《win2000如何预防ping攻击》由会员分享,可在线阅读,更多相关《win2000如何预防ping攻击(2页珍藏版)》请在金锄头文库上搜索。
1、Win2000 如何预防 Ping 攻击 本帖版权归原作者,其它媒体或网站转载请与 e 龙西祠胡同 http:/或原作者联系,并注明出处。 作者: shotgun 发表日期: 2001-05-07 08:49:24 返回黑客也是侠 快速返 回 在 Win2000 中如何关闭 ICMP(Ping) ICMP 的全名是 Internet Control and Message Protocal 即因特网控制消息/ 错误报文协议,这个协议主要是用来进行错误信息和控制信息的传递,例如著 名的 Ping 和 Tracert 工具都是利用 ICMP 协议中的 ECHO request 报文进行的 (请求报
2、文 ICMP ECHO 类型 8 代码 0,应答报文 ICMP ECHOREPLY 类型 0 代码 0)。 ICMP 协议有一个特点-它是无连结的,也就是说只要发送端完成 ICMP 报文的 封装并传递给路由器,这个报文将会象邮包一样自己去寻找目的地址,这个特 点使得 ICMP 协议非常灵活快捷,但是同时也带来一个致命的缺陷-易伪造 (邮包上的寄信人地址是可以随便写的),任何人都可以伪造一个 ICMP 报文并 发送出去,伪造者可以利用 SOCK_RAW 编程直接改写报文的 ICMP 首部和 IP 首部, 这样的报文携带的源地址是伪造的,在目的端根本无法追查,(攻击者不怕被 抓那还不有恃无恐?)根
3、据这个原理,外面出现了不少基于 ICMP 的攻击软件, 有通过网络架构缺陷制造 ICMP 风暴的,有使用非常大的报文堵塞网络的,有利 用 ICMP 碎片攻击消耗服务器 CPU 的,甚至如果将 ICMP 协议用来进行通讯,可 以制作出不需要任何 TCP/UDP 端口的木马(参见揭开木马的神秘面纱三). .既然 ICMP 协议这么危险,我们为什么不关掉它呢? 我们都知道,Win2000 在网络属性中自带了一个 TCP/IP 过滤器,我们来看看能 不能通过这里关掉 ICMP 协议,桌面上右击网上邻居-属性-右击你要配置的网 卡-属性-TCP/IP-高级-选项-TCP/IP 过滤,这里有三个过滤器,分
4、别为: TCP 端口、UDP 端口和 IP 协议,我们先允许 TCP/IP 过滤,然后一个一个来配置, 先是 TCP 端口,点击“只允许“,然后在下面加上你需要开的端口,一般来说 WEB 服务器只需要开 80(www),FTP 服务器需要开 20(FTP Data),21(FTP Control),邮件服务器可能需要打开 25(SMTP),110(POP3),以此类推.接 着是 UDP,UDP 协议和 ICMP 协议一样是基于无连结的,一样容易伪造,所以如 果不是必要(例如要从 UDP 提供 DNS 服务之类)应该选择全部不允许,避免受 到洪水(Flood)或碎片(Fragment)攻击。最右
5、边的一个编辑框是定义 IP 协 议过滤的,我们选择只允许 TCP 协议通过,添加一个 6(6 是 TCP 在 IP 协议中 的代码,IPPROTO_TCP=6),从道理上来说,只允许 TCP 协议通过时无论 UDP 还 是 ICMP 都不应该能通过,可惜的是这里的 IP 协议过滤指的是狭义的 IP 协议, 从架构上来说虽然 ICMP 协议和 IGMP 协议都是 IP 协议的附属协议,但是从网络 7 层结构上 ICMP/IGMP 协议与 IP 协议同属一层,所以微软在这里的 IP 协议过 滤是不包括 ICMP 协议的,也就是说即使你设置了“只允许 TCP 协议通过”, ICMP 报文仍然可以正常
6、通过,所以如果我们要过滤 ICMP 协议还需要另想办法。刚刚在我们进行 TCP/IP 过滤时,还有另外一个选项:IP 安全机制(IP Security),我们过滤 ICMP 的想法就要着落在它身上。 打开本地安全策略,选择 IP 安全策略,在这里我们可以定义自己的 IP 安全策略。 一个 IP 安全过滤器由两个部分组成:过滤策略和过滤作,过滤策略决定哪些报 文应当引起过滤器的关注,过滤作决定过滤器是“允许”还是“拒绝”报文的 通过。要新建 IP 安全过滤器,必须新建自己的过滤策略和过滤作:右击本机的 IP 安全策略,选择管理 IP 过滤器,在 IP 过滤器管理列表中建立一个新的过滤 规则:IC
7、MP_ANY_IN,源地址选任意 IP,目标地址选本机,协议类型是 ICMP, 切换到管理过滤器作,增加一个名为 Deny 的作,作类型为“阻止“(Block)。 这样我们就有了一个关注所有进入 ICMP 报文的过滤策略和丢弃所有报文的过滤 作了。需要注意的是,在地址选项中有一个镜像选择,如果选中镜像,那么将 会建立一个对称的过滤策略,也就是说当你关注 any IP-my IP 的时候,由于 镜像的作用,实际上你也同时关注了 my IP-any IP,你可以根据自己的需要 选择或者放弃镜像。 再次右击本机的 IP 安全策略,选择新建 IP 过滤策略,建立一个名称为 ICMP Filter 的过
8、滤器,通过增加过滤规则向导,我们把刚刚定义的 ICMP_ANY_IN 过 滤策略指定给 ICMP Filter,然后在作选框中选择我们刚刚定义的 Deny 作,退 出向导窗口,右击 ICMP Filter 并启用它,现在任何地址进入的 ICMP 报文都会 被丢弃了。 虽然用 IP sec 能够对 ICMP 报文进行过滤,不过作起来太麻烦,而且如果你只 需要过滤特定的 ICMP 报文,还要保留一些常用报文(如主机不可达、网络不可 达等),IP sec 策略就力不从心了,我们可以利用 win2000 的另一个强大工具 路由与远程访问控制(Routing & Remote Access)来完成这些复
9、杂的过滤作。 路由与远程访问控制是 win2000 用来管理路由表、配置 VPN、控制远程访问、 进行 IP 报文过滤的工具,默认情况下并没有安装,所以首先你需要启用它,打 开“管理工具“-“路由与远程访问“,右击服务器(如果没有则需要添加本机) 选择“配置并启用路由及远程访问“,这时配置向导会让你选择是什么样的服务 器,一般来说,如果你不需要配置 VPN 服务器,那么选择“手动配置“就可以了, 配置完成后,主机下将出现一个 IP 路由的选项,在“常规“中选择你想配置的网 卡(如果你有多块网卡,你可以选择关闭某一块的 ICMP),在网卡属性中点击 “输入筛选器“,添加一条过滤策略“from:A
10、NY to:ANY 协议:ICMP 类型:8 : 编码:0 丢弃“就可以了(类型 8 编码 0 就是 Ping 使用的 ICMP_ECHO 报文,如 果要过滤所有的 ICMP 报文只需要将类型和编码都设置为 255) 细心的朋友刚才可能已经发现,在输入、输出过滤器的下面,还有一个“碎片检 查“功能,这个功能使用来应付 IP 碎片攻击的,这已经超出了本文所讨论的范 围,我会在以后的拒绝服务攻击的文章中继续和大家一起探讨的。Win2000 的 路由及远程访问是一个功能非常强大的工具集,如果你好好地研究,一定能发 现更多的功能和技巧,如果你有什么心得体会,也请不吝告诉我,我的 Email 地址是:S
