利用Win2000自身設置防ICMP***及拒絕服務

時間 2020-01-29

標籤利用 win2000 win 自身設置 icmp 拒絕服務简体版

原文原文鏈接

解決：

ICMP的全名是Internet Control and Message Protocal即因特網控制消息/錯誤報文協議，它工做在網絡層，是IP上通訊協議的一種，主要用途是報告網絡上主機和設備之間的錯誤和狀態消息。最多見的ICMP應用是ICMP迴應請求，也就是咱們所說的PING。這裏咱們要詳細討論預防ICMP***，因此想知道ICMP自己更多信息能夠參見RFC 792，這裏就再也不多說了。

下面咱們切入正題，防止ICMP***的最好的辦法就是關掉ICMP，在這裏，推薦使用「路由與遠程訪問」和「IP Security過濾器」，而不是使用TCP/IP的高級設置，這是由於即使你在TCP/IP高級設置的界面中已經指定過了，ICMP也不會被真正的阻塞。在這裏你能夠試一下，你設定了只容許TCP協議經過（也就是不容許UDP和ICMP經過）時，ICMP報文仍然能夠正常經過。

「IP Security過濾器」的設置比較複雜，而「路由與遠程訪問」服務設置相對簡單一些，默認狀況下「路由與遠程訪問」服務是沒有啓動的，所以首先要啓動它，點擊「管理工具」中的「路由與遠程訪問」，啓動設置嚮導。在其中選擇「手動配置服務器」項，擊[下一步]按鈕。系統提示「路由和遠程訪問服務現已安裝。

開始服務嗎？」，點擊[是]啓動服務。服務啓動後，在計算機名稱的分支下會出現一個「IP路由選擇」，點擊它展開分支，再點擊「常規」，會在右邊出現服務器中的網絡鏈接（即網卡）。用雙擊你要配置的網絡鏈接，在彈出的菜單中點擊「屬性」，會彈出一個網絡鏈接屬性的窗口，上面有兩個按鈕，一個是「輸入篩選器」（指對此服務器接受的數據包進行篩選），另外一個是「輸出篩選器」（指對此服務器發送的數據包進行篩選），這裏應該點擊「輸入篩選器」按鈕，會彈出一個「添加篩選器」窗口，再點擊添加，表示要增長一個篩選條件。在「協議」右邊的下拉列表中選擇「ICMP」，在隨後出現的「ICMP類型」和「ICMP編碼」中均輸入「255」（255表明全部的ICMP類型及其編碼），點擊肯定返回「輸入篩選器」窗口，此時會發現「篩選器」列表中多了一項。一路肯定，篩選器就生效了，從其餘計算機上Ping這臺主機就PING不通了。

因爲ICMP的多種***方式可以實現地址欺騙，拒絕服務、穿透防火牆、反跟蹤等衆多效果，所以鏈接到互聯網上的用戶有必要關閉ICMP以防止ICMP***。

針對拒絕服務，邊界路由器是一個十分有效的辦法，可是咱們這裏着重看看2000自身的一些對策。目前的拒絕服務主要分爲兩種，拒絕服務***（DoS），以及分佈式拒絕服務***(DDoS）。因爲DDoS***所須要的資源機器很是的多，所以並很少見，主要是常常和一些蠕蟲病毒配合出現，並且一出現，都是面對的「大個的目標」，所以對於咱們這些普通的網絡用戶並很少見，而那些在咱們周圍的網絡用戶的身上出現的都是普通的拒絕服務***，是徹底能夠經過2000的自身設置來減輕或避免的。

首先，2000系統須要及時的安裝補丁。由於，不少拒絕服務***是系統存在漏洞形成的。打上補丁就不會給別人拒絕服務的機會，這裏須要強調的一點，就是在局域網的內部的機器也必須及時的安裝補丁，這是由於面對LAN的拒絕服務***中，不少與NETBIOS有關，NETBIOS服務是WINDOWS內部網絡的基石，並且無須認證，所以很不可靠。

其次，能夠經過配置TCP/IP參數下降DOS的***風險。

註冊表位置

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip

\Parameters]

鍵值推薦設置

"SynAttackProtect" 2

"TcpMaxHalfOpen" 100

"TcpMaxHalfOpenRetried" 80

"TCPMaxPortsExhausted" 1

"TcpMaxDataRetransmissions" 3

"TcpMaxConnectResponseRetransmissions" 2

"EnableDeadGWDetect" 0