（转）WIN2003服务器禁PING的方法

方法一：用windows系统自带的防火墙规则设置禁止别人Ping我的机器

win2003系统默认情况下，所有Internet控制消息协议(ICMP)选项均被禁用，也就是对客户机有反应，因而易于受到攻击，但是有时候需要用ping来测试网络的联通性，下面是打开方法：

启用ICMP方法：用管理员或Administrators 组成员身份登录计算机，右击“网上邻居”，在弹出的快捷菜单中选择“属性”即打开了“网络连接”，选定已启用Internet连接防火墙的连接，打开其属性窗口，并切换到“高级”选项页，点击下方的“设置”，这样就出现了“高级设置”对话窗口，在“ICMP”选项卡上，勾选希望您的计算机响应的请求信息类型，旁边的复选框即表启用此类型请求，如要禁用请清除相应请求信息类型即可。 
同样也可以打开“控制面板”中找到防火墙来进行设置，方法同上。（不过ISA服务器是无法做该操作的），设置后别人也就ping不通你机器了。

方法二：启用IP安全策略防Ping

　　步骤1、添加IP筛选器和筛选器操作

　　依次单击[开始]→[管理工具]→[本地安全策略]，打开“本地安全设置”对话框。右击该对话框左侧控制台树的[IP安全策略，在本地计算机]选项，执行[管理IP筛选器表和筛选器操作]命令。在打开的对话框的[管理IP筛选器列表]标签下单击[添加]按钮，命名这个筛选器名称为“禁止PING”，描述语言可以为“禁止任何其他计算机PING我的主机”，然后单击[添加]按钮。接下来依次单击[下一步]→[下一步]，选择“IP通信源地址”为[我的IP地址]，单击[下一步]；选择“IP通信目标地址”为[任何IP地址]，单击[下一步]；选择“IP协议类型”为[ICMP]，单击[下一步]。单击[完成]→[确定]结束添加。

然后切换到[管理筛选器操作]标签下，依次单击[添加]→[下一步]，命名筛选器操作名称为“阻止所有连接”，描述语言可以为“阻止所有网络连接”，单击[下一步]；点选[阻止]选项作为此筛选器的操作行为，最后单击[下一步]→[完成]→[关闭]完成所有添加操作。

　　步骤2、创建IP安全策略作者：

　　右击控制台树的[IP安全策略，在本地计算机]选项，执行[创建安全策略]命令，然后单击[下一步]按钮。命名这个IP安全策略为“禁止PING主机”，描述语言为“拒绝任何其他计算机的PING要求”并单击[下一步]。然后在勾选[激活默认响应规则]的前提下单击[下一步]。在“默认响应规则身份验证方法”对话框中点选[使用此字符串保护密钥交换]选项，并在下面的文字框中键入一段字符串如“NO PING”，单击[下一步]。最后在勾选“编辑属性”的前提下单击[完成]按钮结束创建。

　　步骤3、配置IP安全策略

　　在打开的“禁止PING属性”对话框中的[常规]标签下单击[添加]→[下一步]，默认点选[此规则不指定隧道]并单击[下一步]；点选[所有网络连接]以保证所有的计算机都PING不通该主机，单击[下一步]。在“IP筛选器列表”框中点选[禁止PING]，单击[下一步]；在“筛选器操作”列表框中点选[阻止所有连接]，依次单击[下一步]；取消“编辑属性”选项并单击[完成]结束配置。

　　步骤4、指派IP安全策略

　　安全策略创建完毕后并不能马上生效，我们还需通过“指派”使其发挥作用。右击“本地安全设置”对话框右侧的[禁止PING主机]策略，执行“指派”命令即可启用该策略。

　　设置后，这台主机已经具备了拒绝其他任何机器PING自己IP地址的能力了，不过在本地PING自身仍然相通。而且经过这样的设置以后，所有用户包括管理员自己要想在其他机器上PING主机的IP地址可就困难了。

经过上面的设置，当其他计算机再Ping该计算机时，就不再Ping通了。但如果自己Ping本地计算机，仍可Ping通。在Windows 其他系列系统中操作基本相同。

方法三：修改TTL值防Ping （未调整测试）

许多入侵者喜欢用TTL值来判断操作系统，他们首先会Ping一下你的机子，如看到TTL值为128就认为你的系统为Windows NT/2000，如果TTL值为32则认为目标主机操作系统为Windows 95/98，如果为TTL值为255/64就认为是UNIX/Linux操作系统。既然入侵者相信TTL值所反应出来的结果，那么我们不妨修改TTL值来欺骗入侵者，达到保护系统的目的。方法如下：

打开Windows自带的“记事本”程序，编写如下所示的批处理命令：

@echo REGEDIT4>>ChangeTTL.reg

@echo.>>ChangeTTL.reg

@echo [HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters]>>ChangeTTL.reg

@echo DefaultTTL=dword:000000ff>>ChangeTTL.reg

@REGEDIT /S /C ChangeTTL.reg

另存为以.bat为扩展名的批处理文件，点击这个文件，你的操作系统的缺省TTL值就会被修改为ff，即十进制的255，即把你的操作系统人为地改为UNIX系统了！

DefaultTTL=dword:000000ff是用来设置系统缺省TTL值的，如果你想将自己的操作系统的TTL值改为其它操作系统的ICMP回显应答值，请改变DefaultTTL的键值，要注意它的键值为16进制。

原文来自http://blog.163.com/huisi_yi/blog/static/702729112010759443247/