用防火牆過濾icmp報文

① XP電腦上~在您的防火牆上過濾外來的ICMP timestamp（類型 13）報文以及外出的ICM

出現這個的話好像收不到tracert的返回信息

② 防火牆阻止的ICMP數據包是什麼

一、IPSec

添加屏蔽ICMP的規則：

IP安全策略—管理IP篩選器表和篩選器操作—管理IP篩選器列表—添加—起個名稱（比如：）---添加—下一步—源地址—任何IP地址—目標地址—我的IP地址—選擇協議類型—ICMP—完成。
IP安全策略—管理IP篩選器表和篩選器操作—管理篩選器列表—添加—下一步—名稱(比如：)—阻止—完成。
IP安全策略—創建IP安全策略—下一步—名稱（比如：）--激活默認響應規則—Winxp默認值—完成-規則—添加—下一步—此規則不指定隧道—所有網路連接—Winxp默認值—IP篩選器列表—「ICMP」—「Block」—下一步—完成。

二、路由和遠程訪問：
IP路由選擇—常規—指定的網卡—輸入篩選器—添加—協議—ICMP—類型8—編碼0—接受所有除符合下列條件以外的數據包。

通過實驗發現路由和遠程訪問的級別要高於IPSec，也就是說當兩個設置發生沖突時，系統將以路由和遠程訪問的設置為准。

三、通過TTL簡單關閉ICMP回應（轉）
很多人問起如何在Windows xp中關閉ICMP的回應，以前我採取的辦法是使用IPSec來對ICMP進行驗證，今天偶爾作了一個試驗，與大家share一下！

Client:192.168.7.89
Server:192.168.7.40

修改前：
C:\scripts>ping 192.168.7.40
Pinging 192.168.7.40 with 32 bytes of data:
Reply from 192.168.7.40: bytes=32 time<10ms TTL=128
Reply from 192.168.7.40: bytes=32 time<10ms TTL=128
Reply from 192.168.7.40: bytes=32 time<10ms TTL=128
Reply from 192.168.7.40: bytes=32 time<10ms TTL=128

修改注冊表，把DefaultTTL改成63，ping的結果
C:\scripts>ping 192.168.7.40
Pinging 192.168.7.40 with 32 bytes of data:
Reply from 192.168.7.40: bytes=32 time<10ms TTL=63
Reply from 192.168.7.40: bytes=32 time<10ms TTL=63
Reply from 192.168.7.40: bytes=32 time<10ms TTL=63
Reply from 192.168.7.40: bytes=32 time<10ms TTL=63

修改注冊表，把DefaultTTL改成0，ping的結果
C:\scripts>ping 192.168.7.40
Pinging 192.168.7.40 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.7.40:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

而在192.168.7.40上，ping外面沒有問題，但是不能對外提供服務了，同時，自己干什麼也都不行了，就只能Ping了，嘿嘿，自己玩玩吧～（建議改成255，Linux,Solaris的好像大多是這個值，記得有人寫過通過TTL來判斷操作系統的，呵呵，騙騙人玩：）

Hive: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SubKey: DefaultTTL
Value: REG_DWORD 1 - 255
Default: 128

改了以後要Reboot才會生效哦～
（註：該方法是給對方提供一個錯誤的信息，並不是真正屏蔽了ICMP包，文章來源：Adam）

四、在ISA裡面設置：
關閉Ping(ICMP)：IP Packet Filters—起名--block packet transmission—predefine—icmp ping query—default IP address for each external on the ISA server computer—all remote computer—完成。

五、使用個人防火牆軟體：
一般的防火牆軟體都會提供關閉ICMP的功能，只是有的強一些，有的弱一些，比如：天網、綠色警戒、中國牆、Norton、Etrust Wall、Zone Alarm、Black Ice、冰盾等等等等，專業的就更別說了。

可見，關閉ICMP協議的方法還是很多的。（本人用的是防火牆，瑞星的，效果還行!現在一般把系統補丁打好，防火牆殺毒軟體都及時更新就沒有問題的！)

③ 如何阻止ICMP

現在許多防火牆在默認情況下都啟用了ICMP過濾的功能。如果沒有啟用，只要選中「防禦ICMP攻擊」、「防止別人用ping命令探測」就可以了。

還可以利用TCP/IP篩選和組策略：

第一步：打開在電腦的桌面，右鍵點擊「網上鄰居→屬性→本地連接→屬性→Internet協議（TCP/IP）→屬性→高級→選項-TCP/IP篩選-屬性」。

第二步：「TCP/IP篩選」窗口中，點擊選中「啟用TCP/IP篩選（所有適配器）」。然後分別在「TCP埠、UDP埠和IP協議」的添加框上，點擊「只允許」，後按添加按鈕，然後在跳出的對話框輸入埠，通常我們用來上網的埠是：80、8080，而郵件伺服器的埠是：25、110，FTP的埠是20、21，同樣將UDP埠和IP協議相關進行添加。

