没有合适的资源?快使用搜索试试~ 我知道了~
防火墙禁Ping设置.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 25 浏览量
2022-01-05
00:37:26
上传
评论
收藏 17KB PDF 举报
温馨提示
试读
6页
防火墙禁Ping设置.pdf
资源推荐
资源详情
资源评论
ICMP 协议有一个特点 --- 它是无连结的,也就是说只要发送端完成 ICMP 报文的封装并传
递给路由器,这个报文将会象邮包一样自己去寻找目的地址,这个特点使得 ICMP 协议非
常灵活快捷,但是同时也带来一个致命的缺陷 --- 易伪造(邮包上的寄信人地址是可以随便
写的),任何人都可以伪造一个 ICMP 报文并发送出去,伪造者可以利用 SOCK_RAW 编
程直接改写报文的 ICMP 首部和 IP 首部,这样的报文携带的源地址是伪造的,在目的端根
本无法追查,(攻击者不怕被抓那还不有恃无恐?)根据这个原理,外面出现了不少基于 I
CMP 的攻击软件,有通过网络架构缺陷制造 ICMP 风暴的,有使用非常大的报文堵塞网络
的,有利用 ICMP 碎片攻击消耗服务器 CPU 的,甚至如果将 ICMP 协议用来进行通讯,可
以制作出不需要任何 TCP/UDP 端口的木马(参见《揭开木马的神秘面纱三》) ...... 既然 I
CMP 协议这么危险,我们为什么不关掉它呢?
我们都知道, Win2000 在网络属性中自带了一个 TCP/IP 过滤器,我们来看看能不能
通过这里关掉 ICMP 协议,桌面上右击网上邻居 -> 属性 -> 右击你要配置的网卡 -> 属性 ->T
CP/IP-> 高级 -> 选项 ->TCP/IP 过滤,这里有三个过滤器,分别为: TCP 端口、 UDP 端口
和 IP 协议,我们先允许 TCP/IP 过滤,然后一个一个来配置,先是 TCP 端口,点击 "只允
许" ,然后在下面加上你需要开的端口,一般来说 WEB 服务器只需要开 80(www) ,FTP
服务器需要开 20(FTP Data) ,21(FTP Control) ,邮件服务器可能需要打开 25(SMTP),
110(POP3) ,以此类推 ...... 接着是 UDP ,UDP 协议和 ICMP 协议一样是基于无连结的,
一样容易伪造,所以如果不是必要(例如要从 UDP 提供 DNS 服务之类)应该选择全部不
允许,避免受到洪水( Flood )或碎片( Fragment )攻击。最右边的一个编辑框是定义 I
P 协议过滤的, 我们选择只允许 TCP 协议通过, 添加一个 6(6 是 TCP 在 IP 协议中的代码,
IPPROTO_TCP=6 ),从道理上来说, 只允许 TCP 协议通过时无论 UDP 还是 ICMP 都不应
该能通过,可惜的是这里的 IP 协议过滤指的是狭义的 IP 协议,从架构上来说虽然 ICMP
协议和 IGMP 协议都是 IP 协议的附属协议,但是从网络 7 层结构上 ICMP/IGMP 协议与 I
P 协议同属一层,所以微软在这里的 IP 协议过滤是不包括 ICMP 协议的,也就是说即使你
设置了 “只允许 TCP 协议通过 ”,ICMP 报文仍然可以正常通过, 所以如果我们要过滤 ICMP
协议还需要另想办法。
资源评论
普通网友
- 粉丝: 4
- 资源: 10万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功