文档介绍：在 Win2000 中如何关闭 ICMP(Ping) 在 Win2000 中如何关闭 ICMP(Ping) shotgun ICMP 的全名是 Control and Message Protocal 即因特网控制消息/ 错误报文协议,这个协议主要是用来进行错误信息和控制信息的传递, 例如著名的 Ping 和 Tracert 工具都是利用 ICMP 协议中的 ECHO request 报文进行的(请求报文 ICMP ECHO 类型 8代码 0 ,应答报文 ICMP ECHOREPLY 类型 0 代码 0 )。 ICMP 协议有一个特点--- 它是无连结的, 也就是说只要发送端完成 ICMP 报文的封装并传递给路由器,这个报文将会象邮包一样自己去寻找目的地址,这个特点使得 ICMP 协议非常灵活快捷,但是同时也带来一个致命的缺陷--- 易伪造(邮包上的寄信人地址是可以随便写的),任何人都可以伪造一个 ICMP 报文并发送出去,伪造者可以利用 SOCK_RAW 编程直接改写报文的 ICMP 首部和 IP 首部,这样的报文携带的源地址是伪造的, 在目的端根本无法追查,( 攻击者不怕被抓那还不有恃无恐?)根据这个原理,外面出现了不少基于 ICMP 的攻击软件,有通过网络架构缺陷制造 ICMP 风暴的,有使用非常大的报文堵塞网络的,有利用 ICMP 碎片攻击消耗服务器 CPU 的,甚至如果将 ICMP 协议用来进行通讯,可以制作出不需要任何 TCP/UDP 端口的木马(参见相关文章) ...... 既然 ICMP 协议这么危险,我们为什么不关掉它呢? 我们都知道, Win2000 在网络属性中自带了一个 TCP/IP 过滤器, 我们来看看能不能通过这里关掉 ICMP 协议,桌面上右击网上邻居-> 属性-> 右击你要配置的网卡-> 属性->TCP/IP-> 高级-> 选项->TCP/I P 过滤,这里有三个过滤器,分别为: TCP 端口、 UDP 端口和 IP 协议, 我们先允许 TCP/IP 过滤,然后一个一个来配置,先是 TCP 端口,点击" 只允许", 然后在下面加上你需要开的端口, 一般来说 WEB 服务器只需要开 80(www) , FTP 服务器需要开 20(FTP Data) , 21(FTP Control) ,邮件服务器可能需要打开 25(SMTP),110(POP3) ,以此类推...... 接着是 UDP , UDP 协议和 ICMP 协议一样是基于无连结的,一样容易伪造,所以如果不是必要(例如要从 UDP 提供 DNS 服务之类) 应该选择全部不允许,避免受到洪水( Flood )或碎片( Fragment ) 攻击。最右边的一个编辑框是定义 IP 协议过滤的,我们选择只允许 TCP 协议通过,添加一个 6(6是 TCP 在 IP 协议中的代码, IPPROTO_TCP=6 ), 从道理上来说, 只允许 TCP 协议通过时无论 UDP 还是 ICMP 都不应该能通过, 可惜的是这里的 IP 协议过滤指的是狭义的 IP 协议, 从架构上来说虽然 ICMP 协议和 IGMP 协议都是 IP 协议的附属协议, 但是从网络 7 层结构上 ICMP/IGMP 协议与 IP 协议同属一层, 所以微软在这里的 IP 协议过滤是不包括 ICMP 协议的,