商业源码 服务器ping命令怎么开
如果只是防火墙禁用了ICMP响应,楼主你可以使用netsh firewall set icmpsetting all enable命令来开启ICMP响应,ICMP是报文控制协议,如果ICMP被禁用的话,使用PING命令是无法响应数据包的,那样就PING不通了,首先点击开始菜单栏--点击开始--输入CMD确定--在CMD里面直接输入netsh firewall set icmpsetting all enable这样就行了,如果不行的话,你先在CMD输入netsh firewall reset将防火墙设置为默认值后在运行以上命令,要是以上都做了,还不能PING通的话,你就要检查服务器的IP策略里面是否有相关的配置,如果有的话直接清除就行了!
一什么是PING
是DOS命令,一般用于检测网络通与不通
PING (Packet Internet Grope),因特网包探索器,用于测试网络连接量的程序Ping发送一个ICMP回声清求消息给目的地并报告是否收到所希望的ICMP回声应答
它是用来检查网络是否通畅或者网络连接速度的命令作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令,它所利用的原理是这样的:网络上的机器都有唯一确定的IP地址,我们给目标IP地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我们可以确定目标主机的存在,可以初步判断目标主机的操作系统等
Ping 是Windows系列自带的一个可执行命令利用它可以检查网络是否能够连通,用好它可以很好地帮助我们分析判定网络故障应用格式:Ping IP地址该命令还可以加许多参数使用,具体是键入Ping按回车即可看到详细说明
ping指的是端对端连通,通常用来作为可用性的检查,
但是某些病毒木马会强行大量远程执行ping命令抢占你的网络资源,导致系统变慢,网速变慢
严禁ping入侵作为大多数防火墙的一个基本功能提供给用户进行选择
二PING测试
通常的情况下你如果不用作服务器或者进行网络测试,可以放心的选中它,保护你的电脑
1Ping本机IP
例如本机IP地址为:1721682002则执行命令Ping 1721682002如果网卡安装配置没有问题,则应有类似下列显示:
Replay from 1721682002 bytes=32 time<10ms
Ping statistics for 1721682002
Packets Sent=4 Received=4 Lost=0 0% loss
Approximate round trip times in milli-seconds
Minimum=0ms Maxiumu=1ms Average=0ms
如果在MS-DOS方式下执行此命令显示内容为:Request timed out,则表明网卡安装或配置有问题将网线断开再次执行此命令,如果显示正常,则说明本机使用的IP地址可能与另一台正在使用的机器IP地址重复了如果仍然不正常,则表明本机网卡安装或配置有问题,需继续检查相关网络配置
2Ping网关IP
假定网关IP为:17216861,则执行命令Ping 17216861在MS-DOS方式下执行此命令,如果显示类似以下信息:
Reply from 17216861 bytes=32 time=9ms TTL=255
Ping statistics for 17216861
Packets Sent=4 Received=4 Lost=0
Approximate round trip times in milli-seconds
Minimum=1ms Maximum=9ms Average=5ms
则表明局域网中的网关路由器正在正常运行反之,则说明网关有问题
3Ping远程IP
这一命令可以检测本机能否正常访问Internet比如本地电信运营商的IP地址为:20210248141在MS-DOS方式下执行命令:Ping 20210248141,如果屏幕显示:
Reply from 20210248141 bytes=32 time=33ms TTL=252
Reply from 20210248141 bytes=32 time=21ms TTL=252
Reply from 20210248141 bytes=32 time=5ms TTL=252
Reply from 20210248141 bytes=32 time=6ms TTL=252
Ping statistics for 20210248141
Packets Sent=4 Received=4 Lost=0 0% loss
Approximate round trip times in milli-seconds
Minimum=5ms Maximum=33ms Average=16ms
则表明运行正常,能够正常接入互联网反之,则表明主机文件(windows/host)存在问题
三PING命令参数详解
-a 将目标的机器标识转换为ip地址
-t 若使用者不人为中断会不断的ping下去
-c count 要求ping命令连续发送数据包,直到发出并接收到count个请求
-d 为使用的套接字打开调试状态
-f 是一种快速方式ping使得ping输出数据包的速度和数据包从远程主机返回一样快,或者更快,达到每秒100次在这种方式下,每个请求用一个句点表示对于每一个响应打印一个空格键
-i seconds 在两次数据包发送之间间隔一定的秒数不能同-f一起使用
-n 只使用数字方式在一般情况下ping会试图把IP地址转换成主机名这个选项要求ping打印IP地址而不去查找用符号表示的名字如果由于某种原因无法使用本地DNS服务器这个选项就很重要了
-p pattern 拥护可以通过这个选项标识16 pad字节,把这些字节加入数据包中当在网络中诊断与数据有关的错误时这个选项就非常有用
-q 使ping只在开始和结束时打印一些概要信息
-R 把ICMP RECORD-ROUTE选项加入到ECHO_REQUEST数据包中,要求在数据包中记录路由,这样当数据返回时ping就可以把路由信息打印出来每个数据包只能记录9个路由节点许多主机忽略或者放弃这个选项
-r 使ping命令旁路掉用于发送数据包的正常路由表
-s packetsize 使用户能够标识出要发送数据的字节数缺省是56个字符,再加上8个字节的ICMP数据头,共64个ICMP数据字节
-v 使ping处于verbose方式它要ping命令除了打印ECHO-RESPONSE数据包之外,还打印其它所有返回的ICMP数据包
=================================================================================
ping的参数!
ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [[-j computer-list] | [-k computer-list]
[-w timeout] destination-list
Ping 命令可以用来验证与远程计算机的连接(该命令只有在安装了TCP/IP协议后才能使用)
参数说明 :
-t :一直Ping指定的计算机,直到从键盘按下Control-C中断
-a :将地址解析为计算机NetBios名
-n :发送count指定的ECHO数据包数,通过这个命令可以自己定义发送的个数,对衡量网络速度很有帮助能
够测试发送数据包的返回平均时间,及时间的快慢程度默认值为 4
-l :发送指定数据量的ECHO数据包默认为 32 字节;最大值是65500byt
-f :在数据包中发送不要分段标志,数据包就不会被路由上的网关分段通常你所发送的数据包都会通过路由分
段再发送给对方,加上此参数以后路由就不会再分段处理
-i :将生存时间字段设置为TTL指定的值指定TTL值在对方的系统里停留的时间同时检查网络运转情况的
-v :tos 将服务类型字段设置为 tos 指定的值
-r :在记录路由字段中记录传出和返回数据包的路由通常情况下,发送的数据包是通过一系列路由才到达目
标地址的,通过此参数可以设定,想探测经过路由的个数限定能跟踪到9个路由
-s :指定 count 指定的跃点数的时间戳与参数-r差不多,但此参数不记录数据包返回所经过的路由,最多只记
录4个
-j :利用 computer-list 指定的计算机列表路由数据包连续计算机可以被中间网关分隔(路由稀疏源) IP 允许的
最大数量为 9
-k :computer-list 利用 computer-list 指定的计算机列表路由数据包连续计算机不能被中间网关分隔(路由严格
源)IP 允许的最大数量为 9
-w:timeout 指定超时间隔,单位为毫秒
destination-list: 指定要 ping 的远程计算机
一般情况下,通过ping目标地址,可让对方返回TTL值的大小,通过TTL值可以粗略判断目标主机的系统类型是Windows还是UNIX/Linux,一般情况下Windows系统返回的TTL值在100-130之间,而UNIX/Linux系统返回的TTL值在240-255之间但TTL的值是可以修改的故此种方法可作为参考
一般操作方法如下:
C:\>ping wwwyahoocom
Pinging wwwyahooakadnsnet [662187181] with 32 bytes of data:
Reply from 662187181: bytes=32 time=160ms TTL=41
Reply from 662187181: bytes=32 time=150ms TTL=41
Reply from 662187181: bytes=32 time=160ms TTL=41
Reply from 662187181: bytes=32 time=161ms TTL=41
Ping statistics for 662187181:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate
round trip times in milli-seconds:
Minimum = 150ms, Maximum = 161ms, Average = 157ms
--------------------------------------------------------------------------------
Tracerttracert
Tracert 该诊断实用程序将包含不同生存时间 (TTL) 值的 Internet 控制消息协议(ICMP)
回显数据包发送到目标,以决定到达目标采用的路由要在转发数据包上的 TTL 之前至少递减 1,必需路径上的每个路由器,所以 TTL
是有效的跃点计数数据包上的 TTL 到达 0 时,路由器应该将ICMP 已超时的消息发送回源系统Tracert 先发送 TTL
为 1 的回显数据包,并在随后的每次发送过程将 TTL递增 1,直到目标响应或 TTL
达到最大值,从而确定路由路由通过检查中级路由器发送回的ICMP 已超时的消息来确定路由不过,有些路由器悄悄地下传包含过期 TTL
值的数据包,而 tracert 看不到
tracert [-d] [-h maximum_hops] [-j computer-list] [-w timeout]
target_name
参数说明:
/d 指定不将地址解析为计算机名
-h maximum_hops 指定搜索目标的最大跃点数
-j computer-list 指定沿 computer-list 的稀疏源路由
-w timeout 每次应答等待 timeout 指定的微秒数
target_name 目标计算机的名称
一般操作方法如下:
C:\>tracert wwwyahoocom
Tracing route to wwwyahooakadnsnet [662187181] over a maximum
of 30 hops:
1 10 ms <10 ms <10 ms 19216807
2 <10 ms 10 ms <10 ms 21019297129
3 <10 ms 20 ms 10 ms 19216820021
4 <10 ms 10 ms 10 ms 203212069
5 <10 ms 10 ms 10 ms 2021082521
6 10 ms 10 ms <10 ms 202106193201
