2013年 职称计算机 考试辅导防范被Pi ng与封闭 端
口
随着学校校园网越来越多人使用用户对网络知识认知的提高很多人在网上下载一些黑客工具或者用Pin g命令进行扫描端口、 IP寻找肉机带来很坏的影响。
Ping命令它可以向你提供的地址发送一个小的数据包然后侦听这台机器是否有“回答” 。查找现在哪些机器在网络上活动。使用Pin g入侵即是ICMP入侵原理是通过Ping在一个时段内连续向计算机发出大量请求使得计算机的CPU占用率居高不下达到1 00%而系统死机甚至崩溃。基于此写这篇I P安全策略防Ping文章以保障自己的系统安全。
其实防Pi ng安装和设置防火墙也可以解决但防火墙并不是每一台电脑都会去装要考虑资源占用还有设置技巧。如果你安装了防火墙但没有去修改、添加IP规则那一样没用。有些配置不是很高为免再给防火墙占用资源用手工在自己系统中设置安全略是一个上上的办法。
下面就写下具体创建过程
(一)创建IP安全策略
1、依次单击“开始→控制面板→管理工具→本地安全策略” 打开“本地安全设置” 右击该对话框左侧的“IP安全策略在本地计算机”选项执行“创建IP安全策略”命令。 (之间有些简单的点击下一步之类的过程省略不写)
2、在出现的“默认响应规则身份验证方法”对话框中我们选中“此字符串用来保护密钥交换(预共享密钥)”选项然后在下面的文字框中任意键入一段字符串。 (如“禁止Ping” )
3、完成了IP安全策略的创建工作后在“IP筛选器列表”窗口中单击“添加”按钮此时将会弹出“IP筛选器向导”窗口我们单击“下一步” 此时将会弹出“IP通信源”页面在该页面中设置“源地址”为“我的IP地址” “目标地址”为“任何IP地址” 任何IP地址的计算机都不能Pi ng你的机器。
在“筛选器属性”中可封闭端口。比如封闭T CP协议的135端口在“选择协议类型”的下拉列表中选择“TCP” 然后在“到此端口”下的文本框中输入“135” 点击“确定”按钮这样就添加了一个屏蔽TCP 135(RPC)端口的筛选器它可以防止外界通过1 35端口连上你的电脑。重复可封闭TCP UDP等自己认为需要封闭的端口。这里不一一写出。
4、依次单击“下一步”→“完成” 此时你将会在“IP筛选器列表”看到刚刚创建的筛选器将其选中后单击“下一步” 我们在出现的“筛选器操作”页面中设置筛选器操作为“需要安全”选项。
(二)指派IP安全策略
安全策略创建完毕后并不能马上生效我们还需通过“指派”功能令其发挥作用。方法是在“控制台根节点”中右击“新的IP安全策略”项然后在弹出的右键菜单中执行“指派”命令 即可启用该策略。
至此这台主机已经具备了拒绝其他任何机器Pin g自己IP地址的功能不过在本地仍然能够P ing通自己。经过这样的设置之后所有用户(包括管理员)都不能在其他机器上对此服务器进行Ping操作。从此你再也不用担心被Ping威胁。如果再把一些黑客工具、木马常探寻的端口封闭那你的系统就更加固若金汤了。
Ping的工作过程及单向Pin g通的原因
当网络出现问题时我们最常用的测试工具就是“Ping”命令了。但有时候我们会碰到单方向Pin g通的现象例如通过H UB或一根交叉线连接的在同一个局域网内的电脑A、
B在检查它们之间的网络连通性时发现从主机APing主机B正常而从主机B Ping主机A时 出现“超时无应答”错误。为什么呢?
要知道这其中的奥秘我们有必要来看看Pi ng命令的工作过程到底是怎么样的。
假定主机A的IP地址是192. 168. 1. 1主机B的I P地址是1 92. 168. 1.2都在同一子网内则当你在主机A上运行 “Ping 192. 168. 1.2”后都发生了些什么呢?
