用防火墙过滤icmp报文

① XP电脑上~在您的防火墙上过滤外来的ICMP timestamp（类型 13）报文以及外出的ICM

出现这个的话好像收不到tracert的返回信息

② 防火墙阻止的ICMP数据包是什么

一、IPSec

添加屏蔽ICMP的规则：

IP安全策略—管理IP筛选器表和筛选器操作—管理IP筛选器列表—添加—起个名称（比如：）---添加—下一步—源地址—任何IP地址—目标地址—我的IP地址—选择协议类型—ICMP—完成。
IP安全策略—管理IP筛选器表和筛选器操作—管理筛选器列表—添加—下一步—名称(比如：)—阻止—完成。
IP安全策略—创建IP安全策略—下一步—名称（比如：）--激活默认响应规则—Winxp默认值—完成-规则—添加—下一步—此规则不指定隧道—所有网络连接—Winxp默认值—IP筛选器列表—“ICMP”—“Block”—下一步—完成。

二、路由和远程访问：
IP路由选择—常规—指定的网卡—输入筛选器—添加—协议—ICMP—类型8—编码0—接受所有除符合下列条件以外的数据包。

通过实验发现路由和远程访问的级别要高于IPSec，也就是说当两个设置发生冲突时，系统将以路由和远程访问的设置为准。

三、通过TTL简单关闭ICMP回应（转）
很多人问起如何在Windows xp中关闭ICMP的回应，以前我采取的办法是使用IPSec来对ICMP进行验证，今天偶尔作了一个试验，与大家share一下！

Client:192.168.7.89
Server:192.168.7.40

修改前：
C:\scripts>ping 192.168.7.40
Pinging 192.168.7.40 with 32 bytes of data:
Reply from 192.168.7.40: bytes=32 time<10ms TTL=128
Reply from 192.168.7.40: bytes=32 time<10ms TTL=128
Reply from 192.168.7.40: bytes=32 time<10ms TTL=128
Reply from 192.168.7.40: bytes=32 time<10ms TTL=128

修改注册表，把DefaultTTL改成63，ping的结果
C:\scripts>ping 192.168.7.40
Pinging 192.168.7.40 with 32 bytes of data:
Reply from 192.168.7.40: bytes=32 time<10ms TTL=63
Reply from 192.168.7.40: bytes=32 time<10ms TTL=63
Reply from 192.168.7.40: bytes=32 time<10ms TTL=63
Reply from 192.168.7.40: bytes=32 time<10ms TTL=63

修改注册表，把DefaultTTL改成0，ping的结果
C:\scripts>ping 192.168.7.40
Pinging 192.168.7.40 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.7.40:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

而在192.168.7.40上，ping外面没有问题，但是不能对外提供服务了，同时，自己干什么也都不行了，就只能Ping了，嘿嘿，自己玩玩吧～（建议改成255，Linux,Solaris的好像大多是这个值，记得有人写过通过TTL来判断操作系统的，呵呵，骗骗人玩：）

Hive: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SubKey: DefaultTTL
Value: REG_DWORD 1 - 255
Default: 128

改了以后要Reboot才会生效哦～
（注：该方法是给对方提供一个错误的信息，并不是真正屏蔽了ICMP包，文章来源：Adam）

四、在ISA里面设置：
关闭Ping(ICMP)：IP Packet Filters—起名--block packet transmission—predefine—icmp ping query—default IP address for each external on the ISA server computer—all remote computer—完成。

五、使用个人防火墙软件：
一般的防火墙软件都会提供关闭ICMP的功能，只是有的强一些，有的弱一些，比如：天网、绿色警戒、中国墙、Norton、Etrust Wall、Zone Alarm、Black Ice、冰盾等等等等，专业的就更别说了。

可见，关闭ICMP协议的方法还是很多的。（本人用的是防火墙，瑞星的，效果还行!现在一般把系统补丁打好，防火墙杀毒软件都及时更新就没有问题的！)

③ 如何阻止ICMP

现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用，只要选中“防御ICMP攻击”、“防止别人用ping命令探测”就可以了。

还可以利用TCP/IP筛选和组策略：

第一步：打开在电脑的桌面，右键点击“网上邻居→属性→本地连接→属性→Internet协议（TCP/IP）→属性→高级→选项-TCP/IP筛选-属性”。

第二步：“TCP/IP筛选”窗口中，点击选中“启用TCP/IP筛选（所有适配器）”。然后分别在“TCP端口、UDP端口和IP协议”的添加框上，点击“只允许”，后按添加按钮，然后在跳出的对话框输入端口，通常我们用来上网的端口是：80、8080，而邮件服务器的端口是：25、110，FTP的端口是20、21，同样将UDP端口和IP协议相关进行添加。

