ICMP協議的定義我們已經了解了。為了能夠應付ICMP協議攻擊，對于ICMP的基礎我們需要掌握一些。通過之前的文章，希望大家能有所收獲。那么今天，我們主要就講解ICMP協議攻擊的主要內容了。

應對ICMP協議攻擊  

雖然ICMP協議給黑客以可乘之機,但是ICMP協議攻擊也并非無藥可醫｡只要在日常網絡管理中未雨綢繆,提前做好準備,就可以有效地避免ICMP協議攻擊造成的損失｡

對于“PingofDeath"攻擊,可以采取兩種方法進行防范:第一種方法是在路由器上對ICMP數據包進行帶寬限制,將ICMP占用的帶寬控制在一定的范圍內,這樣即使有ICMP協議攻擊,它所占用的帶寬也是非常有限的,對整個網絡的影響非常少;第二種方法就是在主機上設置ICMP數據包的處理規則,最好是設定拒絕所有的ICMP數據包｡

設置ICMP數據包處理規則的方法也有兩種,一種是在操作系統上設置包過濾,另一種是在主機上安裝防火墻｡具體設置如下:

[1.在Windows2000Server中設置ICMP過濾]

Windows2000Server提供了“路由與遠程訪問"服務,但是默認情況下是沒有啟動的,因此首先要啟動它:點擊“管理工具"中的“路由與遠程訪問",啟動設置向導｡在其中選擇“手動配置服務器"項,點擊[下一步]按鈕｡稍等片刻后,系統會提示“路由和遠程訪問服務現在已被安裝｡要開始服務嗎?",點擊[是]按鈕啟動服務｡

服務啟動后,在計算機名稱的分支下會出現一個“IP路由選擇",點擊它展開分支,再點擊“常規",會在右邊出現服務器中的網絡連接(即網卡)｡用鼠標右鍵點擊你要配置的網絡連接,在彈出的菜單中點擊“屬性",會彈出一個網絡連接屬性的窗口,如下圖所示｡

ICMP

有兩個按鈕,一個是“輸入篩選器"(指對此服務器接受的數據包進行篩選),另一個是“輸出篩選器"(指對此服務器發送的數據包進行篩選),這里應該點擊[輸入篩選器]按鈕,會彈出一個“添加篩選器"窗口,再點擊[添加]按鈕,表示要增加一個篩選條件｡

在“協議"右邊的下拉列表中選擇“ICMP",在隨后出現的“ICMP類型"和“ICMP編碼"中均輸入“255",代表所有的ICMP類型及其編碼｡ICMP有許多不同的類型(Ping就是一種類型),每種類型也有許多不同的狀態,用不同的“編碼"來表示｡因為其類型和編碼很復雜,這里不再敘述｡

點擊[確定]按鈕返回“輸入篩選器"窗口,此時會發現“篩選器"列表中多了一項內容｡點擊[確定]按鈕返回“本地連接"窗口,再點擊[確定]按鈕,此時篩選器就生效了,從其他計算機上Ping這臺主機就不會成功了｡

[2.用防火墻設置ICMP過濾]

現在許多防火墻在默認情況下都啟用了ICMP過濾的功能｡如果沒有啟用,只要選中“防御ICMP協議攻擊"､“防止別人用ping命令探測"就可以了｡