Win2000でのping攻撃の防止

Win2000でICMP（Ping）を無効にする方法

ICMPの正式名称は、インターネット制御とメッセージプロトコルで、インターネット制御メッセージ/エラーメッセージプロトコルです。たとえば、エラー情報および制御情報の送信には、有名なPingおよびTracertツールがすべてICMPプロトコルのECHO要求メッセージ（要求メッセージICMP ECHOタイプ8コード0、応答メッセージICMP ECHOREPLYタイプ0コード0）を使用して作成されます。 ）

ICMPプロトコルには1つの機能があります。接続されていないため、送信者がICMPメッセージのカプセル化を完了してルーターに渡す限り、メッセージは宛先パケット自体を郵便パケットのように探します。この機能はICMPプロトコルを非常に柔軟で速いものにしますが、致命的な欠陥をもたらします - 偽造しやすい（小包の送信者アドレスは気軽に書くことができます）、誰でもICMPメッセージを偽造して送信できます偽造者は、SOCK_RAWプログラミングを使用してメッセージのICMPヘッダーとIPヘッダーを直接書き換えることができますこのようなメッセージによって運ばれる送信元アドレスは偽造され、送信先で追跡することはできません。この原則は、外部にICMPベースの攻撃ソフトウェアがたくさんあり、ネットワークアーキテクチャの欠陥によるICMPストームがあり、ネットワークをブロックしている非常に大きなパケットがあり、ICMPプロトコルが使用されている場合でもサーバーCPUを使用したICMPフラグメンテーション攻撃です。通信に使用すると、TCP /UDPポートを必要としないトロイの木馬を作ることができます（「トロイの木馬の謎の解明」を参照）。 ICMPプロトコルとても危険な、なぜ我々はそれを、それをオフにしませんか？

Win2000にはネットワークのプロパティにTCP /IPフィルタがついていることを知っていますので、ここでICMPプロトコルを無効にできるかどうか確認しましょうデスクトップのネットワークの隣のアイコンを右クリック - >プロパティ - >設定したいNICを右クリック - >プロパティ - > TCP /IP - >詳細設定 - >オプション - > TCP /IPフィルタリング、すなわち、TCPポート、UDPポート、IPの3つのフィルタがあります。プロトコルでは、まずTCP /IPフィルタリングを許可し、次にTCPポートを1つずつ設定し、[Allow only]をクリックして、次に開く必要のあるポートを追加します。通常、Webサーバーは80（www）を開くだけで済みます。 FTPサーバーは20（FTPデータ）、21（FTP制御）を開く必要があり、メールサーバーは25（SMTP）、110（POP3）などを開く必要があるかもしれません。その後にUDP、UDPプロトコル、およびICMPプロトコルが続きます。それは接続に基づかず、偽造するのが簡単である、従ってそれが必要でないなら（例えば、UDPからDNSサービスを提供するために）、あなたはそれがフラッド攻撃または断片化攻撃を避けるためにそれを許可しないことを選ぶべきです。一番右の編集ボックスはIPプロトコルフィルタリングを定義するためのもので、TCPプロトコルのみを通過させ、6を追加します（6はIPプロトコルのTCPコード、IPPROTO_TCP = 6です）。 UDPまたはICMPが通過してはいけないにもかかわらず、残念ながら、ここでのIPプロトコルフィルタリングはナローIPプロトコルを参照していますICMPプロトコルとIGMPプロトコルはどちらもIPプロトコルの関連プロトコルですが、ネットワークレイヤ7からのものです。 ICMP /IGMPプロトコルはIPプロトコルと同じレイヤなので、ここでのMicrosoftのIPプロトコルフィルタリングにはICMPプロトコルは含まれていません、つまり、「TCPプロトコルのみを通過させる」と設定しても、ICMPパケットは正常に通過できます。そのため、ICMPプロトコルをフィルタリングしたい場合は、別の方法を見つける必要があります。

