PING命令詳解

1、ping命令詳解 使用 ping可以測試計算機(jī)名和計算機(jī)的 ip 地址,驗證與遠(yuǎn)程計算機(jī)的連接,通過將 icmp 回顯數(shù)據(jù)包發(fā)送到計算機(jī)并偵聽回顯回復(fù)數(shù)據(jù)包來驗證與一臺或多臺遠(yuǎn)程計算機(jī)的連接,該命令只有在安裝了 tcp/ip 協(xié)議后才可以使用。 現(xiàn)在打開你的ms-dos(開始程序ms-dos)，用win2000的朋友打開cmd.exe（這是win2000下的ms-dos，開始程序附件命令提示符 或 開始搜索文件或文件夾填入cmd.exe,找到后雙擊運(yùn)行就可以了。） 下面我們來看看他的命令：ping -t -a -n count -l length -f -i ttl -v tos -r cou

2、nt -s count -j computer-list | -k computer-list -w timeout destination-list參數(shù)-tping 指定的計算機(jī)直到中斷。ctrl+c停止-a將地址解析為計算機(jī)名。例:c:ping -a 127.0.0.1pinging china-hacker 127.0.0.1 with 32 bytes of data:（china-hacker就是他的計算機(jī)名）reply from 127.0.0.1: bytes=32 time10ms ttl=128reply from 127.0.0.1: bytes=32 time10ms t

3、tl=128reply from 127.0.0.1: bytes=32 time10ms ttl=128reply from 127.0.0.1: bytes=32 timeping pinging 192.20.239.132 with 32 bytes of data: （192.20.239.132 他的ip地址）reply from 192.20.239.132:bytes=32 time=101ms ttl=243reply from 192.20.239.132:bytes=32 time=100ms ttl=243reply from 192.20.239.132:bytes=

4、32 time=120ms ttl=243reply from 192.20.239.132:bytes=32 time=120ms ttl=243Ping概述： 何為ping？是DOS命令，一般用于檢測網(wǎng)絡(luò)通與不通 ，也叫時延，其值越大，速度越慢PING (Packet Internet Grope)，因特網(wǎng)包探索器，用于測試網(wǎng)絡(luò)連接量的程序。Ping發(fā)送一個ICMP回聲請求消息給目的地并報告是否收到所希望的ICMP回聲應(yīng)答。 它是用來檢查網(wǎng)絡(luò)是否通暢或者網(wǎng)絡(luò)連接速度的命令。作為一個生活在網(wǎng)絡(luò)上的管理員或者黑客來說，ping命令是第一個必須掌握的DOS命令，它所利用的原理是這樣的：網(wǎng)絡(luò)上的機(jī)

5、器都有唯一確定的IP地址，我們給目標(biāo)IP地址發(fā)送一個數(shù)據(jù)包，對方就要返回一個同樣大小的數(shù)據(jù)包，根據(jù)返回的數(shù)據(jù)包我們可以確定目標(biāo)主機(jī)的存在，可以初步判斷目標(biāo)主機(jī)的操作系統(tǒng)等。Ping 是Windows系列自帶的一個可執(zhí)行命令。利用它可以檢查網(wǎng)絡(luò)是否能夠連通，用好它可以很好地幫助我們分析判定網(wǎng)絡(luò)故障。應(yīng)用格式：Ping IP地址。該命令還可以加許多參數(shù)使用，具體是鍵入Ping按回車即可看到詳細(xì)說明。ping指的是端對端連通，通常用來作為可用性的檢查， 但是某些病毒木馬會強(qiáng)行大量遠(yuǎn)程執(zhí)行ping命令搶占你的網(wǎng)絡(luò)資源，導(dǎo)致系統(tǒng)變慢，網(wǎng)速變慢。 嚴(yán)禁ping入侵作為大多數(shù)防火墻的一個基本功能提供給用戶進(jìn)

6、行選擇。 編輯本段PING命令參數(shù)詳解1、-a 解析計算機(jī)NetBios名。1示例：C:ping -a 192.168.1.21Pinging 192.168.1.21 with 32 bytes of data: Reply from 192.168.1.21: bytes=32 time10ms TTL=254 Reply from 192.168.1.21: bytes=32 time10ms TTL=254 Reply from 192.168.1.21: bytes=32 time10ms TTL=254 Reply from 192.168.1.21: bytes=32 timep