7 10 ms 20 ms 20 ms 202106193169
8 <10 ms 10 ms 10 ms 202106192226
9 <10 ms 10 ms 10 ms 202961245
10 20 ms 30 ms 20 ms p-6-0-r1-c-shsh-1cnnet [202973434]
11 20 ms 30 ms 30 ms p-3-0-r3-i-shsh-1cnnet [202973374]
12 160 ms 161 ms 160 ms if-7-7core1LosAngelesTeleglobenet
[2074519373]
13 200 ms 201 ms 200 ms if-4-0core1SacramentoTeleglobenet
[648683170]
14 190 ms 190 ms 190 ms if-2-0core1PaloAltoTeleglobenet
[648683201]
15 160 ms 160 ms 160 ms ix-5-0core1PaloAltoTeleglobenet
[2074519690]
16 180 ms 180 ms 160 ms ge-1-3-0msr1paoyahoocom
[216115100150]
17 170 ms 210 ms 321 ms vl10bas1scdyahoocom [6621864134]
18 170 ms 170 ms 170 ms w2scdyahoocom [662187181]
===============================================
对于Windows下ping命令相信大家已经再熟悉不过了,但是能把ping的功能发挥到最大的人却并不是很多,当然我也并不是说我可以让ping发挥最大的功能,我也只不过经常用ping这个工具,也总结了一些小经验,现在和大家分享一下
现在我就参照ping命令的帮助说明来给大家说说我使用ping时会用到的技巧,ping只有在安装了TCP/IP协议以后才可以使用:
ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [-j computer-list] | [-k computer-list] [-w timeout] destination-list
Options:
-t Ping the specified host until stoppedTo see statistics and continue - type Control-Break;To stop - type Control-C
不停的ping地方主机,直到你按下Control-C
此功能没有什么特别的技巧,不过可以配合其他参数使用,将在下面提到
-a Resolve addresses to hostnames
解析计算机NetBios名
示例:C:\>ping -a 192168121
Pinging icebloodyoforcom [192168121] with 32 bytes of data:
Reply from 192168121: bytes=32 time<10ms TTL=254
Reply from 192168121: bytes=32 time<10ms TTL=254
Reply from 192168121: bytes=32 time<10ms TTL=254
Reply from 192168121: bytes=32 time<10ms TTL=254
Ping statistics for 192168121:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
从上面就可以知道IP为192168121的计算机NetBios名为icebloodyoforcom
n count Number of echo requests to send
发送count指定的Echo数据包数
在默认情况下,一般都只发送四个数据包,通过这个命令可以自己定义发送的个数,对衡量网络速度很有帮助,比如我想测试发送50个数据包的返回的平均时间为多少,最快时间为多少,最慢时间为多少就可以通过以下获知:
C:\>ping -n 50 2021039668
Pinging 2021039668 with 32 bytes of data:
Reply from 2021039668: bytes=32 time=50ms TTL=241
Reply from 2021039668: bytes=32 time=50ms TTL=241
Reply from 2021039668: bytes=32 time=50ms TTL=241
Request timed out
Reply from 2021039668: bytes=32 time=50ms TTL=241
Reply from 2021039668: bytes=32 time=50ms TTL=241
Ping statistics for 2021039668:
Packets: Sent = 50, Received = 48, Lost = 2 (4% loss),Approximate round trip times in milli-seconds:
Minimum = 40ms, Maximum = 51ms, Average = 46ms
从以上我就可以知道在给2021039668发送50个数据包的过程当中,返回了48个,其中有两个由于未知原因丢失,这48个数据包当中返回速度最快为40ms,最慢为51ms,平均速度为46ms