第三步：打开“控制面板→管理工具→本地安全策略”，然后右击“IP安全策略，在本地机器”选“管理IP筛选器和IP筛选器操作”，在管理IP筛选器和 IP筛选器操作列表中添加一个新的过滤规则，名称输入“防止ICMP攻击”，然后按添加，在源地址选任何IP地址，目标地址选我的IP地址，协议类型为 ICMP，设置完毕。

第四步：在“管理筛选器操作”，取消选中“使用添加向导”，添加，在常规中输入名字“Deny的操作”，安全措施为“阻止”。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。

第五步：点击“IP安全策略，在本地机器”，选择“创建IP安全策略-下一步-输入名称为ICMP过滤器”，通过增加过滤规则向导，把刚刚定义的“防止 ICMP攻击”过滤策略指定给ICMP过滤器，然后选择刚刚定义“Deny的操作”，然后右击“防止ICMP攻击”并启用。

至于IGMP攻击，最好把系统升级到XP。此外还有一个办法：用DEBUG或者可以编辑16进制的软件，打开文件VIP.386，找16进制代码 6A 02 E8 找到把 02 改成F2就可以。 原理是那儿代码是安装IGMP协议的（那02就是IP协议里面的IGMP，01是ICMP，06是TCP，11是UDP），改成F2就是协议类型安装成了F2，那样02 就不是解释成IGMP协议了，其实这样大致就是把IGMP协议关了，因为单机根本就可以不要IGMP协议的，所以没什么影响