7、ing -n 50 202.103.96.68 Pinging 202.103.96.68 with 32 bytes of data: Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Request timed out. Reply from 202.103.96.68: bytes=32 time=50ms TTL=241

8、Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Ping statistics for 202.103.96.68: Packets: Sent = 50, Received = 48, Lost = 2 (4% loss),Approximate round trip times in milli-seconds: Minimum = 40ms, Maximum = 51ms, Average = 46ms 從以上我就可以知道在給202.103.96.68發(fā)送50個數(shù)據(jù)包的過程當(dāng)中，返回了48個，其中有兩個由于未知原因丟失，這48個數(shù)

9、據(jù)包當(dāng)中返回速度最快為40ms，最慢為51ms，平均速度為46ms。 3、-l size . 定義echo數(shù)據(jù)包大小。在默認(rèn)的情況下windows的ping發(fā)送的數(shù)據(jù)包大小為32byt，我們也可以自己定義它的大小，但有一個大小的限制，就是最大只能發(fā)送65500byt，也許有人會問為什么要限制到65500byt，因為Windows系列的系統(tǒng)都有一個安全漏洞（也許還包括其他系統(tǒng)）就是當(dāng)向?qū)Ψ揭淮伟l(fā)送的數(shù)據(jù)包大于或等于65532時，對方就很有可能當(dāng)機(jī)，所以微軟公司為了解決這一安全漏洞于是限制了ping的數(shù)據(jù)包大小。雖然微軟公司已經(jīng)做了此限制，但這個參數(shù)配合其他參數(shù)以后危害依然非常強(qiáng)大，比如我們就可以

10、通過配合-t參數(shù)來實現(xiàn)一個帶有攻擊性的命令：（以下介紹帶有危險性，僅用于試驗，請勿輕易施于別人機(jī)器上，否則后果自負(fù)）C:ping -l 65500 -t 192.168.1.21 Pinging 192.168.1.21 with 65500 bytes of data: Reply from 192.168.1.21: bytes=65500 time10ms TTL=254 Reply from 192.168.1.21: bytes=65500 timeping -n 1 -r 9 202.96.105.101 （發(fā)送一個數(shù)據(jù)包，最多記錄9個路由） Pinging 202.96.105.

11、101 with 32 bytes of data: Reply from 202.96.105.101: bytes=32 time=10ms TTL=249 Route: 202.107.208.187 - 202.107.210.214 - 61.153.112.70 - 61.153.112.89 - 202.96.105.149 - 202.96.105.97 - 202.96.105.101 - 202.96.105.150 - 61.153.112.90 Ping statistics for 202.96.105.101: Packets: Sent = 1, Received

12、 = 1, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 10ms, Maximum = 10ms, Average = 10ms 從上面我就可以知道從我的計算機(jī)到202.96.105.101一共通過了202.107.208.187 ，202.107.210.214 , 61.153.112.70 , 61.153.112.89 , 202.96.105.149 , 202.96.105.97這幾個路由。 8、-s count 指定 count 指定的躍點數(shù)的時間戳。此參數(shù)和-r差不多，

13、只是這個參數(shù)不記錄數(shù)據(jù)包返回所經(jīng)過的路由，最多也只記錄4個。 9、-j host-list 利用 computer-list 指定的計算機(jī)列表路由數(shù)據(jù)包。連續(xù)計算機(jī)可以被中間網(wǎng)關(guān)分隔（路由稀疏源）IP 允許的最大數(shù)量為 9。 10、-k host-list 利用 computer-list 指定的計算機(jī)列表路由數(shù)據(jù)包。連續(xù)計算機(jī)不能被中間網(wǎng)關(guān)分隔（路由嚴(yán)格源）IP 允許的最大數(shù)量為 9。 11、-w timeout 指定超時間隔，單位為毫秒。 12、-t-連續(xù)對IP地址執(zhí)行Ping命令，直到被用戶以Ctrl+C中斷。 編輯本段ping命令的其他技巧在一般情況下還可以通過ping對方讓對方返回給