l size Send buffer size
定义echo数据包大小
在默认的情况下windows的ping发送的数据包大小为32byt,我们也可以自己定义它的大小,但有一个大小的限制,就是最大只能发送65500byt,也许有人会问为什么要限制到65500byt,因为Windows系列的系统都有一个安全漏洞(也许还包括其他系统)就是当向对方一次发送的数据包大于或等于65532时,对方就很有可能挡机,所以微软公司为了解决这一安全漏洞于是限制了ping的数据包大小虽然微软公司已经做了此限制,但这个参数配合其他参数以后危害依然非常强大,比如我们就可以通过配合-t参数来实现一个带有攻击性的命令:(以下介绍带有危险性,仅用于试验,请勿轻易施于别人机器上,否则后果自负)
C:\>ping -l 65500 -t 192168121
Pinging 192168121 with 65500 bytes of data:
Reply from 192168121: bytes=65500 time<10ms TTL=254
Reply from 192168121: bytes=65500 time<10ms TTL=254
这样它就会不停的向192168121计算机发送大小为65500byt的数据包,如果你只有一台计算机也许没有什么效果,但如果有很多计算机那么就可以使对方完全瘫痪,我曾经就做过这样的试验,当我同时使用10台以上计算机ping一台Win2000Pro系统的计算机时,不到5分钟对方的网络就已经完全瘫痪,网络严重堵塞,HTTP和FTP服务完全停止,由此可见威力非同小可
-f Set Don<|>t Fragment flag in packet
在数据包中发送不要分段标志
在一般你所发送的数据包都会通过路由分段再发送给对方,加上此参数以后路由就不会再分段处理
-i TTL Time To Live
指定TTL值在对方的系统里停留的时间
此参数同样是帮助你检查网络运转情况的
-v TOS Type Of Service
将服务类型字段设置为 tos 指定的值
r count Record route for count hops
在记录路由字段中记录传出和返回数据包的路由
在一般情况下你发送的数据包是通过一个个路由才到达对方的,但到底是经过了哪些路由呢?通过此参数就可以设定你想探测经过的路由的个数,不过限制在了9个,也就是说你只能跟踪到9个路由,如果想探测更多,可以通过其他命令实现,我将在以后的文章中给大家讲解以下为示例:
C:\>ping -n 1 -r 9 20296105101 (发送一个数据包,最多记录9个路由)
Pinging 20296105101 with 32 bytes of data:
Reply from 20296105101: bytes=32 time=10ms TTL=249
Route: 202107208187 ->
202107210214 ->
6115311270 ->
6115311289 ->
20296105149 ->
2029610597 ->
20296105101 ->
20296105150 ->
6115311290
Ping statistics for 20296105101:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 10ms, Maximum = 10ms, Average = 10ms
从上面我就可以知道从我的计算机到20296105101一共通过了202107208187 ,202107210214 , 6115311270 , 6115311289 , 20296105149 , 2029610597这几个路由
指定 count 指定的跃点数的时间戳
此参数和-r差不多,只是这个参数不记录数据包返回所经过的路由,最多也只记录4个
-j host-list Loose source route along host-list
利用 computer-list 指定的计算机列表路由数据包连续计算机可以被中间网关分隔(路由稀疏源)IP 允许的最大数量为 9
-k host-list Strict source route along host-list
利用 computer-list 指定的计算机列表路由数据包连续计算机不能被中间网关分隔(路由严格源)IP 允许的最大数量为 9
-w timeout Timeout in milliseconds to wait for each reply
指定超时间隔,单位为毫秒
此参数没有什么其他技巧
ping命令的其他技巧:在一般情况下还可以通过ping对方让对方返回给你的TTL值大小,粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列,一般情况下Windows系列的系统返回的TTL值在100-130之间,而UNIX/Linux系列的系统返回的TTL值在240-255之间,当然TTL的值在对方的主机里是可以修改的,Windows系列的系统可以通过修改注册表以下键值实现:
[HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Tcpip\Parameters]
"DefaultTTL"=dword:000000ff
255---FF
128---80
64----40
32----20