④ 在您的防火墙上过滤外来的ICMP timestamp（类型 13）报文以及外出的ICMP timestamp回复报文。怎么弄啊

你可以设置记录日志啊，一般火墙记录一些指定的包，需要设置日志记录的，一般在访问策略那块设置，希望能对你有帮助

⑤ 省公司让给服务器漏洞处理，本人对这种东西不是很了解，如何在防火墙上过滤外来的ICMP timest

管理员运行cmd
netsh firewall set icmpsetting 13 disabled

⑥ windows 防火墙怎样设置防御icmp泛滥攻击啊

设置步骤如下：

1、点击开始，点击控制面板，点击windows防火墙；

版2、点权击高级设置；

⑦ ICMP数据包

ICMP （Internet Control Message Protocol）。。
【应对ICMP攻击】
虽然ICMP协议给黑客以可乘之机，但是ICMP攻击也并非无药可医。只要在日常网络管理中未雨绸缪，提前做好准备，就可以有效地避免ICMP攻击造成的损失。
对于“Ping of Death”攻击，可以采取两种方法进行防范：第一种方法是在路由器上对ICMP数据包进行带宽限制，将ICMP占用的带宽控制在一定的范围内，这样即使有ICMP攻击，它所占用的带宽也是非常有限的，对整个网络的影响非常少；第二种方法就是在主机上设置ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包。
设置ICMP数据包处理规则的方法也有两种，一种是在操作系统上设置包过滤，另一种是在主机上安装防火墙。具体设置如下：
〖1．在Windows 2000 Server中设置ICMP过滤〗
Windows 2000 Server提供了“路由与远程访问”服务，但是默认情况下是没有启动的，因此首先要启动它：点击“管理工具”中的“路由与远程访问”，启动设置向导。在其中选择“手动配置服务器”项，点击[下一步]按钮。稍等片刻后，系统会提示“路由和远程访问服务现在已被安装。要开始服务吗？”，点击[是]按钮启动服务。
图1
服务启动后，在计算机名称的分支下会出现一个“IP路由选择”，点击它展开分支，再点击“常规”，会在右边出现服务器中的网络连接（即网卡）。用鼠标右键点击你要配置的网络连接，在弹出的菜单中点击“属性”，会弹出一个网络连接属性的窗口，如图1所示。
图1中有两个按钮，一个是“输入筛选器”（指对此服务器接受的数据包进行筛选），另一个是“输出筛选器”（指对此服务器发送的数据包进行筛选），这里应该点击[输入筛选器] 按钮，会弹出一个“添加筛选器”窗口，再点击[添加]按钮，表示要增加一个筛选条件。
在“协议”右边的下拉列表中选择“ICMP”，在随后出现的“ICMP类型”和“ICMP编码”中均输入“255”，代表所有图2的ICMP类型及其编码。ICMP有许多不同的类型（Ping就是一种类型），每种类型也有许多不同的状态，用不同的“编码”来表示。因为其类型和编码很复杂，这里不再叙述。
点击[确定]按钮返回“输入筛选器”窗口，此时会发现“筛选器”列表中多了一项内容（如图2所示）。点击[确定]按钮返回“本地连接”窗口，再点击[确定]按钮，此时筛选器就生效了，从其他计算机上Ping这台主机就不会成功了图3。
〖2． 用防火墙设置ICMP过滤〗
现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用，只要选中“防御ICMP攻击”、“防止别人用ping命令探测”就可以了，如图3所示。
[编辑本段]防御基于ICMP的网络攻击的方法
[1][2]选择合适的防火墙
有效防止ICMP攻击，防火墙应该具有状态检测、细致的数据包完整性检查和很好的过滤规则控制功能。
状态检测防火墙通过跟踪它的连接状态，动态允许外出数据包的响应信息进入防火墙所保护的网络。例如，状态检测防火墙可以记录一个出去的 PING（ICMP Echo Request），在接下来的一个确定的时间段内，允许目标主机响应的ICMP Echo Reply直接发送给前面发出了PING命令的IP，除此之外的其他ICMP Echo Reply消息都会被防火墙阻止。与此形成对比的是，包过滤类型的防火墙允许所有的ICMP Echo Reply消息进入防火墙所保护的网络了。许多路由器和基于Linux内核2.2或以前版本的防火墙系统，都属于包过滤型，用户应该避免选择这些系统。
新的攻击不断出现，防火墙仅仅能够防止已知攻击是远远不够的。通过对所有数据包进行细致分析，删除非法的数据包，防火墙可以防止已知和未知的 DoS攻击。这就要求防火墙能够进行数据包一致性检查。安全策略需要针对ICMP进行细致的控制。因此防火墙应该允许对ICMP类型、代码和包大小进行过滤，并且能够控制连接时间和ICMP包的生成速率。
配置防火墙以预防攻击
一旦选择了合适的防火墙，用户应该配置一个合理的安全策略。以下是被普遍认可的防火墙安全配置惯例，可供管理员在系统安全性和易用性之间作出权衡。
防火墙应该强制执行一个缺省的拒绝策略。除了出站的ICMP Echo Request、出站的ICMP Source Quench、进站的TTL Exceeded和进站的ICMP Destination Unreachable之外，所有的ICMP消息类型都应该被阻止。下面是针对每个ICMP消息类型的过滤规则的详细分析。
Echo Request和Reply（类型8和0）：允许Echo Request消息出站以便于内部用户能够PING一个远程主机。阻止入站Echo Request和出站Echo Reply可以防止外部网络的主机对内部网络进行扫描。如果您使用了位于外部网络的监视器来监视内部网络，就应该只允许来自于特定外部IP的Echo Request进入您的网络。限制ICMP Echo包的大小可以防止“Ping Floods”攻击，并且可以阻止那些利用Echo Request和Reply来“偷运”数据通过防火墙的木马程序。
Destination unreachable （类型3）：允许其入站以便于内部网用户可以使用traceroute。需要注意的是，有些攻击者可以使用它来进行针对会话的DoS攻击，如果您曾经历过类似的攻击，也可以阻止它。阻止出站的ICMP Destination unreachable消息，因为它可能会泄漏内部网络的结构。不过有一个例外，对于那些允许外部网络通过TCP访问的内部主机（如位于DMZ区的Web 服务器）发出的Destination unreachable，则应该允许它通过。为了能够支持“Path MTU Discovery”，您应该允许出站的“Packet Too Big”消息（类型3，代码4）到达那些主机。
Source quench（类型4）：阻止其入站，因为它可以作为一种DoS攻击，能够降低发送者的发送速度。允许其出站以便于内部主机能够控制发送端发送数据的速度。有些防火墙会忽略所有直接发送到防火墙端口的Source Quench消息，以防止针对于防火墙的DoS攻击。
Redirect、Router announcement、 Router selection（类型5，9，10）：这些消息都存在潜在危险，因为它们可以用来把数据重定向到攻击者的机器。这些消息都应该被阻止。
TTL exceeded（类型11）：允许其进站以便于内部用户可以使用traceroute。“firewalking”使用很低的TTL值来对网络进行扫描，甚至可以通过防火墙对内网进行扫描，所以应该禁止其出站。一些防火墙可以阻止TTL值小于设定值的数据包进入防火墙。
Parameter problem（类型12）：禁止其入站和出站。通过使用一个能够进行数据包一致性检查的防火墙，错误和恶意的数据包都会被阻塞。

⑧ 谁能告诉我为什么我防火墙总是拦截到ICMP包

icmp协议就是我们平常所用的PING，你的情况可能是别人在对你进行一种DDOS攻击（分布式拒绝回服务攻击），你家里应该是个人电脑，并不是服务器，所以这种攻答击所造成的危害很小。而且你的防火墙已经进行了拦截，所以不用担心。

⑨ 怎么用防火墙设置ICMP过滤

设置步骤如下：

1、点击开始，点击控制面板，点击windows防火墙内；容

2、点击高级设置；

⑩ windows系统防火墙能不能阻止接受ICMP数据包

可以 进入控制面板-Windows防火墻-选择进阶 有一项 ICMP 把允许传入 取消即可