14、你的TTL值大小，粗略的判斷目標(biāo)主機(jī)的系統(tǒng)類型是Windows系列還是UNIX/Linux系列，一般情況下Windows系列的系統(tǒng)返回的TTL值在100-130之間，而UNIX/Linux系列的系統(tǒng)返回的TTL值在240-255之間，當(dāng)然TTL的值在對方的主機(jī)里是可以修改的，Windows系列的系統(tǒng)可以通過修改注冊表以下鍵值實現(xiàn)：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters DefaultTTL=dword:000000ff 255-FF 128-80 64-40 32-20 在網(wǎng)絡(luò)沒有問題，卻無法PING通時

15、可能有以下一些情況。1.太心急。即網(wǎng)線剛插到交換機(jī)上就想Ping通網(wǎng)關(guān)，忽略了生成樹的收斂時 間。當(dāng)然，較新的交換機(jī)都支持快速生成樹，或者有的管理員干脆把用戶端口（access port）的生成樹協(xié)議關(guān)掉，問題就解決了。2.訪問控制。不管中間跨越了多少跳，只要有節(jié)點（包括端節(jié)點）對ICMP進(jìn)行了過濾，Ping不通是正常的。最常見的就是防火墻的行為。3.某些路由器端口是不允許用戶Ping的。還遇到過這樣的情形，更為隱蔽。1.網(wǎng)絡(luò)因設(shè)備間的時延太大，造成ICMP echo報文無法在缺省時 間（2秒）內(nèi)收到。時延的原因有若干，比如線路（衛(wèi)星網(wǎng)時延上下星為540毫秒），路由器處理時延，或路由設(shè)計不合理

16、造成迂回路徑。使用擴(kuò)展Ping，增加timed out時 間，可Ping通的話就屬路由時延太大問題。2.引入NAT的場合會造成單向Ping通。NAT可以起到隱蔽內(nèi)部地址的作用，當(dāng)由內(nèi)Ping外時，可以Ping通是因為NAT表的映射關(guān)系存在，當(dāng)由外發(fā)起Ping內(nèi)網(wǎng)主機(jī)時，就無從查找邊界路由器的NAT表項了。3.多路由負(fù)載均衡場合。比如Ping遠(yuǎn)端目的主機(jī)，成功的reply和timed out交錯出現(xiàn)，結(jié)果發(fā)現(xiàn)在網(wǎng)關(guān)路由器上存在兩條到目的網(wǎng)段的路由，兩條路由權(quán)重相等，但經(jīng)查一條路由存在問題。4.IP地址分配不連續(xù)。地址規(guī)劃出現(xiàn)問題象是在網(wǎng)絡(luò)中埋了地雷，地址重疊或掩碼劃分不連續(xù)都可能在Ping時出現(xiàn)

17、問題。比如一個極端情況，A、B兩臺主機(jī)，經(jīng)過多跳相連，A能Ping通B的網(wǎng)關(guān)，而且B的網(wǎng)關(guān)設(shè)置正確，但A、B就是Ping不通。經(jīng)查，在B的網(wǎng)卡上還設(shè)有第二個地址，并且這個地址與A所在的網(wǎng)段重疊。5.指定源地址的擴(kuò)展Ping。登陸到路由器上，Ping遠(yuǎn)程主機(jī)，當(dāng)ICMP echo request從串行廣域網(wǎng)接口發(fā)出去的時候，路由器會指定某個IP地址作為源IP，這個IP地址可能不是此接口的IP或這個接口根本沒有IP地址。而某個下游路由器可能并沒有到這個IP網(wǎng)段的路由，導(dǎo)致不能Ping通。可以采用擴(kuò)展Ping，指定好源IP地址。當(dāng)主機(jī)網(wǎng)關(guān)和中間路由的配置認(rèn)為正確時，出現(xiàn)Ping問題也是很普遍的現(xiàn)象。

18、此時應(yīng)該忘掉不可能幾個字，把Ping的擴(kuò)展參數(shù)和反饋信息、traceroute、路由器debug、以及端口鏡像和Sniffer等工具結(jié)合起來進(jìn)行分析。比如，當(dāng)A、B兩臺主機(jī)經(jīng)過多跳路由器相連時，二者網(wǎng)關(guān)設(shè)置正確，在A上可以Ping通B，但在B上不能Ping通A。可以通過在交換機(jī)做鏡像，并用Sniffer抓包，來找出ICMP 報文終止于何處，報文內(nèi)容是什么，就可以發(fā)現(xiàn)ICMP報文中的源IP地址并非預(yù)期的那樣，此時很容易想象出可能是路由器的NAT功能使然，這樣就能夠逐步地發(fā)現(xiàn)一些被忽視的問題。而Ping不通時的反饋信息是destination_net_unreachable還是timed out也