Ping是个使用频率极高的网络诊断程序,用于确定本地主机是否能与另一台主机交换(发送与接收)数据报根据返回的信息,你就可以推断TCP/IP参数是否设置得正确以及运行是否正常需要注意的是:成功地与另一台主机进行一次或两次数据报交换并不表示TCP/IP配置就是正确的,你必须执行大量的本地主机与远程主机的数据报交换,才能确信TCP/IP的正确性
四相关CMD命令
1 gpeditmsc-----组策略
2 sndrec32-------录音机
3 Nslookup-------IP地址侦测器
4 explorer-------打开资源管理器
5 logoff---------注销命令
6 tsshutdn-------60秒倒计时关机命令
7 lusrmgrmsc----本机用户和组
8 servicesmsc---本地服务设置
9 oobe/msoobe /a----检查XP是否激活
10 notepad--------打开记事本
11 cleanmgr-------垃圾整理
12 net start messenger----开始信使服务
13 compmgmtmsc---计算机管理
14 net stop messenger-----停止信使服务
15 conf-----------启动netmeeting
16 dvdplay--------DVD播放器
17 charmap--------启动字符映射表
18 diskmgmtmsc---磁盘管理实用程序
19 calc-----------启动计算器
20 dfrgmsc-------磁盘碎片整理程序
21 chkdskexe-----Chkdsk磁盘检查
22 devmgmtmsc--- 设备管理器
23 regsvr32 /u dll----停止dll文件运行
24 drwtsn32------ 系统医生
25 rononce -p ----15秒关机
26 dxdiag---------检查DirectX信息
27 regedt32-------注册表编辑器
28 Msconfigexe---系统配置实用程序
29 rsopmsc-------组策略结果集
30 memexe--------显示内存使用情况
31 regeditexe----注册表
32 winchat--------XP自带局域网聊天
33 progman--------程序管理器
34 winmsd---------系统信息
35 perfmonmsc----计算机性能监测程序
2 36 winver---------检查Windows版本
37 sfc /scannow-----扫描错误并复原
38 taskmgr-----任务管理器(2000/xp/2003
39 winver---------检查Windows版本
40 wmimgmtmsc----打开windows管理体系结构(WMI)
41 wupdmgr--------windows更新程序
42 wscript--------windows脚本宿主设置
43 write----------写字板
44 winmsd---------系统信息
45 wiaacmgr-------扫描仪和照相机向导
46 winchat--------XP自带局域网聊天
47 memexe--------显示内存使用情况
48 Msconfigexe---系统配置实用程序
49 mplayer2-------简易widnows media player
50 mspaint--------画图板
51 mstsc----------远程桌面连接
52 mplayer2-------媒体播放机
53 magnify--------放大镜实用程序
54 mmc------------打开控制台
55 mobsync--------同步命令
56 dxdiag---------检查DirectX信息
57 drwtsn32------ 系统医生
58 devmgmtmsc--- 设备管理器
59 dfrgmsc-------磁盘碎片整理程序
60 diskmgmtmsc---磁盘管理实用程序
61 dcomcnfg-------打开系统组件服务
62 ddeshare-------打开DDE共享设置
63 dvdplay--------DVD播放器
64 net stop messenger-----停止信使服务
65 net start messenger----开始信使服务
66 notepad--------打开记事本
67 nslookup-------网络管理的工具向导
68 ntbackup-------系统备份和还原
69 narrator-------屏幕讲述人
70 ntmsmgrmsc----移动存储管理器
71 ntmsoprqmsc---移动存储管理员操作请求
72 netstat -an----(TC)命令检查接口
73 syncapp--------创建一个公文包
74 sysedit--------系统配置编辑器
75 sigverif-------文件签名验证程序
76 sndrec32-------录音机
77 shrpubw--------创建共享文件夹
78 secpolmsc-----本地安全策略
79 syskey---------系统加密,一旦加密就不能解开,保护windows xp系统的双重密码
80 servicesmsc---本地服务设置
81 Sndvol32-------音量控制程序
82 sfcexe--------系统文件检查器
83 sfc /scannow---windows文件保护
84 tsshutdn-------60秒倒计时关机命令
3 84 tsshutdn-------60秒倒计时关机命令
85 tourstart------xp简介(安装完成后出现的漫游xp程序)
