如何阻止ICMP

现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用，只要选中“防御ICMP攻击”、“防止别人用ping命令探测”就可以了。

还可以利用TCP/IP筛选和组策略：

第一步：打开在电脑的桌面，右键点击“网上邻居→属性→本地连接→属性→Internet协议（TCP/IP）→属性→高级→选项-TCP/IP筛选-属性”。

第二步：“TCP/IP筛选”窗口中，点击选中“启用TCP/IP筛选（所有适配器）”。然后分别在“TCP端口、UDP端口和IP协议”的添加框上，点击“只允许”，后按添加按钮，然后在跳出的对话框输入端口，通常我们用来上网的端口是：80、8080，而邮件服务器的端口是：25、110，FTP的端口是20、21，同样将UDP端口和IP协议相关进行添加。

第三步：打开“控制面板→管理工具→本地安全策略”，然后右击“IP安全策略，在本地机器”选“管理IP筛选器和IP筛选器操作”，在管理IP筛选器和 IP筛选器操作列表中添加一个新的过滤规则，名称输入“防止ICMP攻击”，然后按添加，在源地址选任何IP地址，目标地址选我的IP地址，协议类型为 ICMP，设置完毕。

第四步：在“管理筛选器操作”，取消选中“使用添加向导”，添加，在常规中输入名字“Deny的操作”，安全措施为“阻止”。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。

第五步：点击“IP安全策略，在本地机器”，选择“创建IP安全策略-下一步-输入名称为ICMP过滤器”，通过增加过滤规则向导，把刚刚定义的“防止 ICMP攻击”过滤策略指定给ICMP过滤器，然后选择刚刚定义“Deny的操作”，然后右击“防止ICMP攻击”并启用。

至于IGMP攻击，最好把系统升级到XP。此外还有一个办法：用DEBUG或者可以编辑16进制的软件，打开文件VIP.386，找16进制代码 6A 02 E8 找到把 02 改成F2就可以。 原理是那儿代码是安装IGMP协议的（那02就是IP协议里面的IGMP，01是ICMP，06是TCP，11是UDP），改成F2就是协议类型安装成了F2，那样02 就不是解释成IGMP协议了，其实这样大致就是把IGMP协议关了，因为单机根本就可以不要IGMP协议的，所以没什么影响

ICMP是完成IP层主要控制功能的辅助协议，它可弥补IP在网络控制方面的不足；而端口通信则是由集成到操作系统内核中的TCP/IP协议，通过软件形式与任何一台具有类似接口计算机进行通信的方式。一台安装有防病毒、网络防火墙的个人电脑，如果还频频受到来自网络上的攻击，除了没有经常更新相应病毒库和网墙数据库，其症结一般都出自操作系统中诸多可随意被打开但并不常用的端口。为了避免恶意者通过网络对你的计算机进行扫描和进一步的入侵动作，关闭ICMP协议及多余的端口是简单并切实有效的解决方法，足以应付大多数恶作剧式的网络攻击。其中后者不仅可以通过Win2000及以上操作系统内部设置进行调整，更能够依靠相应网络防火墙进行关闭工作。

关闭ICMP协议的步骤如下：开始→设置→控制面板→管理工具→本地安全策略→右击“IP安全策略在本地计算机”→管理IP筛选器表和筛选器操作→所有ICMP通讯量→添加→起任意名称后点击“添加”→下一步→任何IP地址→下一步→我的IP地址→协议类型选择“ICMP”→完成。

而要关闭非信任主机对135、TCP4444、UDP69等计算机端口的访问，则有两种方法：其一是通过“管理IP筛选器表和筛选器操作”→添加→起任意名称后点击“添加”→下一步→任何IP地址→下一步→我的IP地址→协议类型选择“TCP”→“从任意端口”到“此端口”并填入相应端口号→完成，这样就成功对一个端口进行了封堵，重复上述步骤即可对其它端口进行相关设置；

另一种方法则是利用目前多数网络防火墙提供的规则设置，对端口号、各IP地址、协议类型、传输方向等选项进行一一添加或更改，同样能够达到封阻可疑端口的目的。

此外，通过关闭DCOM协议也能达到预防部分蠕虫病毒的效能，只是由于禁用该协议会截断一切本地计算机与网络上其余计算机相同对象间的通信，因此运用起来具有一定的风险。预防胜于治疗，良好的用机及上网习惯仍旧是杜绝黑客程序感染的最好方法，毕竟砖石结构的城堡是最容易由内部被攻破的

如果你不想关掉ICMP ，建议你安装一个防火墙，比如下面这款：BitDefender，Jetico Personal Firewall，等等，都能抵御洪水攻击

ICMP攻击的方式就只有一种，通过不断ping，用ICMP包来阻塞对象网络。

详解如下：

Ping 风暴通过发包试图使网络超负荷,从而减缓或阻塞网络中的合法的数据传输.向目标主机连续地发送一系列的 ICMP Echo Requests , 而目标主机回答 ICMP Echo Reply. 这种持续的请求和应答使得网络速度缓慢,并导致合法传输的速度大大降低,甚至失去连接.

这种攻击在早期比较多，目前已经很少了，属于很低级的攻击。

防范方法也很简单，增加防火墙，如电信的DNS，你可以ping一下，它是允许ping的，但是不允许大包ping，或者是设置成某一IP长期ping，ping包总数超过多少就会拒绝此用户的数据包。

希望能对你有所帮助

---