有些站長(zhǎng)的網(wǎng)站經(jīng)常會(huì)遭受惡意的DDOS攻擊，而黑客們看網(wǎng)站是否被打死的其中一個(gè)標(biāo)準(zhǔn)就是在本地用DOS窗口PING你的網(wǎng)站IP。這時(shí)，如果想增加自己網(wǎng)站的安全性，不讓別人頻繁地使用PING命令來監(jiān)控自己的網(wǎng)站，就可以在網(wǎng)站服務(wù)器的防火墻里面設(shè)置禁止PING。

當(dāng)然也可以采用indons2003系統(tǒng)自身的功能實(shí)現(xiàn)禁PING。但無論采用哪種方式，都是通過禁止使用ICMP協(xié)議來實(shí)現(xiàn)的拒絕PING。

一、下面先講一下在Windows系統(tǒng)服務(wù)器中設(shè)置IP策略拒絕用戶Ping的例子。

1，添加IP篩選器

第一步，鼠標(biāo)右鍵單擊開始-管理工具-本地安全策略，然后打開“本地安全設(shè)置”窗口。也可以直接使用快捷鍵WINDONS+R，然后輸入secpol.msc 來直接打開本地安全策略。然后右鍵單擊左窗格的“IP安全策略，在本地計(jì)算機(jī)”選項(xiàng)，執(zhí)行“管理IP篩選器表和篩選器操作”快捷命令。在“管理IP篩選器列表”選項(xiàng)中單擊“添加”按鈕，命名這個(gè)篩選器名稱為“禁止PING”，描述語言可以為“禁止任何其它計(jì)算機(jī)PING我的主機(jī)”，然后單擊“添加”按鈕。

第二步，依次單擊“下一步”→“下一步”按鈕，選擇“IP通信源地址”為“我的IP地址”，單擊“下一步”按鈕；選擇“IP通信目標(biāo)地址”為“任何IP地址”，單擊“下一步”按鈕；選擇“IP協(xié)議類型”為ICMP，單擊“下一步”按鈕。依次單擊“完成”→“確定”按鈕結(jié)束添加。

第三步，切換到“管理篩選器操作”選項(xiàng)卡中，依次單擊“添加”→“下一步”按鈕，命名篩選器操作名稱為“阻止所有連接”，描述語言可以為“阻止所有網(wǎng)絡(luò)連接”，單擊“下一步”按鈕；點(diǎn)選“阻止”選項(xiàng)作為此篩選器的操作行為，最后依次單擊“下一步”→“完成”→“關(guān)閉”按鈕完成所有添加操作，如圖所示。

2，創(chuàng)建IP安全策略

右鍵單擊控制臺(tái)樹的“IP安全策略，在本地計(jì)算機(jī)”選項(xiàng)，執(zhí)行“創(chuàng)建IP安全策略”快捷命令，然后單擊“下一步”按鈕。

命名這個(gè)IP安全策略為“禁止PING主機(jī)”，描述語言為“拒絕任何其它計(jì)算機(jī)的PING要求”并單擊“下一步”按鈕。

然后在勾選“激活默認(rèn)響應(yīng)規(guī)則”的前提下單擊“下一步”按鈕。

在“默認(rèn)響應(yīng)規(guī)則身份驗(yàn)證方法”對(duì)話框中點(diǎn)選“使用此字符串保護(hù)密鑰交換”選項(xiàng)，并在下面的文字框中鍵入一段字符串如“NO PING”，單擊“下一步”按鈕。最后在勾選“編輯屬性”的前提下單擊“完成”按鈕結(jié)束創(chuàng)建。

3，配置IP安全策略

在打開的“禁止PING主機(jī) 屬性”對(duì)話框中的“規(guī)則”選項(xiàng)卡中依次單擊“添加/下一步”按鈕，默認(rèn)點(diǎn)選“此規(guī)則不指定隧道”并單擊“下一步”按鈕；點(diǎn)選“所有網(wǎng)絡(luò)連接”以保證所有的計(jì)算機(jī)都PING不通該主機(jī)，單擊“下一步”按鈕。在“IP篩選器列表”框中點(diǎn)選“禁止PING”，單擊“下一步”按鈕；在“篩選器操作”列表框中點(diǎn)選“阻止所有連接”，依次單擊“下一步”按鈕；取消“編輯屬性”選項(xiàng)并單擊“完成”按鈕結(jié)束配置，如圖所示。

4，指派IP安全策略

安全策略創(chuàng)建完畢后并不能馬上生效，還需通過“指派”使其發(fā)揮作用。右鍵單擊“本地安全設(shè)置”窗口右窗格的“禁止PING主機(jī)”策略，執(zhí)行“指派”命令即可啟用該策略，如圖所示。

經(jīng)過這樣的一番設(shè)置，這臺(tái)服務(wù)器已經(jīng)具備了拒絕其它任何計(jì)算機(jī)Ping自己IP地址的能力了，不過在網(wǎng)站所在的服務(wù)器上面Ping還是可以Ping通的。

二、接下來再講一下，LINUX操作系統(tǒng)下怎么設(shè)置IP策略拒絕用戶Ping

首先登陸root賬戶進(jìn)入Linux系統(tǒng)的服務(wù)器。然后編輯文件icmp_echo_ignore_all vi /proc/sys/net/ipv4/icmp_echo_ignore_all 

將其值改為1后為禁止PING 

將其值改為0后為解除禁止PING 

直接修改會(huì)提示錯(cuò)誤: 

WARNING: The file has been changed since reading it!!! 

Do you really want to write to it (y/n)?y 

"icmp_echo_ignore_all" E667: Fsync failed 

Hit ENTER or type command to continue 

這是因?yàn)?proc/sys/net/ipv4/icmp_echo_ignore_all 

這個(gè)不是真實(shí)的文件 

如果想修改他的數(shù)值可以echo 0 或 1到這個(gè)文件 （即echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all ）。要是想永久更改可以加一行 net.ipv4.icmp_echo_ignore_all=1

到配置文件/etc/sysctl.conf里面。

本文鏈接：http://m.51huadong.com/servernews/11001341.html