2022年職稱計(jì)算機(jī)：防范被Ping與封閉端口

2022年職稱計(jì)算機(jī)：防范被Ping與封閉端口

Ping命令它可以向你供應(yīng)的地址發(fā)送一個(gè)小的數(shù)據(jù)包，然后偵聽(tīng)這臺(tái)機(jī)器是否有“答復(fù)”。查找現(xiàn)在哪些機(jī)器在網(wǎng)絡(luò)上活動(dòng)。使用Ping入侵即是ICMP入侵，原理是通過(guò)Ping在一個(gè)時(shí)段內(nèi)連續(xù)向計(jì)算機(jī)發(fā)出大量懇求使得計(jì)算機(jī)的CPU占用率居高不下到達(dá)100%而系統(tǒng)死機(jī)甚至崩潰?；诖耍瑢戇@篇IP安全策略防Ping文章以保障自己的系統(tǒng)安全。

其實(shí)防Ping安裝和設(shè)置防火墻也可以解決，但防火墻并不是每一臺(tái)電腦都會(huì)去裝，要考慮資源占用還有設(shè)置技巧。假如你安裝了防火墻但沒(méi)有去修改、添加IP規(guī)章那一樣沒(méi)用。有些配置不是很高為免再給防火墻占用資源用手工在自己系統(tǒng)中設(shè)置安全略是一個(gè)上上的方法。

下面就寫下詳細(xì)創(chuàng)立過(guò)程：

（一）創(chuàng)立IP安全策略

1、依次單擊“開(kāi)頭→掌握面板→治理工具→本地安全策略”，翻開(kāi)“本地安全設(shè)置”，右擊該對(duì)話框左側(cè)的“IP安全策略，在本地計(jì)算機(jī)”選項(xiàng)，執(zhí)行“創(chuàng)立IP安全策略”命令。（之間有些簡(jiǎn)潔的點(diǎn)擊下一步之類的過(guò)程省略不寫）

2、在消失的“默認(rèn)響應(yīng)規(guī)章身份驗(yàn)證方法”對(duì)話框中我們選中“此字符串用來(lái)愛(ài)護(hù)密鑰交換（預(yù)共享密鑰）”選項(xiàng)，然后在下面的文字框中任意鍵入一段字符串。（如“制止Ping”）

3、完成了IP安全策略的創(chuàng)立工作后在“IP篩選器列表”窗口中單擊“添加”按鈕，此時(shí)將會(huì)彈出“IP篩選器向?qū)А贝翱?，我們單擊“下一步”，此時(shí)將會(huì)彈出“IP通信源”頁(yè)面，在該頁(yè)面中設(shè)置“源地址”為“我的IP地址”：“目標(biāo)地址”為“任何IP地址”，任何IP地址的計(jì)算機(jī)都不能Ping你的機(jī)器。

在“篩選器屬性”中可封閉端口。比方封閉TCP協(xié)議的135端口：在“選擇協(xié)議類型”的下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，點(diǎn)擊“確定”按鈕，這樣就添加了一個(gè)屏蔽TCP135（RPC）端口的篩選器，它可以防止外界通過(guò)135端口連上你的電腦。重復(fù)可封閉TCPUDP等自己認(rèn)為需要封閉的端口。這里不一一寫出。

4、依次單擊“下一步”→“完成”，此時(shí)，你將會(huì)在“IP篩選器列表”看到剛剛創(chuàng)立的篩選器，將其選中后單擊“下一步”，我們?cè)谙У摹昂Y選器操作”頁(yè)面中設(shè)置篩選器操作為“需要安全”選項(xiàng)。

（二）指派IP安全策略

安全策略創(chuàng)立完畢后并不能立刻生效，我們還需通過(guò)“指派”功能令其發(fā)揮作用。方法是：在“掌握臺(tái)根節(jié)點(diǎn)”中右擊“新的IP安全策略”項(xiàng)，然后在彈出的右鍵菜單中執(zhí)行“指派”命令，即可啟用該策略。

至此，這臺(tái)主機(jī)已經(jīng)具備了拒絕其他任何機(jī)器Ping自己IP地址的功能，不過(guò)在本地仍舊能夠Ping通自己。經(jīng)過(guò)這樣的設(shè)置之后，全部用戶（包括治理員）都不能在其他機(jī)器上對(duì)此效勞器進(jìn)展Ping操作。從今你再也不用擔(dān)憂被Ping威逼。假如再把一些黑客工具、木馬常探尋的端口封閉那你的系統(tǒng)就更加固若金湯了。

Ping的工作過(guò)程及單向Ping通的緣由

當(dāng)網(wǎng)絡(luò)消失問(wèn)題時(shí)，我們最常用的測(cè)試工具就是“Ping”命令了。但有時(shí)候我們會(huì)遇到單方向Ping通的現(xiàn)象，例如通過(guò)HUB或一根穿插線連接的在同一個(gè)局域網(wǎng)內(nèi)的電腦A、B，在檢查它們之間的網(wǎng)絡(luò)連通性時(shí)，發(fā)覺(jué)從主機(jī)APing主機(jī)B正常而從主機(jī)BPing主機(jī)A時(shí)，消失“超時(shí)無(wú)應(yīng)答”錯(cuò)誤。為什么呢?