首先Ping命令会构建一个固定格式的ICMP请求数据包然后由IC MP协议将这个数据包连同地址“192. 168. 1.2”一起交给I P层协议(和ICMP一样实际上是一组后台运行的进程) IP层协议将以地址“192. 168. 1.2”作为目的地址本机IP地址作为源地址加上一些其他的控制信息构建一个I P数据包并在一个映射表中查找出IP地址192. 168. 1.2所对应的物理地址(也叫MAC地址熟悉网卡配置的朋友不会陌生这是数据链路层协议构建数据链路层的传输单元——帧所必需的)一并交给数据链路层。后者构建一个数据帧 目的地址是IP层传过来的物理地址源地址则是本机的物理地址还要附加上一些控制信息依据以太网的介质访问规则将它们传送出去。
主机B收到这个数据帧后先检查它的目的地址并和本机的物理地址对比如符合则接收;否则丢弃。接收后检查该数据帧将IP数据包从帧中提取出来交给本机的IP层协议。同样 I P层检查后将有用的信息提取后交给ICMP协议后者处理后马上构建一个ICMP应答包发送给主机A其过程和主机A发送I CMP请求包到主机B一模一样。
从Ping的工作过程我们可以知道主机A收到了主机B的一个应答包说明两台主机之间的去、回通路均正常。也就是说无论从主机A到主机B还是从主机B到主机A都是正常的。那么是什么原因引起只能单方向Pin g通的呢?
一、安装了个人防火墙
在共享上网的机器中 出于安全考虑大部分作为服务器的主机都安装了个人防火墙软件而其他作为客户机的机器则一般不安装。几乎所有的个人防火墙软件默认情况下是不允许其他机器Pi ng本机的。一般的做法是将来自外部的ICM P请求报文滤掉但它却
对本机出去的I CMP请求报文 以及来自外部的ICM P应答报文不加任何限制。这样从本机Pi ng其他机器时如果网络正常就没有问题。但如果从其他机器Pi ng这台机器 即使网络一切正常也会出现“超时无应答”的错误。
大部分的单方向Pin g通现象源于此。解决的办法也很简单根据你自己所用的不同类型的防火墙调整相应的设置即可。
二、错误设置I P地址
正常情况下一台主机应该有一个网卡一个IP地址或多个网卡多个IP地址(这些地址一定要处于不同的IP子网)。但对于在公共场所使用的电脑特别是网吧人多手杂其中不泛有“探索者” 。 曾有一次两台电脑也出现了这种单方向Pin g通的情况经过仔细检查发现其中一台电脑的“拨号网络适配器” (相当于一块软网卡)的TCP/IP设置中设置了一个与网卡IP地址处于同一子网的IP地址这样在IP层协议看来这台主机就有两个不同的接口处于同一网段内。当从这台主机Ping其他的机器时会存在这样的问题:
(1)主机不知道将数据包发到哪个网络接口 因为有两个网络接口都连接在同一网段;
(2)主机不知道用哪个地址作为数据包的源地址。因此从这台主机去Ping其他机器IP层协议会无法处理超时后 Ping就会给出一个“超时无应答”的错误信息提示。但从其他主机Ping这台主机时请求包从特定的网卡来 ICMP只须简单地将目的、源地址互换并更改一些标志即可 ICMP应答包能顺利发出其他主机也就能成功P ing通这台机器了。
NameSilo是通过之前的感恩节优惠活动中认识到这家注册商的,于是今天早上花了点时间专门了解了NameSilo优惠码和商家的详细信息。该商家只销售域名,他们家的域名销售价格还是中规中矩的,没有像godaddy域名标价和使用优惠之后的价格悬殊很大,而且其特色就是该域名平台提供免费的域名停放、免费隐私保护等功能。namesilo新注册域名价格列表,NameSilo官方网站:www.namesilo....
tmthosting怎么样?tmthosting家本站也分享过多次,之前也是不温不火的商家,加上商家的价格略贵,之到斯巴达商家出现,这个商家才被中国用户熟知,原因就是斯巴达家的机器是三网回程AS4837线路,而且也没有多余的加价,斯巴达家断货后,有朋友发现TMTHosting竟然也在同一机房,所以大家就都入手了TMTHosting家的机器。目前,TMTHosting商家放出了夏季优惠,针对VPS推...
OneTechCloud(易科云)是一家主打CN2等高端线路的VPS主机商家,成立于2019年,提供的产品包括VPS主机和独立服务器租用等,数据中心可选美国洛杉矶、中国香港、日本等,有CN2 GIA线路、AS9929、高防、原生IP等。目前商家针对全场VPS主机提供月付9折,季付8折优惠码,优惠后香港VPS最低季付64元起(≈21.3元/月),美国洛杉矶CN2 GIA线路+20Gbps防御型VPS...