Cómo evitar los ataques de ping en Win2000

Cómo desactivar ICMP (Ping) en Win2000

El nombre completo de ICMP es Control de mensajes y control de Internet, que es el Protocolo de mensajes de error /Control de Internet. Para la transmisión de información de error e información de control, por ejemplo, las famosas herramientas Ping y Tracert se llevan a cabo utilizando el mensaje de solicitud ECHO en el protocolo ICMP (mensaje de solicitud ICMP ECHO tipo 8 código 0, mensaje de respuesta ICMP ECHOREPLY tipo 0 código 0 ).

El protocolo ICMP tiene una función: no está conectado, lo que significa que mientras el remitente complete la encapsulación del mensaje ICMP y lo pase al enrutador, el mensaje buscará la dirección de destino como un paquete postal. Esta característica hace que el protocolo ICMP sea muy flexible y rápido, pero también trae una falla fatal: fácil de falsificar (la dirección del remitente en el paquete se puede escribir de manera informal), cualquiera puede falsificar un mensaje ICMP y enviarlo. Los falsificadores pueden usar la programación de SOCK_RAW para reescribir directamente el encabezado ICMP y el encabezado IP del mensaje. La dirección de origen transmitida por dicho mensaje está falsificada y no puede rastrearse en el destino (el atacante no teme ser atrapado, ¿no hay miedo?) Este principio, hay una gran cantidad de software de ataque basado en ICMP que aparece fuera, hay defectos en la arquitectura de la red para crear tormentas ICMP, hay mensajes muy grandes que bloquean la red, hay ataques de fragmentación ICMP que utilizan la CPU del servidor, incluso si el protocolo ICMP Utilizado para la comunicación, puede hacer un troyano que no requiera ningún puerto TCP /UDP (consulte "Descubrir el misterio del troyano") ... protocolo ICMP tan peligroso, ¿por qué no le damos la vuelta fuera de él?

Todos sabemos que Win2000 viene con un filtro TCP /IP en las propiedades de la red. A ver si puedo desactivar el protocolo ICMP aquí. Haga clic derecho en el vecino de la red en el escritorio -> Propiedades -> Haga clic derecho en la NIC que desea configurar -> Propiedades -> TCP /IP- > Avanzadas -> Opciones -> Filtrado TCP /IP. Hay tres filtros: Puerto TCP, Puerto UDP e IP. Protocolo, primero permitimos el filtrado TCP /IP y luego configuramos uno por uno, primero el puerto TCP, hacemos clic en "Permitir solo" y luego agregamos el puerto que necesita abrir a continuación. En general, el servidor WEB solo necesita abrir 80 (www). El servidor FTP necesita abrir 20 (Datos FTP), 21 (Control FTP), el servidor de correo puede necesitar abrir 25 (SMTP), 110 (POP3), etc., seguido de UDP, protocolo UDP y protocolo ICMP Se basa en que no hay conexión y es fácil de falsificar, por lo que si no es necesario (por ejemplo, para proporcionar un servicio DNS desde UDP), debe elegir no permitir que evite los ataques de inundación o fragmentación. El cuadro de edición más a la derecha es para definir el filtrado del protocolo IP. Elegimos permitir que solo pase el protocolo TCP, agregar un 6 (6 es el código TCP en el protocolo IP, IPPROTO_TCP = 6). En teoría, solo se permite el paso del protocolo TCP. No importa si UDP o ICMP no deberían pasar, desafortunadamente, el filtrado del protocolo IP aquí se refiere al protocolo IP estrecho. Aunque el protocolo ICMP y el protocolo IGMP son protocolos afiliados del protocolo IP, pero desde la capa de red 7 El protocolo ICMP /IGMP es el mismo nivel que el protocolo IP. Por lo tanto, el filtro del protocolo IP de Microsoft aquí no incluye el protocolo ICMP. Es decir, incluso si configura "Permitir que solo pase el protocolo TCP", los paquetes ICMP pueden pasar normalmente. Entonces, si queremos filtrar el protocolo ICMP, necesitamos encontrar otra forma.

Justo cuando estábamos haciendo el filtrado TCP /IP, había otra opción: Seguridad IP, y nuestra idea de filtrar ICMP estaba en ella.