19、是有區(qū)別的 編輯本段使用PING命令的各類反饋信息Request timed out2a.對方已關(guān)機(jī)，或者網(wǎng)絡(luò)上根本沒有這個地址：比如在上圖中主機(jī)A中PING 192.168.0.7 ,或者主機(jī)B關(guān)機(jī)了，在主機(jī)A中PING 192.168.0.5 都會得到超時的信息。b.對方與自己不在同一網(wǎng)段內(nèi)，通過路由也無法找到對方，但有時對方確實是存在的，當(dāng)然不存在也是返回超時的信息。c.對方確實存在，但設(shè)置了ICMP數(shù)據(jù)包過濾（比如防火墻設(shè)置）怎樣知道對方是存在，還是不存在呢，可以用帶參數(shù) -a 的Ping命令探測對方，如果能得到對方的NETBIOS名稱，則說明對方是存在的，是有防火墻設(shè)置，如果得不到，

20、多半是對方不存在或關(guān)機(jī)，或不在同一網(wǎng)段內(nèi)。d.錯誤設(shè)置IP地址正常情況下，一臺主機(jī)應(yīng)該有一個網(wǎng)卡，一個IP地址，或多個網(wǎng)卡，多個IP地址（這些地址一定要處于不同的IP子網(wǎng)）。但如果一臺電腦的“撥號網(wǎng)絡(luò)適配器”（相當(dāng)于一塊軟網(wǎng)卡）的TCP/IP設(shè)置中，設(shè)置了一個與網(wǎng)卡IP地址處于同一子網(wǎng)的IP地址，這樣，在IP層協(xié)議看來，這臺主機(jī)就有兩個不同的接口處于同一網(wǎng)段內(nèi)。當(dāng)從這臺主機(jī)Ping其他的機(jī)器時，會存在這樣的問題：A.主機(jī)不知道將數(shù)據(jù)包發(fā)到哪個網(wǎng)絡(luò)接口，因為有兩個網(wǎng)絡(luò)接口都連接在同一網(wǎng)段。B.主機(jī)不知道用哪個地址作為數(shù)據(jù)包的源地址。因此，從這臺主機(jī)去Ping其他機(jī)器，IP層協(xié)議會無法處理，超時后

21、，Ping 就會給出一個“超時無應(yīng)答”的錯誤信息提示。但從其他主機(jī)Ping這臺主機(jī)時，請求包從特定的網(wǎng)卡來，ICMP只須簡單地將目的、源地址互換，并更改一些標(biāo)志即可，ICMP應(yīng)答包能順利發(fā)出，其他主機(jī)也就能成功Ping通這臺機(jī)器了。Destination host Unreachable對方與自己不在同一網(wǎng)段內(nèi)，而自己又未設(shè)置默認(rèn)的路由，比如上例中A機(jī)中不設(shè)定默認(rèn)的路由，運(yùn)行Ping 192.168.0.1.4就會出現(xiàn)“Destination host Unreachable”。網(wǎng)線出了故障這里要說明一下“destination host unreachable”和 “time out”的區(qū)別

22、，如果所經(jīng)過的路由器的路由表中具有到達(dá)目標(biāo)的路由，而目標(biāo)因為其他原因不可到達(dá)，這時候會出現(xiàn)“time out”，如果路由表中連到達(dá)目標(biāo)的路由都沒有，那就會出現(xiàn)“destination host unreachable”。Bad IP address這個信息表示您可能沒有連接到DNS服務(wù)器，所以無法解析這個IP地址，也可能是IP地址不存在。Source quench received這個信息比較特殊，它出現(xiàn)的機(jī)率很少。它表示對方或中途的服務(wù)器繁忙無法回應(yīng)。Unknown host不知名主機(jī)這種出錯信息的意思是，該遠(yuǎn)程主機(jī)的名字不能被域名服務(wù)器（DNS）轉(zhuǎn)換成IP地址。故障原因可能是域名服務(wù)器有故