第三步：打開「控制面板→管理工具→本地安全策略」，然後右擊「IP安全策略，在本地機器」選「管理IP篩選器和IP篩選器操作」，在管理IP篩選器和 IP篩選器操作列表中添加一個新的過濾規則，名稱輸入「防止ICMP攻擊」，然後按添加，在源地址選任何IP地址，目標地址選我的IP地址，協議類型為 ICMP，設置完畢。

第四步：在「管理篩選器操作」，取消選中「使用添加向導」，添加，在常規中輸入名字「Deny的操作」，安全措施為「阻止」。這樣我們就有了一個關注所有進入ICMP報文的過濾策略和丟棄所有報文的過濾操作了。

第五步：點擊「IP安全策略，在本地機器」，選擇「創建IP安全策略-下一步-輸入名稱為ICMP過濾器」，通過增加過濾規則向導，把剛剛定義的「防止 ICMP攻擊」過濾策略指定給ICMP過濾器，然後選擇剛剛定義「Deny的操作」，然後右擊「防止ICMP攻擊」並啟用。

至於IGMP攻擊，最好把系統升級到XP。此外還有一個辦法：用DEBUG或者可以編輯16進制的軟體，打開文件VIP.386，找16進制代碼 6A 02 E8 找到把 02 改成F2就可以。 原理是那兒代碼是安裝IGMP協議的（那02就是IP協議裡面的IGMP，01是ICMP，06是TCP，11是UDP），改成F2就是協議類型安裝成了F2，那樣02 就不是解釋成IGMP協議了，其實這樣大致就是把IGMP協議關了，因為單機根本就可以不要IGMP協議的，所以沒什麼影響

