Ｐｉｎｇ命令的使用與設防

摘要：Ping命令在檢測網絡的連通情況、分析網絡速度等方面給網絡維護人員帶來較大的方便，但Ping命令的開通也給計算機使用帶來安全隱患，通過創建和指派IP安全策略，可以拒絕其他任何機器Ping自己IP地址，從而在不消耗內存的基礎上解除Ping的威脅。

關鍵詞：Ping命令；安全策略；IP地址

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)11-20232-01

1 引言

隨著互聯網使用人數的增多，用戶對網絡知識認知程度也在不斷地提高，很多人在享受互聯網給人們帶來的好處的同時，也在遭遇很多麻煩。Ping命令是Windows下的常用命令，它功能強大，為網絡測試提供很多方便，但同時也帶來很多安全隱患。

2 Ping命令的功能與應用

只要安裝了TCP/IP協議，就可以使用Ping命令。其格式如下：

ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [-j computer-list]|[-k computer-list] [-w timeout]

ping命令功能很多，人們通常用它來檢測網絡的連通情況和分析網絡速度；解析對方計算機名；初步判斷對方計算機使用的操作系統等；這里就不逐一解釋了。

在此介紹“Ping -t”命令，它可以不停的Ping地方主機，直到你按下\"Control-C\"為止。通過Ping在一個時段內連續向計算機發出大量請求使得計算機的CPU占用率居高不下達到100%而系統死機甚至崩潰。

3 Ping命令的設防

3.1 創建IP安全策略

①依次單擊“開始→控制面板→管理工具→本地安全策略”，打開“本地安全設置”，右擊該對話框左側的“IP安全策略”，在本地計算機“選項”，執行“創建IP安全策略”命令。

②在出現的“默認響應規則身份驗證方法”對話框中選中“此字符串用來保護密鑰交換（預共享密鑰）”選項，然后在下面的文字框中任意鍵入一段字符串。（如“禁止 Ping”）。

③完成了IP安全策略的創建工作后在“IP篩選器列表”窗口中單擊“添加”按鈕，此時將會彈出“IP篩選器向導”窗口，單擊“下一步”，此時將會彈出“IP通信源”頁面，在該頁面中設置“源地址”為“我的IP地址”，“目標地址”為“任何IP地址”，任何IP地址的計算機都不能Ping你的機器。

在“篩選器屬性”中可封閉端口。比如封閉TCP協議的135端口：在“選擇協議類型”的下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，點擊“確定”按鈕，這樣就添加了一個屏蔽 TCP 135（RPC）端口的篩選器，它可以防止外界通過135端口連上你的電腦。重復可封閉TCP、UDP等自己認為需要封閉的端口。

④依次單擊“下一步”→“完成”，此時，將會在“IP篩選器列表”看到剛剛創建的篩選器，將其選中后單擊“下一步”，在出現的“篩選器操作”頁面中設置篩選器操作為“需要安全”選項。

3.2 指派IP安全策略

安全策略創建完畢后并不能馬上生效，還需通過“指派”功能令其發揮作用。方法是：在“控制臺根節點”中右擊“新的IP安全策略”項，然后在彈出的右鍵菜單中執行“指派”命令，即可啟用該策略。

至此，這臺主機已經具備了拒絕其他任何機器Ping自己IP地址的功能，不過在本地仍然能夠Ping通自己。經過這樣的設置之后，所有用戶（包括管理員）都不能在其他機器上對此服務器進行Ping操作。從此再也不用擔心被Ping威脅。如果再把一些黑客工具、木馬常探尋的端口封閉那系統就更加固若金湯了。

4 結束語

其實防Ping命令，安裝和設置防火墻也可以解決，但防火墻并不是每一臺電腦都會安裝，要考慮資源占用還有設置技巧。如果安裝了防火墻但沒有去修改、添加IP規則那一樣不起作用。有些配置不是很高，為免再給防火墻占用資源用手工在自己系統中設置安全略是一個上上的辦法。

參考文獻：

[1] ping的作用.http://windows.chinaitlab.com/network/1648.html，2002-8-6.

[2] James Stanger.安全專家全息教程[M].電子工業出版社，2003.

[3] 石志國.計算機網絡安全[M].清華大學出版社，2006.

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文