Abra la política de seguridad local y seleccione la política de seguridad IP. Aquí podemos definir nuestra propia política de seguridad IP.

Un filtro de seguridad IP consta de dos partes: una política de filtrado y una operación de filtrado. La política de filtrado determina qué mensajes deberían causar que el filtro se vea afectado. La operación de filtrado determina si el filtro está "permitido" o "rechazado". El pasaje del texto. Para crear un nuevo filtro de seguridad de IP, debe crear su propia política de filtrado y operación de filtrado: haga clic con el botón derecho en la política de seguridad de IP de la máquina, seleccione Administrar filtro de IP y cree una nueva regla de filtrado en la lista de administración de filtro de IP: ICMP_ANY_IN, dirección de origen Seleccione cualquier IP, la dirección de destino se selecciona como la máquina local, el tipo de protocolo es ICMP, cambie a la operación de filtro de administración, agregue una operación llamada Denegar y el tipo de operación es "Bloquear". De esta manera, tenemos una acción de filtrado que se enfoca en todas las políticas de filtrado que ingresan paquetes ICMP y descarta todos los paquetes. Debe tenerse en cuenta que hay una selección de duplicación en la opción de dirección. Si se selecciona la duplicación, se establecerá una política de filtrado simétrico, es decir, cuando esté preocupado por cualquier IP-> mi IP

Todos en la red saben que Ping, Ping es el comando TCP /IP principal para solucionar problemas de conectividad de red, accesibilidad y resolución de nombres. El uso principal de Ping es detectar si el host de destino es accesible.

Si un pirata informático desea invadir, primero debe bloquear el objetivo. Generalmente, el comando ping se usa para detectar el host, obtener información relevante y luego realizar un análisis de vulnerabilidades. ¿Cómo estar libre de los ataques de otras personas? Esto es para evitar que otros hagan ping a sus propias computadoras, de modo que el ataque no pueda realizarse. El autor presenta cuatro formas comunes de bloquear Ping, para su referencia:

Primero, use la configuración avanzada para evitar Ping.

Por defecto, todas las opciones del Protocolo de mensajes de control de Internet (ICMP) son Desactivado Si la opción ICMP está habilitada, su red estará visible en Internet y será vulnerable a los ataques.

Si desea habilitar ICMP, debe iniciar sesión en la computadora como administrador o miembro del grupo de administradores. Haga clic con el botón derecho en "Mis sitios de red" y seleccione "Propiedades" en el menú de acceso directo que aparece para abrir "Conexión de red". La conexión a Internet del servidor de seguridad está habilitada, se abre la ventana de propiedades y puede cambiar a la pestaña "Avanzado", haga clic en "Configuración" a continuación, y aparecerá el cuadro de diálogo "Configuración avanzada". En la pestaña "ICMP", marque la casilla. Si desea que su computadora responda al tipo de información de solicitud, la casilla de verificación que se encuentra al lado habilitará este tipo de solicitud. Para desactivarla, borre el tipo de solicitud.

Segundo, use el firewall de la red para bloquear Ping.

El uso del firewall para bloquear a Ping es la forma más fácil y efectiva, ahora básicamente, todos los firewalls tienen habilitado el filtrado ICMP de manera predeterminada. Aquí, el Jinshan Net Dart 2003 y el Skynet Firewall 2.50 se utilizan como modelo.

Para los usuarios que usan Jinshan Net Dart 2003, haga clic con el botón derecho en el icono de Jinshan Net Dart 2003 en la bandeja del sistema y seleccione "Custom IP Rule Editor" en "Utilidades" en el menú emergente emergente. ", en la ventana que aparece, seleccione la regla" Defensa de ataque de tipo ICMP ", elimine la regla" Permitir que otros utilicen el comando ping para detectar la máquina "y guarde la aplicación para ejecutar un efecto.

Si está utilizando el Firewall de Skynet, haga clic en "Regla de IP personalizada" en su interfaz principal, desactive la regla "Evitar que otros usen el comando ping" y la regla "Ataque ICMP de defensa". Luego haga clic en "Guardar /Aplicar" para que la regla de IP tenga efecto.