轻松几步防范ICMP攻击

　　相信大家都遇到过突然上不了网的情况，此时我们一般首先通过运行输入Ping命令来检查网络是否畅通，虽然这种方法使我们能得到具体的返回数据让我们了解到网络是否畅通，但是也给我们带来使黑客容易入侵我们电脑的方式，通常这种通过Ping入侵的攻击被称为ICMP攻击。那么我们如何防范这种入侵攻击呢？为此本次的讲解课课家笔者主要给大家介绍具体的解决方法和步骤。

　　首先笔者先给大家普及普及下ICMP攻击的具体原理，让大家对此有一个基本的了解。

　　所谓 ICMP协议就是因特网控制消息错误的报文协议，使用ICMP攻击的原理实际上就是通过Ping大量的数据包使得计算机的CPU使用率居高不下而崩溃，一般情况下黑客通常在一个时段内连续向计算机发出大量请求继而导致CPU因占用率太高而死机。虽然现在很多防火墙可以对PING进行过滤，但对于没有安装防火墙的系统时我们又如何进行有效的防范ICMP攻击呢?其实我们只要配置一下系统自带的默认防火墙就可以了，具体方法步骤如下:

　　①在桌面右键依次点击“网上邻居→属性→本地连接→属性→InterNET协议(TCP/IP)→属性→高级→选项-TCP/IP筛选-属性”。

　　②在“TCP/IP筛选”窗口中，点击选中“启用TCP/IP筛选(所有适配器)”这一项，然后我们分别在“TCP端口、UDP端口和IP协议”的添加框上，点击“只允许”后按添加按钮并在跳出的对话框输入端口，通常我们用来上网的端口是:80、8080，而邮件服务器的端口是:25、110，FTP的端口是20、21，以此类推我们同样将UDP端口和IP协议相关进行添加。

　　③接下来我们打开“控制面板→管理工具→本地安全策略”，右击“IP安全策略，在本地机器”选择“管理IP筛选器和IP筛选器操作”这一项，在管理IP筛选器和IP筛选器操作列表中添加一个新的过滤规则，输入“防止ICMP攻击”的名称，然后按添加操作。在源地址选任何IP地址，目标地址选自己的IP地址，协议类型为ICMP，设置完毕。

　　④在“管理筛选器操作”取消选中“使用添加向导”，在常规中输入名字“Deny的操作”，安全措施为“阻止”。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。

　　⑤最后我们点击“IP安全策略，在本地机器”，选择“创建IP安全策略-下一步-输入名称为ICMP过滤器”，通过增加过滤规则向导，我们把刚刚定义的“防止ICMP攻击”过滤策略指定给ICMP过滤器，然后选择刚刚定义“Deny的操作”，右击“防止ICMP攻击”并启用。这样一来经过设置后的系统就可以防止PING攻击了，虽然不是全部免疫但对多数攻击手段都有了防范功能，系统安全系数也大大提高了。

　　本次的轻松几步防范ICMP攻击的讲解到此就暂告一段落，如果以后有什么相关的内容继续进行补充或者修改的话，笔者会在此继续进行相关的内容的补充或者修改的工作，同时也欢迎大家对本次的讲解提出自己的建议和补充。最后笔者希望本次的讲解对大家学习系统运维能够起到一定的帮助作用！