23、障，或者其名字不正確，或者網(wǎng)絡(luò)管理員的系統(tǒng)與遠(yuǎn)程主機(jī)之間的通信線路有故障。No answer無響應(yīng)這種故障說明本地系統(tǒng)有一條通向中心主機(jī)的路由，但卻接收不到它發(fā)給該中心主機(jī)的任何信息。故障原因可能是下列之一：中心主機(jī)沒有工作；本地或中心主機(jī)網(wǎng)絡(luò)配置不正確；本地或中心的路由器沒有工作；通信線路有故障；中心主機(jī)存在路由選擇問題。Ping 127.0.0.1：127.0.0.1是本地循環(huán)地址如果本地址無法Ping通，則表明本地機(jī)TCP/IP協(xié)議不能正常工作。no rout to host：網(wǎng)卡工作不正常。transmit failed,error code：10043網(wǎng)卡驅(qū)動不正常。unknown

24、host name：DNS配置不正確。 利用PING來檢查網(wǎng)絡(luò)狀態(tài)的方法：1.Ping本機(jī)IP例如本機(jī)IP地址為：172.168.200.2。則執(zhí)行命令Ping 172.168.200.2。如果網(wǎng)卡安裝配置沒有問題，則應(yīng)有類似下列顯示：Replay from 172.168.200.2 bytes=32 time10msPing statistics for 172.168.200.2Packets Sent=4 Received=4 Lost=0 0% lossApproximate round trip times in milli-secondsMinimum=0ms Maxiumu=1

25、ms Average=0ms如果在MS-DOS方式下執(zhí)行此命令顯示內(nèi)容為：Request timed out，則表明網(wǎng)卡安裝或配置有問題。將網(wǎng)線斷開再次執(zhí)行此命令，如果顯示正常，則說明本機(jī)使用的IP地址可能與另一臺正在使用的機(jī)器IP地址重復(fù)了。如果仍然不正常，則表明本機(jī)網(wǎng)卡安裝或配置有問題，需繼續(xù)檢查相關(guān)網(wǎng)絡(luò)配置。2.Ping網(wǎng)關(guān)IP假定網(wǎng)關(guān)IP為：172.168.6.1，則執(zhí)行命令Ping 172.168.6.1。在MS-DOS方式下執(zhí)行此命令，如果顯示類似以下信息：Reply from 172.168.6.1 bytes=32 time=9ms TTL=255Ping statistics

26、 for 172.168.6.1 Packets Sent=4 Received=4 Lost=0 Approximate round trip times in milli-secondsMinimum=1ms Maximum=9ms Average=5ms則表明局域網(wǎng)中的網(wǎng)關(guān)路由器正在正常運(yùn)行。反之，則說明網(wǎng)關(guān)有問題。3.Ping遠(yuǎn)程IP這一命令可以檢測本機(jī)能否正常訪問Internet。比如本地電信運(yùn)營商的IP地址為：202.102.48.141。在MS-DOS方式下執(zhí)行命令：Ping 202.102.48.141，如果屏幕顯示：Reply from 202.102.48.141 byte

27、s=32 time=33ms TTL=252Reply from 202.102.48.141 bytes=32 time=21ms TTL=252Reply from 202.102.48.141 bytes=32 time=5ms TTL=252Reply from 202.102.48.141 bytes=32 time=6ms TTL=252Ping statistics for 202.102.48.141 Packets Sent=4 Received=4 Lost=0 0% lossApproximate round trip times in milli-secondsMini

28、mum=5ms Maximum=33ms Average=16ms則表明運(yùn)行正常，能夠正常接入互聯(lián)網(wǎng)。反之，則表明主機(jī)文件（windows/host）存在問題。 ping命令的用法驗證與遠(yuǎn)程計算機(jī)的連接。該命令只有在安裝了 TCP/IP 協(xié)議后才可以使用。ping -t -a -n count -l length -f -i ttl -v tos -r count -s count -j computer-list | -k computer-list -w timeout destination-list參數(shù)-tPing 指定的計算機(jī)直到中斷。-a將地址解析為計算機(jī)名。-n count發(fā)送

29、count 指定的 ECHO 數(shù)據(jù)包數(shù)。默認(rèn)值為 4。-l length發(fā)送包含由 length 指定的數(shù)據(jù)量的 ECHO 數(shù)據(jù)包。默認(rèn)為 32 字節(jié)；最大值是 65,527。-f在數(shù)據(jù)包中發(fā)送“不要分段”標(biāo)志。數(shù)據(jù)包就不會被路由上的網(wǎng)關(guān)分段。-i ttl將“生存時間”字段設(shè)置為 ttl 指定的值。-v tos將“服務(wù)類型”字段設(shè)置為 tos 指定的值。-r count在“記錄路由”字段中記錄傳出和返回數(shù)據(jù)包的路由。count 可以指定最少 1 臺，最多 9 臺計算機(jī)。-s count指定 count 指定的躍點數(shù)的時間戳。-j computer-list利用 computer-list 指定

