echo
1
>
/proc/sys/net/ipv4/icmp_echo_ignore_all<br>
想要一开机就禁止ping响应,将上面的语句添加到/etc/rc.d/rc.local即可。<br>
<br>
Windows
2000/XP下:<br>
需要一系列jjww的步骤:<br>
<br>
在黑客入侵寻找对象时,大多都使用Ping命令来检测主机,如果Ping不通,水平差的“黑客”大多就会知难而退。事实上,完全可以造成一种假相,即使我们在线,但对方Ping时也不能相通,这样就能躲避很多攻击。
<br>
<br>
第一步:添加独立管理单元
<br>
<br>
开始-运行,输入:mmc,启动打开“控制台”窗口。再点选“控制台”菜单下的“添加/删除管理单元”,单击“添加”按钮,在弹出的窗口中选择“IP安全策略管理”项,单击“添加”按钮。在打开窗口中选择管理对象为“本地计算机”,单击“完成”按钮,同时关闭“添加/删除管理单元”窗口,返回主控台。
<br>
<br>
第二步:创建IP安全策略
<br>
<br>
右击刚刚添加的“IP安全策略,在本地机器”(图二),选择“创建IP安全策略”,单击“下一步”,然后输入一个策略描述,如“no
Ping”(图三)。单击“下一步”,选中“激活默认响应规则”复选项,单击“下一步”。开始设置身份验证方式,选中“此字符串用来保护密钥交换(预共享密钥)”选项,然后随便输入一些字符(下面还会用到这些字符)(图四)。单击“下一步”,就会提示已完成IP安全策略,确认选中了“编辑属性”复选框,单击“完成”按钮,会打开其属性对话框。
<br>
<br>
第三步:配置安全策略
<br>
<br>
单击“添加”按钮,并在打开安全规则向导中单击“下一步”进行隧道终结设置,在这里选择“此规则不指定隧道”。(图六)单击“下一步”,并选择“所有网络连接”以保证所有的计算机都Ping不通。单击“下一步”,设置身份验证方式,与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)”并填入与刚才相同的内容。单击“下一步”,在打开窗口中单击“添加”按钮,打开“IP筛选器列表”窗口。(图七)单击“添加”,单击“下一步”,设置源地址为“我的IP地址”,单击“下一步”,设置目标地址为“任何IP地址”,单击“下一步”,选择协议为ICMP,现在就可依次单击“完成”和“关闭”按钮返回。此时,可以在IP筛选器列表中看到刚刚创建的筛选器,将其选中之后单击“下一步”,选择筛选器操作为“要求安全设置”选项(图八),然后依次点击“完成”、“关闭”按钮,保存相关的设置返回管理控制台。<br>
<br>
第四步:指派安全策略
<br>
<br>
最后只需在“控制台根节点”中右击配置好的“禁止Ping”策略,选择“指派”命令使配置生效(图九)。经过上面的设置,当其他计算机再Ping该计算机时,就不再相通了。但如果自己Ping本地计算机,仍可相通。此法对于Windows
2000/XP均有效。
方法:禁止被ping通:echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
允许被ping通:echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all
注意:因为 /proc/sys/net/ipv4/icmp_echo_ignore_all 并不是真实文件,不能以vi形式进行更改。
并且上面更改的方式为临时更改,服务器重启又回还原成默认可被ping。
要是想永久更改可在配制文件/etc/sysctl.conf中加一行
net.ipv4.icmp_echo_ignore_all=1
禁止被ping有什么意义?为什么要这样做?
我们一般会认为对方主机能ping通代表着网络是通的。潜意识下为认为ping不通代表网络不通(这当然是错误的啦~)
在黑客入侵寻找对象时,大多都使用Ping命令来检测主机,如果Ping不通,水平差的“黑客”大多就会知难而退。事实上,完全可以造成一种假相,即使我们在线,但对方Ping时也不能相通,这样就能躲避很多攻击。
在/etc下
?A.临时禁止PING的命令为:#echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all? ? ?
???????B.永久允许PING配置方法。
? ? ? ? ? ? ??/etc/sysctl.conf?中增加一行
? ? ? ? ? ?net.ipv4.icmp_echo_ignore_all=0
? ? ? ? ?如果已经有net.ipv4.icmp_echo_ignore_all这一行了,直接修改=号后面的值即可的。(0表示允许,1表示禁止)
? ? ? ? ?修改完成后执行sysctl -p使新配置生效。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)