外界通过1 35端口连上你的电脑。重复可封闭TCP UDP等自己认为需要封闭的端口。这里不一一写出。

4、依次单击“下一步”→“完成” 此时你将会在“IP筛选器列表”看到刚刚创建的筛选器将其选中后单击“下一步” 我们在出现的“筛选器操作”页面中设置筛选器操作为“需要安全”选项。

(二)指派IP安全策略

安全策略创建完毕后并不能马上生效我们还需通过“指派”功能令其发挥作用。方法是在“控制台根节点”中右击“新的IP安全策略”项然后在弹出的右键菜单中执行“指派”命令 即可启用该策略。

至此这台主机已经具备了拒绝其他任何机器Pin g自己IP地址的功能不过在本地仍然能够P ing通自己。经过这样的设置之后所有用户(包括管理员)都不能在其他机器上对此服务器进行Ping操作。从此你再也不用担心被Ping威胁。如果再把一些黑客工具、木马常探寻的端口封闭那你的系统就更加固若金汤了。

Ping的工作过程及单向Pin g通的原因

当网络出现问题时我们最常用的测试工具就是“Ping”命令了。但有时候我们会碰到单方向Pin g通的现象例如通过H UB或一根交叉线连接的在同一个局域网内的电脑A、

B在检查它们之间的网络连通性时发现从主机APing主机B正常而从主机B Ping主机A时 出现“超时无应答”错误。为什么呢?

要知道这其中的奥秘我们有必要来看看Pi ng命令的工作过程到底是怎么样的。

假定主机A的IP地址是192. 168. 1. 1主机B的I P地址是1 92. 168. 1.2都在同一子网内则当你在主机A上运行 “Ping 192. 168. 1.2”后都发生了些什么呢?

首先Ping命令会构建一个固定格式的ICMP请求数据包然后由IC MP协议将这个数据包连同地址“192. 168. 1.2”一起交给I P层协议(和ICMP一样实际上是一组后台运行的进程)  IP层协议将以地址“192. 168. 1.2”作为目的地址本机IP地址作为源地址加上一些其他的控制信息构建一个I P数据包并在一个映射表中查找出IP地址192. 168. 1.2所对应的物理地址(也叫MAC地址熟悉网卡配置的朋友不会陌生这是数据链路层协议构建数据链路层的传输单元——帧所必需的)一并交给数据链路层。后者构建一个数据帧 目的地址是IP层传过来的物理地址源地址则是本机的物理地址还要附加上一些控制信息依据以太网的介质访问规则将它们传送出去。

主机B收到这个数据帧后先检查它的目的地址并和本机的物理地址对比如符合则接收;否则丢弃。接收后检查该数据帧将IP数据包从帧中提取出来交给本机的IP层协议。同样 I P层检查后将有用的信息提取后交给ICMP协议后者处理后马上构建一个ICMP应答包发送给主机A其过程和主机A发送I CMP请求包到主机B一模一样。

从Ping的工作过程我们可以知道主机A收到了主机B的一个应答包说明两台主机之间的去、回通路均正常。也就是说无论从主机A到主机B还是从主机B到主机A都是正常的。那么是什么原因引起只能单方向Pin g通的呢?

一、安装了个人防火墙

在共享上网的机器中 出于安全考虑大部分作为服务器的主机都安装了个人防火墙软件而其他作为客户机的机器则一般不安装。几乎所有的个人防火墙软件默认情况下是不允许其他机器Pi ng本机的。一般的做法是将来自外部的ICM P请求报文滤掉但它却

对本机出去的I CMP请求报文 以及来自外部的ICM P应答报文不加任何限制。这样从本机Pi ng其他机器时如果网络正常就没有问题。但如果从其他机器Pi ng这台机器 即使网络一切正常也会出现“超时无应答”的错误。

大部分的单方向Pin g通现象源于此。解决的办法也很简单根据你自己所用的不同类型的防火墙调整相应的设置即可。

二、错误设置I P地址

正常情况下一台主机应该有一个网卡一个IP地址或多个网卡多个IP地址(这些地址一定要处于不同的IP子网)。但对于在公共场所使用的电脑特别是网吧人多手杂其中不泛有“探索者” 。 曾有一次两台电脑也出现了这种单方向Pin g通的情况经过仔细检查发现其中一台电脑的“拨号网络适配器” (相当于一块软网卡)的TCP/IP设置中设置了一个与网卡IP地址处于同一子网的IP地址这样在IP层协议看来这台主机就有两个不同的接口处于同一网段内。当从这台主机Ping其他的机器时会存在这样的问题:

(1)主机不知道将数据包发到哪个网络接口 因为有两个网络接口都连接在同一网段;

(2)主机不知道用哪个地址作为数据包的源地址。因此从这台主机去Ping其他机器IP层协议会无法处理超时后 Ping就会给出一个“超时无应答”的错误信息提示。但从其他主机Ping这台主机时请求包从特定的网卡来 ICMP只须简单地将目的、源地址互换并更改一些标志即可 ICMP应答包能顺利发出其他主机也就能成功P ing通这台机器了。