30、的計算機(jī)列表路由數(shù)據(jù)包。連續(xù)計算機(jī)可以被中間網(wǎng)關(guān)分隔（路由稀疏源）IP 允許的最大數(shù)量為 9。-k computer-list利用 computer-list 指定的計算機(jī)列表路由數(shù)據(jù)包。連續(xù)計算機(jī)不能被中間網(wǎng)關(guān)分隔（路由嚴(yán)格源）IP 允許的最大數(shù)量為 9。-w timeout指定超時間隔，單位為毫秒。destination-list指定要 ping 的遠(yuǎn)程計算機(jī) Ping相關(guān)環(huán)境訊息適用環(huán)境：WIN95/98/2000/NT 使用格式：ping -t -a -n count -l size 參數(shù)介紹： -t 讓用戶所在的主機(jī)不斷向目標(biāo)主機(jī)發(fā)送數(shù)據(jù) -a 以IP地址格式來顯示目標(biāo)主機(jī)的網(wǎng)絡(luò)地址

31、 -n count 指定要ping多少次，具體次數(shù)由后面的count來指定 -l size 指定發(fā)送到目標(biāo)主機(jī)的數(shù)據(jù)包的大小 主要功能：用來測試一幀數(shù)據(jù)從一臺主機(jī)傳輸?shù)搅硪慌_主機(jī)所需的時間，從而判斷主響應(yīng)時間。 詳細(xì)介紹： 該命令主要是用來檢查路由是否能夠到達(dá)，由于該命令的包長非常小，所以在網(wǎng)上傳遞的速度非?？?，可以快速地檢測你要去的站點是否可達(dá)，一般你在去某一站點時可以先運(yùn)行一下該命令看看該站點是否可達(dá)。如果執(zhí)行Ping不成功，則可以預(yù)測故障出現(xiàn)在以下幾個方面：網(wǎng)線是否連通，網(wǎng)絡(luò)適配器配置是否正確，IP地址是否可用等；如果執(zhí)行Ping成功而網(wǎng)絡(luò)仍無法使用，那么問題很可能出在網(wǎng)絡(luò)系統(tǒng)的軟件配置

32、方面，Ping成功只能保證當(dāng)前主機(jī)與目的主機(jī)間存在一條連通的物理路徑。它的使用格式是在命令提示符下鍵入：PingIP地址或主機(jī)名，執(zhí)行結(jié)果顯示響應(yīng)時間，重復(fù)執(zhí)行這個命令，你可以發(fā)現(xiàn)Ping報告的響應(yīng)時間是不同的。具體的ping命令后還可跟好多參數(shù)，你可以鍵入ping后回車其中會有很詳細(xì)的說明。 防范被Ping與封閉端口隨著學(xué)校校園網(wǎng)越來越多人使用，用戶對網(wǎng)絡(luò)知識認(rèn)知的提高，很多人在網(wǎng)上下載一些黑客工具或者用Ping命令，進(jìn)行掃描端口、IP尋找肉機(jī)，帶來很壞的影響。Ping命令它可以向你提供的地址發(fā)送一個小的數(shù)據(jù)包，然后偵聽這臺機(jī)器是否有“回答”。查找現(xiàn)在哪些機(jī)器在網(wǎng)絡(luò)上活動。使用Ping入侵即

33、是ICMP 入侵，原理是通過Ping在一個時段內(nèi)連續(xù)向計算機(jī)發(fā)出大量請求使得計算機(jī)的CPU占用率居高不下達(dá)到100%而系統(tǒng)死機(jī)甚至崩潰?；诖耍瑢戇@篇IP安全策略防Ping文章以保障自己的系統(tǒng)安全。其實防Ping安裝和設(shè)置防火墻也可以解決，但防火墻并不是每一臺電腦都會去裝，要考慮資源占用還有設(shè)置技巧。如果你安裝了防火墻但沒有去修改、添加IP規(guī)則那一樣沒用。有些配置不是很高為免再給防火墻占用資源用手工在自己系統(tǒng)中設(shè)置安全略是一個上上的辦法。下面就寫下具體創(chuàng)建過程：（一）創(chuàng)建IP安全策略1、依次單擊“開始控制面板管理工具本地安全策略”，打開“本地安全設(shè)置”，右擊該對話框左側(cè)的“IP安全策略，在本地