TCP /IPフィルタリングを行っていた頃、もう1つの選択肢がありました：IPセキュリティICMPをフィルタリングするという私たちの考えはそれに当てはまることでした。

ローカルセキュリティポリシーを開き、IPセキュリティポリシーを選択しますここで独自のIPセキュリティポリシーを定義できます。

IPセキュリティフィルタは、フィルタポリシーとフィルタ操作の2つの部分で構成され、フィルタを適用するメッセージを決定しますフィルタ操作を許可するか拒否するかを決定します。テキストの通過新しいIPセキュリティフィルタを作成するには、独自のフィルタポリシーとフィルタ操作を作成する必要があります。このコンピュータのIPセキュリティポリシーを右クリックし、[IPフィルタの管理]を選択して、IPフィルタ管理リストに新しいフィルタルールを作成します。任意のIPを選択し、ターゲットアドレスをローカルマシンとして選択し、プロトコルタイプをICMPにし、管理フィルタ操作に切り替え、Denyという名前の操作を追加し、操作タイプを「ブロック」にします。このようにして、ICMPパケットに入るすべてのフィルタリングポリシーに焦点を合わせ、すべてのパケットを破棄するフィルタリングアクションがあります。ミラーリングが選択されている場合は、対称型フィルタリングポリシーが確立されます。ネットワーク上の人々は、Ping、Pingがネットワーク接続、到達可能性、および名前解決をトラブルシューティングするための主要なTCP /IPコマンドであることを知っています。 Pingの主な用途は、ターゲットホストが到達可能かどうかを検出することです。

侵入しようとするハッカーは、まずターゲットをロックする必要があります通常、pingコマンドを使用してホストを検出し、関連情報を入手してから脆弱性スキャンを実行します。他人の攻撃から解放されるにはどうすればいいですか？これは、他人が自分のコンピュータにpingを送信するのを防ぎ、攻撃を仕掛けないようにするためです。参考のために、著者はPingをブロックする4つの一般的な方法を紹介します。

まず、Pingを防ぐために詳細設定を使用します。

デフォルトでは、すべてのICMPオプションは有効です。無効ICMPオプションが有効になっていると、あなたのネットワークはインターネット上で見え、攻撃に対して脆弱になります。

ICMPを有効にする場合は、管理者またはAdministratorsグループのメンバーとしてコンピュータにログインし、[マイネットワーク]を右クリックして表示されるショートカットメニューから[プロパティ]を選択して[ネットワーク接続]を開きます。インターネット接続ファイアウォール接続が有効になり、そのプロパティウィンドウが開き、「詳細設定」タブに切り替えて下の「設定」をクリックすると、「詳細設定」ダイアログウィンドウが表示されます。コンピュータが要求情報の種類に応答するようにしたい場合は、その隣のチェックボックスでこの種類の要求を有効にします。無効にするには、対応する要求の種類を選択解除します。

次に、ネットワークファイアウォールを使用してPingをブロックします。

ファイアウォールを使用してPingをブロックするのが最も簡単で効果的な方法です。現在、基本的にすべてのファイアウォールでICMPフィルタリングがデフォルトで有効になっています。ここでは、Jinshan Net Dart 2003とSkynet Firewall 2.50が設計図です。

Jinshan Net Dart 2003を使用しているユーザーの場合は、システムトレイのJinshan Net Dart 2003アイコンを右クリックし、ポップアップショートカットメニューの[ユーティリティ]で[カスタムIPルールエディタ]を選択してください。 "表示されるウィンドウで、"防御ICMP Type Attack "ルールを選択し、"他のユーザーがpingコマンドを使用してマシンを検出することを許可する "ルールを削除し、アプリケーションを保存して効果を発揮させます。

Skynet Firewallを使用している場合は、メインインターフェイスの[カスタムIPルール]をクリックし、[他人によるpingコマンドの使用を禁止する]ルールのチェックを外し、[防御ICMP攻撃]ルールを確認します。次に、[保存/適用]をクリックしてIPルールを有効にします。