服务器主机IP禁ping 之 Windows平台

rgr3255

一、原理：
ping的原理
举例：局域网IP：主机A：192.168.3.49（win7）  服务器B：192.168.3.90（win03）
A、B在同一局域网：

主机A去ping服务器B，主机A先封装二层报文，先检查自己的MAC地址表，如果没有B的MAC地址，就会向我的局域网中发送一个ARP广播包；
交换机接收到这个报文后，依据 交换机学习MAC地址的功能，交换机检索是否保存了服务器B的MAC地址，如果有，则返回给A；没有，则向所有端口发送ARP广播，查找局域网中是否有对应的主机，直至服务器B收到报文后，立即响应MAC地址，同时通过交换机交换到A的MAC地址，并按照同样的报文格式返回给主机A。
若A、C不在同一网关
服务器C: 192.168.1.5
主机A去ping服务器C，发现两者不在同一网段，主机A先找网关转发，先发送ARP广播，当学到网关的MAC，再发封装ICMP报文给网关路由器，当路由器收到主机A发送过来的ICMP报文，查路由表得到3网段的路由表项，得到一个出口指针，去掉原来的MAC头部，加上自己的MAC地址，向服务器C转发，最后，服务器C学到路由器2端口MAC，路由器2端口转发给路由器1，就将ICMP的回显请求回复过来。

注：ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。


二、具体实施
实施方式：设置ICMP过滤器，防止ICMP攻击

1. 打开“控制面板——性能管理——管理工具。

2. 双击“本地安全策略”，打开“本地安全设置”窗口。
  
3. 在“本地安全设置”窗口中，右键单击“IP安全策略，在本地机器”选“管理IP筛选
器和IP筛选器操作”，在“管理IP筛选器和IP筛选器操作”列表中添加一个新的过滤
规则，名称输入“防止ICMP攻击”，然后按“添加”按钮，在“寻址”页中设置地址，在源地址选“任何IP地址”，目标地址选“我的IP地址”，在“协议”页设置协议类型为“ICMP”，设置完毕。




4. 在“管理筛选器操作”中，取消选中“使用添加向导”，单击“添加”按钮，在“常规”

页中输入名称为“Deny操作”；在“安全措施”页中设置为“阻止”。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。

5. 点击“IP安全策略，在本地机器”，选择“创建IP安全策略——下一步——输入名称为ICMP过滤器”，通过增加过滤规则向导，把刚刚定义的“防止ICMP攻击”过滤策略指
定给ICMP过滤器，然后选择刚刚定义“Deny的操作”。





6. 最后启用设定好的安全策略，即“指派”策略经过这样的设置后，我们就完成了一个关注所有进入系统的ICMP报文的过滤策略和丢弃所有报文的过滤操作，从而阻挡攻击者使用ICMP报文进行攻击。