34、計算機(jī)”選項，執(zhí)行“創(chuàng)建IP安全策略”命令。（之間有些簡單的點擊下一步之類的過程省略不寫）2、在出現(xiàn)的“默認(rèn)響應(yīng)規(guī)則身份驗證方法”對話框中我們選中“此字符串用來保護(hù)密鑰交換（預(yù)共享密鑰）”選項，然后在下面的文字框中任意鍵入一段字符串。（如“禁止 Ping”）3、完成了IP安全策略的創(chuàng)建工作后在“IP篩選器列表”窗口中單擊“添加”按鈕，此時將會彈出“IP篩選器向?qū)А贝翱冢覀儐螕簟跋乱徊健?，此時將會彈出“IP通信源”頁面，在該頁面中設(shè)置“源地址”為“我的IP地址”：“目標(biāo)地址”為“任何IP地址”，任何IP地址的計算機(jī)都不能Ping你的機(jī)器。在“篩選器屬性”中可封閉端口。比如封閉TCP協(xié)議的135

35、端口：在“選擇協(xié)議類型”的下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，點擊“確定”按鈕，這樣就添加了一個屏蔽 TCP 135（RPC）端口的篩選器，它可以防止外界通過135端口連上你的電腦。重復(fù)可封閉TCP UDP等自己認(rèn)為需要封閉的端口。這里不一一寫出。4、依次單擊“下一步”“完成”，此時，你將會在“IP篩選器列表”看到剛剛創(chuàng)建的篩選器，將其選中后單擊“下一步”，我們在出現(xiàn)的“篩選器操作”頁面中設(shè)置篩選器操作為“需要安全”選項。（二）指派IP安全策略安全策略創(chuàng)建完畢后并不能馬上生效，我們還需通過“指派”功能令其發(fā)揮作用。方法是：在“控制臺根節(jié)點”中右擊“新的IP安

36、全策略”項，然后在彈出的右鍵菜單中執(zhí)行“指派”命令，即可啟用該策略。至此，這臺主機(jī)已經(jīng)具備了拒絕其他任何機(jī)器Ping自己IP地址的功能，不過在本地仍然能夠Ping通自己。經(jīng)過這樣的設(shè)置之后，所有用戶（包括管理員）都不能在其他機(jī)器上對此服務(wù)器進(jìn)行Ping操作。從此你再也不用擔(dān)心被Ping威脅。如果再把一些黑客工具、木馬常探尋的端口封閉那你的系統(tǒng)就更加固若金湯了。Ping的工作過程及單向Ping通的原因 當(dāng)網(wǎng)絡(luò)出現(xiàn)問題時，我們最常用的測試工具就是“Ping”命令了。但有時候我們會碰到單方向Ping通的現(xiàn)象，例如通過HUB或一根交叉線連接的在同一個局域網(wǎng)內(nèi)的電腦A、 B，在檢查它們之間的網(wǎng)絡(luò)連通性時，發(fā)現(xiàn)從主機(jī)A Ping 主機(jī)B正常而從主機(jī)B Ping 主機(jī)A時，出現(xiàn)“超時無應(yīng)答”錯誤。為什么呢?要知道這其中的奧秘，我們有必要來看看Ping命令的工作過程到底是怎么樣的。假定主機(jī)A的IP地址是192.168.1.1，主機(jī)B的IP地址是192.168.1.2，都在同一子網(wǎng)內(nèi)，則當(dāng)你在主機(jī)A上運(yùn)行“Ping 192.168.1.2”后，都發(fā)生了些什么呢?首先，Ping命令會構(gòu)建一個固定格式的ICMP請求數(shù)據(jù)包，然后由ICMP協(xié)議將這個數(shù)據(jù)包連同地址“192.168.1.2”一起交給IP層協(xié)議(和ICMP一樣，實際上是一組后臺運(yùn)行的進(jìn)程)，IP層協(xié)議將以地址“192.168.1.2”作為