④ 在您的防火牆上過濾外來的ICMP timestamp（類型 13）報文以及外出的ICMP timestamp回復報文。怎麼弄啊

你可以設置記錄日誌啊，一般火牆記錄一些指定的包，需要設置日誌記錄的，一般在訪問策略那塊設置，希望能對你有幫助

⑤ 省公司讓給伺服器漏洞處理，本人對這種東西不是很了解，如何在防火牆上過濾外來的ICMP timest

管理員運行cmd
netsh firewall set icmpsetting 13 disabled

⑥ windows 防火牆怎樣設置防禦icmp泛濫攻擊啊

設置步驟如下：

1、點擊開始，點擊控制面板，點擊windows防火牆；

版2、點權擊高級設置；

⑦ ICMP數據包

ICMP （Internet Control Message Protocol）。。
【應對ICMP攻擊】
雖然ICMP協議給黑客以可乘之機，但是ICMP攻擊也並非無葯可醫。只要在日常網路管理中未雨綢繆，提前做好准備，就可以有效地避免ICMP攻擊造成的損失。
對於「Ping of Death」攻擊，可以採取兩種方法進行防範：第一種方法是在路由器上對ICMP數據包進行帶寬限制，將ICMP佔用的帶寬控制在一定的范圍內，這樣即使有ICMP攻擊，它所佔用的帶寬也是非常有限的，對整個網路的影響非常少；第二種方法就是在主機上設置ICMP數據包的處理規則，最好是設定拒絕所有的ICMP數據包。
設置ICMP數據包處理規則的方法也有兩種，一種是在操作系統上設置包過濾，另一種是在主機上安裝防火牆。具體設置如下：
〖1．在Windows 2000 Server中設置ICMP過濾〗
Windows 2000 Server提供了「路由與遠程訪問」服務，但是默認情況下是沒有啟動的，因此首先要啟動它：點擊「管理工具」中的「路由與遠程訪問」，啟動設置向導。在其中選擇「手動配置伺服器」項，點擊[下一步]按鈕。稍等片刻後，系統會提示「路由和遠程訪問服務現在已被安裝。要開始服務嗎？」，點擊[是]按鈕啟動服務。
圖1
服務啟動後，在計算機名稱的分支下會出現一個「IP路由選擇」，點擊它展開分支，再點擊「常規」，會在右邊出現伺服器中的網路連接（即網卡）。用滑鼠右鍵點擊你要配置的網路連接，在彈出的菜單中點擊「屬性」，會彈出一個網路連接屬性的窗口，如圖1所示。
圖1中有兩個按鈕，一個是「輸入篩選器」（指對此伺服器接受的數據包進行篩選），另一個是「輸出篩選器」（指對此伺服器發送的數據包進行篩選），這里應該點擊[輸入篩選器] 按鈕，會彈出一個「添加篩選器」窗口，再點擊[添加]按鈕，表示要增加一個篩選條件。
在「協議」右邊的下拉列表中選擇「ICMP」，在隨後出現的「ICMP類型」和「ICMP編碼」中均輸入「255」，代表所有圖2的ICMP類型及其編碼。ICMP有許多不同的類型（Ping就是一種類型），每種類型也有許多不同的狀態，用不同的「編碼」來表示。因為其類型和編碼很復雜，這里不再敘述。
點擊[確定]按鈕返回「輸入篩選器」窗口，此時會發現「篩選器」列表中多了一項內容（如圖2所示）。點擊[確定]按鈕返回「本地連接」窗口，再點擊[確定]按鈕，此時篩選器就生效了，從其他計算機上Ping這台主機就不會成功了圖3。
〖2． 用防火牆設置ICMP過濾〗
現在許多防火牆在默認情況下都啟用了ICMP過濾的功能。如果沒有啟用，只要選中「防禦ICMP攻擊」、「防止別人用ping命令探測」就可以了，如圖3所示。
[編輯本段]防禦基於ICMP的網路攻擊的方法
[1][2]選擇合適的防火牆
有效防止ICMP攻擊，防火牆應該具有狀態檢測、細致的數據包完整性檢查和很好的過濾規則控制功能。
狀態檢測防火牆通過跟蹤它的連接狀態，動態允許外出數據包的響應信息進入防火牆所保護的網路。例如，狀態檢測防火牆可以記錄一個出去的 PING（ICMP Echo Request），在接下來的一個確定的時間段內，允許目標主機響應的ICMP Echo Reply直接發送給前面發出了PING命令的IP，除此之外的其他ICMP Echo Reply消息都會被防火牆阻止。與此形成對比的是，包過濾類型的防火牆允許所有的ICMP Echo Reply消息進入防火牆所保護的網路了。許多路由器和基於Linux內核2.2或以前版本的防火牆系統，都屬於包過濾型，用戶應該避免選擇這些系統。
新的攻擊不斷出現，防火牆僅僅能夠防止已知攻擊是遠遠不夠的。通過對所有數據包進行細致分析，刪除非法的數據包，防火牆可以防止已知和未知的 DoS攻擊。這就要求防火牆能夠進行數據包一致性檢查。安全策略需要針對ICMP進行細致的控制。因此防火牆應該允許對ICMP類型、代碼和包大小進行過濾，並且能夠控制連接時間和ICMP包的生成速率。
配置防火牆以預防攻擊
一旦選擇了合適的防火牆，用戶應該配置一個合理的安全策略。以下是被普遍認可的防火牆安全配置慣例，可供管理員在系統安全性和易用性之間作出權衡。
防火牆應該強制執行一個預設的拒絕策略。除了出站的ICMP Echo Request、出站的ICMP Source Quench、進站的TTL Exceeded和進站的ICMP Destination Unreachable之外，所有的ICMP消息類型都應該被阻止。下面是針對每個ICMP消息類型的過濾規則的詳細分析。
Echo Request和Reply（類型8和0）：允許Echo Request消息出站以便於內部用戶能夠PING一個遠程主機。阻止入站Echo Request和出站Echo Reply可以防止外部網路的主機對內部網路進行掃描。如果您使用了位於外部網路的監視器來監視內部網路，就應該只允許來自於特定外部IP的Echo Request進入您的網路。限制ICMP Echo包的大小可以防止「Ping Floods」攻擊，並且可以阻止那些利用Echo Request和Reply來「偷運」數據通過防火牆的木馬程序。
Destination unreachable （類型3）：允許其入站以便於內部網用戶可以使用traceroute。需要注意的是，有些攻擊者可以使用它來進行針對會話的DoS攻擊，如果您曾經歷過類似的攻擊，也可以阻止它。阻止出站的ICMP Destination unreachable消息，因為它可能會泄漏內部網路的結構。不過有一個例外，對於那些允許外部網路通過TCP訪問的內部主機（如位於DMZ區的Web 伺服器）發出的Destination unreachable，則應該允許它通過。為了能夠支持「Path MTU Discovery」，您應該允許出站的「Packet Too Big」消息（類型3，代碼4）到達那些主機。
Source quench（類型4）：阻止其入站，因為它可以作為一種DoS攻擊，能夠降低發送者的發送速度。允許其出站以便於內部主機能夠控制發送端發送數據的速度。有些防火牆會忽略所有直接發送到防火牆埠的Source Quench消息，以防止針對於防火牆的DoS攻擊。
Redirect、Router announcement、 Router selection（類型5，9，10）：這些消息都存在潛在危險，因為它們可以用來把數據重定向到攻擊者的機器。這些消息都應該被阻止。
TTL exceeded（類型11）：允許其進站以便於內部用戶可以使用traceroute。「firewalking」使用很低的TTL值來對網路進行掃描，甚至可以通過防火牆對內網進行掃描，所以應該禁止其出站。一些防火牆可以阻止TTL值小於設定值的數據包進入防火牆。
Parameter problem（類型12）：禁止其入站和出站。通過使用一個能夠進行數據包一致性檢查的防火牆，錯誤和惡意的數據包都會被阻塞。

⑧ 誰能告訴我為什麼我防火牆總是攔截到ICMP包

icmp協議就是我們平常所用的PING，你的情況可能是別人在對你進行一種DDOS攻擊（分布式拒絕回服務攻擊），你家裡應該是個人電腦，並不是伺服器，所以這種攻答擊所造成的危害很小。而且你的防火牆已經進行了攔截，所以不用擔心。

⑨ 怎麼用防火牆設置ICMP過濾

設置步驟如下：

1、點擊開始，點擊控制面板，點擊windows防火牆內；容

2、點擊高級設置；

⑩ windows系統防火牆能不能阻止接受ICMP數據包

可以 進入控制面板-Windows防火墻-選擇進階 有一項 ICMP 把允許傳入 取消即可