要知道這其中的神秘，我們有必要來(lái)看看Ping命令的工作過(guò)程究竟是怎么樣的。

假定主機(jī)A的IP地址是192.168.1.1，主機(jī)B的IP地址是192.168.1.2，都在同一子網(wǎng)內(nèi)，則當(dāng)你在主機(jī)A上運(yùn)行“Ping192.168.1.2”后，都發(fā)生了些什么呢?

首先，Ping命令會(huì)構(gòu)建一個(gè)固定格式的ICMP懇求數(shù)據(jù)包，然后由ICMP協(xié)議將這個(gè)數(shù)據(jù)包連同地址“192.168.1.2”一起交給IP層協(xié)議(和ICMP一樣，實(shí)際上是一組后臺(tái)運(yùn)行的進(jìn)程)，IP層協(xié)議將以地址“192.168.1.2”作為目的地址，本機(jī)IP地址作為源地址，加上一些其他的掌握信息，構(gòu)建一個(gè)IP數(shù)據(jù)包，并在一個(gè)映射表中查找出IP地址192.168.1.2所對(duì)應(yīng)的物理地址(也叫MAC地址，熟識(shí)網(wǎng)卡配置的朋友不會(huì)生疏，這是數(shù)據(jù)鏈路層協(xié)議構(gòu)建數(shù)據(jù)鏈路層的傳輸單元——幀所必需的)，一并交給數(shù)據(jù)鏈路層。后者構(gòu)建一個(gè)數(shù)據(jù)幀，目的地址是IP層傳過(guò)來(lái)的物理地址，源地址則是本機(jī)的物理地址，還要附加上一些掌握信息，依據(jù)以太網(wǎng)的介質(zhì)訪問(wèn)規(guī)章，將它們傳送出去。

主機(jī)B收到這個(gè)數(shù)據(jù)幀后，先檢查它的目的地址，并和本機(jī)的物理地址比照，如符合，則接收;否則丟棄。接收后檢查該數(shù)據(jù)幀，將IP數(shù)據(jù)包從幀中提取出來(lái)，交給本機(jī)的IP層協(xié)議。同樣，IP層檢查后，將有用的信息提取后交給ICMP協(xié)議，后者處理后，立刻構(gòu)建一個(gè)ICMP應(yīng)答包，發(fā)送給主機(jī)A，其過(guò)程和主機(jī)A發(fā)送ICMP懇求包到主機(jī)B一模一樣。

從Ping的工作過(guò)程，我們可以知道，主機(jī)A收到了主機(jī)B的一個(gè)應(yīng)答包，說(shuō)明兩臺(tái)主機(jī)之間的去、回通路均正常。也就是說(shuō)，無(wú)論從主機(jī)A到主機(jī)B，還是從主機(jī)B到主機(jī)A，都是正常的。那么，是什么緣由引起只能單方向Ping通的呢?

一、安裝了個(gè)人防火墻

在共享上網(wǎng)的機(jī)器中，出于安全考慮，大局部作為效勞器的主機(jī)都安裝了個(gè)人防火墻軟件，而其他作為客戶機(jī)的機(jī)器則一般擔(dān)心裝。幾乎全部的個(gè)人防火墻軟件，默認(rèn)狀況下是不允許其他機(jī)器Ping本機(jī)的。一般的做法是將來(lái)自外部的ICMP懇求報(bào)文濾掉，但它卻對(duì)本機(jī)出去的ICMP懇求報(bào)文，以及來(lái)自外部的ICMP應(yīng)答報(bào)文不加任何限制。這樣，從本機(jī)Ping其他機(jī)器時(shí)，假如網(wǎng)絡(luò)正常，就沒(méi)有問(wèn)題。但假如從其他機(jī)器Ping這臺(tái)機(jī)器，即使網(wǎng)絡(luò)一切正常，也會(huì)消失“超時(shí)無(wú)應(yīng)答”的錯(cuò)誤。

大局部的單方向Ping通現(xiàn)象源于此。解決的方法也很簡(jiǎn)潔，依據(jù)你自己所用的不同類型的防火墻，調(diào)整相應(yīng)的設(shè)置即可。

二、錯(cuò)誤設(shè)置IP地址

正常狀況下，一臺(tái)主機(jī)應(yīng)當(dāng)有一個(gè)網(wǎng)卡，一個(gè)IP地址，或多個(gè)網(wǎng)卡，多個(gè)IP地址(這些地址肯定要處于不同的IP子網(wǎng))。但對(duì)于在公共場(chǎng)所使用的電腦，特殊是網(wǎng)吧，人多手雜，其中不泛有“探究者”。曾有一次兩臺(tái)電腦也消失了這種單方向Pi