86 taskmgr--------任务管理器
87 eventvwr-------事件查看器
88 eudcedit-------造字程序
89 explorer-------打开资源管理器
90 packager-------对象包装程序
91 perfmonmsc----计算机性能监测程序
92 progman--------程序管理器
93 regeditexe----注册表
94 rsopmsc-------组策略结果集
95 regedt32-------注册表编辑器
96 rononce -p ----15秒关机
97 regsvr32 /u dll----停止dll文件运行
98 regsvr32 /u zipfldrdll------取消ZIP支持
99 cmdexe--------CMD命令提示符
100 chkdskexe-----Chkdsk磁盘检查
101 certmgrmsc----证书管理实用程序
102 calc-----------启动计算器
103 charmap--------启动字符映射表
104 cliconfg-------SQL SERVER 客户端网络实用程序
105 Clipbrd--------剪贴板查看器
106 conf-----------启动netmeeting
107 compmgmtmsc---计算机管理
108 cleanmgr-------垃圾整理
109 ciadvmsc------索引服务程序
110 osk------------打开屏幕键盘
111 odbcad32-------ODBC数据源管理器
112 oobe/msoobe /a----检查XP是否激活
113 lusrmgrmsc----本机用户和组
114 logoff---------注销命令
115 iexpress-------木马捆绑工具,系统自带
116 Nslookup-------IP地址侦测器
117 fsmgmtmsc-----共享文件夹管理器
118 utilman--------辅助工具管理器
119 explorer-------打开资源管理器
来源 ping
Ping是Windows、Unix和Linux系统下的一个命令。ping也属于一个通信协议,是TCP/IP协议的一部分。利用“ping”命令可以检查网络是否连通,可以很好地帮助我们分析和判定网络故障。ping一个站点的方法为:
1、打开开始里面的运行
2、在打开里面填入cmd,点确定。
3、输入你要ping的网址或IP地址。
4、敲回车后,就能看到ping到该地址的信息了。
扩展资料:
ping所利用的原理是这样的:利用网络上机器IP地址的唯一性,给目标IP地址发送一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通,时延是多少。ping指的是端对端连通,通常用来作为可用性的检查。
但是某些病毒木马会强行大量远程执行ping命令抢占你的网络资源,导致系统变慢,网速变慢。严禁ping入侵作为大多数防火墙的一个基本功能提供给用户进行选择。通常的情况下你如果不用作服务器或者进行网络测试,可以放心的选中它,保护你的电脑。
——ping
一、使用路由和远程访问服务防Ping
Ping命令通常被用来测试网络的连接情况,是网管必须掌握的命令。但也有很多人把它当做攻击服务器的武器,因此许多网络管理员都在服务器上做了防Ping措施。防Ping的方法非常多,如利用IP安全策略、网络防火墙等,其中使用路由和远程访问服务器是最有效的方法之一。
笔者以Windows Server 2003为例,为大家介绍如何使用路由和远程访问服务器防Ping。
第一步:启用路由和远程访问服务
Windows Server 2003系统默认情况下并没有启用路由和远程访问服务器,因此首先要手工启用它。点击“开始 程序 管理工具 路由和远程访问”,打开路由和远程访问属性窗口,右键点击“本地”服务器,在弹出的快捷菜单中选中“配置并启用路由及远程访问”选项,点击“下一步”按钮,在“路由和远程访问服务器安装向导配置”对话框中选择“自定义配置”单选项,点击“下一步”按钮后,在自定义配置对话框中选择“LAN路由器”选项,最后点击“完成”按钮后,启动路由和远程访问服务器。
第二步:添加IP筛选器
在路由和远程访问主窗口中依次展开“本地服务器 IP路由选择 常规”。在右侧的常规窗口中,右键点击接入公网的网卡的连接图标,在弹出的快捷菜单中和选择“属性”选项,接着在属性对话框中切换到“常规”标签页,点击“入站筛选器”按钮,在弹出的“入站筛选器”对话框中选择“接收所有除符合下列条件以外的数据包”选项,点击“新建”按钮,弹出“添加IP筛选器”对话框。在“协议”下拉列表框中选择“ICMP”协议,接着在“ICMP类型”和“ICMP代码”栏中分别输入“8和0”,最后点击“确定”按钮,完成IP筛选器的添加。
补充:
Ping命令是利用ICMP协议中的“回声(请求/响应)”报文进行工作的,其中ICMP类型为“8”、ICMP代码为“0”的报文就是Ping命令所使用的回声报文。如果要过滤所有的ICMP报文只要将ICMP类型和ICMP代码都设置为“225”即可。
二、使用“本地安全策略”
选择"管理筛选器操作"标签,创建一个拒绝操作:
1)单击"添加"按钮,启动"筛选器操作向导",跳过欢迎页面,下一步
2)在筛选器操作名称页面,填写名称,这儿填写"deny"下一步
3)在筛选器操作常规选项页面,将行为设置为"阻止"下一步
4)完成
5关闭"管理 IP 筛选器表和筛选器操作"对话框
创建IP安全策略
