默認(rèn)情況下,，所有Internet控制消息協(xié)議(ICMP)選項均被禁用,。如果啟用ICMP選項，您的網(wǎng)絡(luò)將在 Internet 中是可視的,，因而易于受到攻擊,。

如果要啟用ICMP，必須以管理員或Administrators 組成員身份登錄計算機,，右擊“網(wǎng)上鄰居”,，在彈出的快捷菜單中選擇“屬性”即打開了“網(wǎng)絡(luò)連接”，選定已啟用Internet連接防火墻的連接,，打開其屬性窗口,，并切換到“高級”選項頁,，點擊下方的“設(shè)置”，這樣就出現(xiàn)了“高級設(shè)置”對話窗口,，在“ICMP”選項卡上,，勾選希望您的計算機響應(yīng)的請求信息類型，旁邊的復(fù)選框即表啟用此類型請求,，如要禁用請清除相應(yīng)請求信息類型即可,。

一、用網(wǎng)絡(luò)防火墻阻隔Ping

使用防火墻來阻隔Ping是最簡單有效的方法,，現(xiàn)在基本上所有的防火墻在默認(rèn)情況下都啟用了ICMP過濾的功能,。

二、啟用 IP安全策略防Ping

IP安全機制(IP Security)即IPSec 策略,，用來配置 IPSec 安全服務(wù),。這些策略可為多數(shù)現(xiàn)有網(wǎng)絡(luò)中的多數(shù)通信類型提供各種級別的保護。您可配置 IPSec 策略以滿足計算機,、應(yīng)用程序,、組織單位、域,、站點或全局企業(yè)的安全需要,。可使用 Windows XP 中提供的“IP 安全策略”管理單元來為 Active Directory 中的計算機(對于域成員)或本地計算機(對于不屬于域的計算機)定義 IPSec 策略,。

在此以 WINDOWS XP為例,，通過“控制面板”—“管理工具”來打開“本地安全策略”，選擇IP安全策略,，在這里,，我們可以定義自己的IP安全策略。一個IP安全過濾器由兩個部分組成：過濾策略和過濾操作,。要新建IP安全過濾器,，必須新建自己的過濾策略和過濾操作，右擊窗口左側(cè)的“IP安全策略,，在本地機器”,，在彈出的快捷菜單中選擇“創(chuàng)建IP安全策略”，單擊“下一步”,，然后輸入策略名稱和策略描述,。單擊“下一步”，選中“激活默認(rèn)響應(yīng)規(guī)則”復(fù)選項,，單擊“下一步”,。開始設(shè)置響應(yīng)規(guī)則身份驗證方式，選中“此字符串用來保護密鑰交換(預(yù)共享密鑰)”選項，然后隨便輸入一些字符(后面還會用到這些字符的),，單擊“下一步”,，就會提示已完成IP安全策略，確認(rèn)選中了“編輯屬性”復(fù)選框,，單擊“完成”按鈕,，會打開其屬性對話框。

接下來就要進行此新建安全策略的配置,。在“Goodbye Ping 屬性”對話窗口的“規(guī)則”選項頁中單擊“添加”按鈕,，并在打開安全規(guī)則向?qū)е袉螕?#8220;下一步”進行隧道終結(jié)設(shè)置，在這里選擇“此規(guī)則不指定隧道”,。單擊“下一步”,，并選擇“所有網(wǎng)絡(luò)連接”以保證所有的計算機都Ping不通。單擊“下一步”,，設(shè)置身份驗證方式,，與上面一樣選擇第三個選項“此字符串用來保護密鑰交換(預(yù)共享密鑰)”并填入與剛才上面相同的內(nèi)容。單擊“下一步”即打開“IP篩選器列表”窗口,，在“IP篩選器列表”中選擇“新IP篩選器列表”,，單擊右側(cè)的“編輯”，在出現(xiàn)的窗口中點擊“添加”,，單擊“下一步”,，設(shè)置“源地址”為“我的IP地址”，單擊“下一步”,，設(shè)置“目標(biāo)地址”為“任何IP地址”,，單擊“下一步”，選擇協(xié)議類型為ICMP,，單擊“完成”后再點“確定”返回,，單擊“下一步”，選擇篩選器操作為“要求安全”選項,，然后依次點擊“下一步”、“完成”,、“確定”,、“關(guān)閉”按鈕保存相關(guān)的設(shè)置返回管理控制臺。