1右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导跳过欢迎页面,下一步
2在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝ping",描述可以随便填写下一步
3在安全通信要求页面,不选择"激活默认响应规则"下一步
4在完成页面,选择"编辑属性"完成
5在"拒绝ping属性"对话框中进行设置首先设置规则:
1)单击下面的"添加"按钮,启动安全规则向导跳过欢迎页面,下一步
2)在隧道终结点页面,选择默认的"此规则不指定隧道"下一步
3)在网络类型页面,选择默认的"所有网络连接"下一步
4)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)"下一步 (这一步2003没有)
5)在IP筛选器列表页面选择"所有 ICMP 通讯"筛选器下一步
6)在筛选器操作页面,选择我们刚才建立的"deny"操作下一步
7)在完成页面,不选择"编辑属性",确定
6关闭"拒绝对tcp3389端口的访问属性"对话框
三指派和应用IPsec安全策略
1缺省情况下,任何IPsec安全策略都未被指派首先我们要对新建立的安全策略进行指派在本地安全策略MMC中,右击我们刚刚建立的""拒绝ping"安全策略,选择"指派"
Ping命令通常被用来测试网络的连接情况,是网管必须掌握的命令。但也有很多人把它当做攻击服务器的武器,因此许多网络管理员都在服务器上做了防Ping措施。防Ping的方法非常多,如利用IP安全策略、网络防火墙等,其中使用路由和远程访问服务器是最有效的方法之一。
笔者以Windows Server 2003为例,为大家介绍如何使用路由和远程访问服务器防Ping。
第一步:启用路由和远程访问服务
Windows Server 2003系统默认情况下并没有启用路由和远程访问服务器,因此首先要手工启用它。点击“开始 程序 管理工具 路由和远程访问”,打开路由和远程访问属性窗口,右键点击“本地”服务器,在弹出的快捷菜单中选中“配置并启用路由及远程访问”选项,点击“下一步”按钮,在“路由和远程访问服务器安装向导配置”对话框中选择“自定义配置”单选项,点击“下一步”按钮后,在自定义配置对话框中选择“LAN路由器”选项,最后点击“完成”按钮后,启动路由和远程访问服务器。
第二步:添加IP筛选器
在路由和远程访问主窗口中依次展开“本地服务器 IP路由选择 常规”。在右侧的常规窗口中,右键点击接入公网的网卡的连接图标,在弹出的快捷菜单中和选择“属性”选项,接着在属性对话框中切换到“常规”标签页,点击“入站筛选器”按钮,在弹出的“入站筛选器”对话框中选择“接收所有除符合下列条件以外的数据包”选项,点击“新建”按钮,弹出“添加IP筛选器”对话框。在“协议”下拉列表框中选择“ICMP”协议,接着在“ICMP类型”和“ICMP代码”栏中分别输入“8和0”,最后点击“确定”按钮,完成IP筛选器的添加。
补充:
Ping命令是利用ICMP协议中的“回声(请求/响应)”报文进行工作的,其中ICMP类型为“8”、ICMP代码为“0”的报文就是Ping命令所使用的回声报文。如果要过滤所有的ICMP报文只要将ICMP类型和ICMP代码都设置为“225”即可。
二、使用“本地安全策略”
选择"管理筛选器操作"标签,创建一个拒绝操作:
1)单击"添加"按钮,启动"筛选器操作向导",跳过欢迎页面,下一步
2)在筛选器操作名称页面,填写名称,这儿填写"deny"下一步
3)在筛选器操作常规选项页面,将行为设置为"阻止"下一步
4)完成
5关闭"管理 IP 筛选器表和筛选器操作"对话框
创建IP安全策略
1右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导跳过欢迎页面,下一步
2在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝ping",描述可以随便填写下一步
3在安全通信要求页面,不选择"激活默认响应规则"下一步
4在完成页面,选择"编辑属性"完成
5在"拒绝ping属性"对话框中进行设置首先设置规则:
1)单击下面的"添加"按钮,启动安全规则向导跳过欢迎页面,下一步
2)在隧道终结点页面,选择默认的"此规则不指定隧道"下一步
3)在网络类型页面,选择默认的"所有网络连接"下一步
4)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)"下一步 (这一步2003没有)
5)在IP筛选器列表页面选择"所有 ICMP 通讯"筛选器下一步
6)在筛选器操作页面,选择我们刚才建立的"deny"操作下一步
7)在完成页面,不选择"编辑属性",确定
6关闭"拒绝对tcp3389端口的访问属性"对话框
三指派和应用IPsec安全策略
1缺省情况下,任何IPsec安全策略都未被指派首先我们要对新建立的安全策略进行指派在本地安全策略MMC中,右击我们刚刚建立的""拒绝ping"安全策略,选择"指派"
Ping命令它可以向你提供的地址发送一个小的数据包,然后侦听这台机器是否有“回答”。查找现在哪些机器在网络上活动。使用Ping入侵即是ICMP 入侵,原理是通过Ping在一个时段内连续向计算机发出大量请求使得计算机的CPU占用率居高不下达到100%而系统死机甚至崩溃。基于此,写这篇IP安全策略防Ping文章以保障自己的系统安全。 其实防Ping安装和设置防火墙也可以解决,但防火墙并不是每一台电脑都会去装,要考虑资源占用还有设置技巧。如果你安装了防火墙但没有去修改、添加IP规则那一样没用。有些配置不是很高为免再给防火墙占用资源用手工在自己系统中设置安全略是一个上上的办法。 下面就写下具体创建过程: (一)创建IP安全策略 1、依次单击“开始→控制面板→管理工具→本地安全策略”,打开“本地安全设置”,右击该对话框左侧的“IP安全策略,在本地计算机”选项,执行“创建IP安全策略”命令。(之间有些简单的点击下一步之类的过程省略不写) 2、在出现的“默认响应规则身份验证方法”对话框中我们选中“此字符串用来保护密钥交换(预共享密钥)”选项,然后在下面的文字框中任意键入一段字符串。(如“禁止 Ping”) 3、完成了IP安全策略的创建工作后在“IP筛选器列表”窗口中单击“添加”按钮,此时将会弹出“IP筛选器向导”窗口,我们单击“下一步”,此时将会弹出“IP通信源”页面,在该页面中设置“源地址”为“我的IP地址”:“目标地址”为“任何IP地址”,任何IP地址的计算机都不能Ping你的机器。 在“筛选器属性”中可封闭端口。比如封闭TCP协议的135端口:在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。重复可封闭TCP UDP等自己认为需要封闭的端口。这里不一一写出。 4、依次单击“下一步”→“完成”,此时,你将会在“IP筛选器列表”看到刚刚创建的筛选器,将其选中后单击“下一步”,我们在出现的“筛选器操作”页面中设置筛选器操作为“需要安全”选项。 (二)指派IP安全策略 安全策略创建完毕后并不能马上生效,我们还需通过“指派”功能令其发挥作用。方法是:在“控制台根节点”中右击“新的IP安全策略”项,然后在弹出的右键菜单中执行“指派”命令,即可启用该策略。 至此,这台主机已经具备了拒绝其他任何机器Ping自己IP地址的功能,不过在本地仍然能够Ping通自己。经过这样的设置之后,所有用户(包括管理员)都不能在其他机器上对此服务器进行Ping操作。从此你再也不用担心被Ping威胁。如果再把一些黑客工具、木马常探寻的端口封闭那你的系统就更加固若金汤了。 Ping的工作过程及单向Ping通的原因 首先,Ping命令会构建一个固定格式的ICMP请求数据包,然后由ICMP协议将这个数据包连同地址“19216812”一起交给IP层协议(和ICMP一样,实际上是一组后台运行的进程),IP层协议将以地址“19216812”作为目的地址,本机IP地址作为源地址,加上一些其他的控制信息,构建一个IP数据包,并在一个映射表中查找出IP地址19216812所对应的物理地址(也叫MAC地址,熟悉网卡配置的朋友不会陌生,这是数据链路层协议构建数据链路层的传输单元——帧所必需的),一并交给数据链路层。后者构建一个数据帧,目的地址是IP层传过来的物理地址,源地址则是本机的物理地址,还要附加上一些控制信息,依据以太网的介质访问规则,将它们传送出去。 主机B收到这个数据帧后,先检查它的目的地址,并和本机的物理地址对比,如符合,则接收;否则丢弃。接收后检查该数据帧,将IP数据包从帧中提取出来,交给本机的IP层协议。同样,IP层检查后,将有用的信息提取后交给ICMP协议,后者处理后,马上构建一个ICMP应答包,发送给主机A,其过程和主机A发送ICMP请求包到主机B一模一样。 一、安装了个人防火墙 在共享上网的机器中,出于安全考虑,大部分作为服务器的主机都安装了个人防火墙软件,而其他作为客户机的机器则一般不安装。几乎所有的个人防火墙软件,默认情况下是不允许其他机器Ping本机的。一般的做法是将来自外部的ICMP请求报文滤掉,但它却对本机出去的ICMP请求报文,以及来自外部的ICMP应答报文不加任何限制。这样,从本机Ping其他机器时,如果网络正常,就没有问题。但如果从其他机器Ping这台机器,即使网络一切正常,也会出现“超时无应答”的错误。 大部分的单方向Ping通现象源于此。解决的办法也很简单,根据你自己所用的不同类型的防火墙,调整相应的设置即可。 二、错误设置IP地址 正常情况下,一台主机应该有一个网卡,一个IP地址,或多个网卡,多个IP地址(这些地址一定要处于不同的IP子网)。但对于在公共场所使用的电脑,特别是网吧,人多手杂,其中不泛有“探索者”。曾有一次两台电脑也出现了这种单方向Ping通的情况,经过仔细检查,发现其中一台电脑的“拨号网络适配器”(相当于一块软网卡)的TCP/IP设置中,设置了一个与网卡IP地址处于同一子网的IP地址,这样,在IP层协议看来,这台主机就有两个不同的接口处于同一网段内。当从这台主机Ping其他的机器时,会存在这样的问题: (1)主机不知道将数据包发到哪个网络接口,因为有两个网络接口都连接在同一网段; (2)主机不知道用哪个地址作为数据包的源地址。因此,从这台主机去Ping其他机器,IP层协议会无法处理,超时后,Ping 就会给出一个“超时无应答”的错误信息提示。但从其他主机Ping这台主机时,请求包从特定的网卡来,ICMP只须简单地将目的、源地址互换,并更改一些标志即可,ICMP应答包能顺利发出,其他主机也就能成功Ping通这台机器了。
从你的描述来看,默认的ping包正常,但带了65500的包就会有11%左右的丢包,应该和你所用的交换机、路由器或者你的服务器的响应能力有关了。
也许你想通过大包来检验服务质量或者响应速度,但个人认为这不是绝对的,因为你采取的数据包有点大,一般的设备恐怕都会有点这样现象
丢包的可能性来自:
服务器响应能力,这就要去找你服务器的硬件网卡,交换机响应速度以及软件等的响应速度;
你所用的交换机或路由器响应策略或者服务器策略对这种大数据包的响应:当你数据包大到一定量时,为了优先保证服务质量,服务器对icmp的回应降低响应要求,从这方面说,这样的测试结果说明不了什么。
以上仅是个人心得,仅供参考。
0条评论