最后在“本地安全設(shè)置”中右擊配置好的“Goodbye Ping”策略,，在彈出的快捷菜單中選擇“指派”命令使配置生效,。

經(jīng)過上面的設(shè)置，當(dāng)其他計算機再Ping該計算機時,，就不再Ping通了,。但如果自己Ping本地計算機，仍可Ping通。在Windows 2000中操作基相同,。

三,、修改TTL值防 Ping

許多入侵者喜歡用TTL值來判斷操作系統(tǒng)，他們首先會Ping一下你的機子,，如看到TTL值為128就認(rèn)為你的系統(tǒng)為Windows NT/2000,，如果TTL值為32則認(rèn)為目標(biāo)主機操作系統(tǒng)為Windows 95/98，如果為TTL值為255/64就認(rèn)為是UNIX/Linux操作系統(tǒng),。既然入侵者相信TTL值所反應(yīng)出來的結(jié)果,，那么我們不妨修改TTL值來欺騙入侵者，達到保護系統(tǒng)的目的,。方法如下：

打開Windows自帶的“記事本”程序,，編寫如下所示的批處理命令：

@echo REGEDIT4>>ChangeTTL.reg

@echo.>>ChangeTTL.reg

@echo [HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters]>>ChangeTTL.reg

@echo DefaultTTL=dword:000000ff>>ChangeTTL.reg

@REGEDIT /S /C ChangeTTL.reg

另存為以.bat為擴展名的批處理文件，點擊這個文件,，你的操作系統(tǒng)的缺省TTL值就會被修改為ff,，即十進制的255，即把你的操作系統(tǒng)人為地改為UNIX系統(tǒng)了!

DefaultTTL=dword:000000ff是用來設(shè)置系統(tǒng)缺省TTL值的,，如果你想將自己的操作系統(tǒng)的TTL值改為其它操作系統(tǒng)的ICMP回顯應(yīng)答值,，請改變DefaultTTL的鍵值，要注意它的鍵值為16進制,。

如何禁止別人ping自己的主機

我的電腦-控制面板-管理工具-本地安全策略-ip安全策略

共有四個步驟：

1,。建立禁ping 規(guī)則

2。建立禁止/允許規(guī)則

3,。把這兩個規(guī)則聯(lián)系在一起

4,。指派

詳細(xì)：

1。右擊ip安全策略-管理ip篩選器表和篩選器操作-ip篩選器列表-添加：名稱：ping;描述：ping;(勾選“使用添加向?qū)?#8221;),---添加-下一步：指定源/目的ip ,協(xié)議類型(icmp),下一步直至完成,，關(guān)閉此對話框,。

2。管理ip篩選器表和篩選器操作-管理篩選器操作-添加 (勾選“使用添加向?qū)?#8221;)-下一步：名稱：refuse;描述:refuse--下一步：阻止-下一步直至完成,。

3,。右擊ip安全策略-創(chuàng)建ip安全策略-下一步：名稱：禁止ping;--下一步：取消激活默認(rèn)響應(yīng)規(guī)則-下一步：選中選中“編輯屬性“-完成。然后再 “禁止ping屬性“上- 添加(勾選“使用添加向?qū)?#8221;)-下一步直至“身份驗證方法”;選第三項,，輸入共享字串-下一步：在ip篩選器列表里選“ping--下一步：選 “refuse-下一步到完成,。

這是你在“本地安全設(shè)置“右側(cè)會看到“禁止ping“這條規(guī)則，但是現(xiàn)在他還沒有起作用,。

4,。右擊“禁止ping“--指派。

這回一條禁止別人ping自己的機器的ip策略完成了,。

趕快找個機器試試,，自己的機器不行,。會提示：請求超時(timeout)。