有些站長的網站經常會遭受惡意的DDOS攻擊，而黑客們看網站是否被打死的其中一個標準就是在本地用DOS窗口PING你的網站IP。這時，如果想增加自己網站的安全性，不讓別人頻繁地使用PING命令來監控自己的網站，就可以在網站服務器的防火墻里面設置禁止PING。

當然也可以采用indons2003系統自身的功能實現禁PING。但無論采用哪種方式，都是通過禁止使用ICMP協議來實現的拒絕PING。

一、下面先講一下在Windows系統服務器中設置IP策略拒絕用戶Ping的例子。

1，添加IP篩選器

第一步，鼠標右鍵單擊開始-管理工具-本地安全策略，然后打開“本地安全設置”窗口。也可以直接使用快捷鍵WINDONS+R，然后輸入secpol.msc 來直接打開本地安全策略。然后右鍵單擊左窗格的“IP安全策略，在本地計算機”選項，執行“管理IP篩選器表和篩選器操作”快捷命令。在“管理IP篩選器列表”選項中單擊“添加”按鈕，命名這個篩選器名稱為“禁止PING”，描述語言可以為“禁止任何其它計算機PING我的主機”，然后單擊“添加”按鈕。

第二步，依次單擊“下一步”→“下一步”按鈕，選擇“IP通信源地址”為“我的IP地址”，單擊“下一步”按鈕；選擇“IP通信目標地址”為“任何IP地址”，單擊“下一步”按鈕；選擇“IP協議類型”為ICMP，單擊“下一步”按鈕。依次單擊“完成”→“確定”按鈕結束添加。

第三步，切換到“管理篩選器操作”選項卡中，依次單擊“添加”→“下一步”按鈕，命名篩選器操作名稱為“阻止所有連接”，描述語言可以為“阻止所有網絡連接”，單擊“下一步”按鈕；點選“阻止”選項作為此篩選器的操作行為，最后依次單擊“下一步”→“完成”→“關閉”按鈕完成所有添加操作，如圖所示。

2，創建IP安全策略

右鍵單擊控制臺樹的“IP安全策略，在本地計算機”選項，執行“創建IP安全策略”快捷命令，然后單擊“下一步”按鈕。

命名這個IP安全策略為“禁止PING主機”，描述語言為“拒絕任何其它計算機的PING要求”并單擊“下一步”按鈕。

然后在勾選“激活默認響應規則”的前提下單擊“下一步”按鈕。

在“默認響應規則身份驗證方法”對話框中點選“使用此字符串保護密鑰交換”選項，并在下面的文字框中鍵入一段字符串如“NO PING”，單擊“下一步”按鈕。最后在勾選“編輯屬性”的前提下單擊“完成”按鈕結束創建。

3，配置IP安全策略

在打開的“禁止PING主機 屬性”對話框中的“規則”選項卡中依次單擊“添加/下一步”按鈕，默認點選“此規則不指定隧道”并單擊“下一步”按鈕；點選“所有網絡連接”以保證所有的計算機都PING不通該主機，單擊“下一步”按鈕。在“IP篩選器列表”框中點選“禁止PING”，單擊“下一步”按鈕；在“篩選器操作”列表框中點選“阻止所有連接”，依次單擊“下一步”按鈕；取消“編輯屬性”選項并單擊“完成”按鈕結束配置，如圖所示。

4，指派IP安全策略

安全策略創建完畢后并不能馬上生效，還需通過“指派”使其發揮作用。右鍵單擊“本地安全設置”窗口右窗格的“禁止PING主機”策略，執行“指派”命令即可啟用該策略，如圖所示。

經過這樣的一番設置，這臺服務器已經具備了拒絕其它任何計算機Ping自己IP地址的能力了，不過在網站所在的服務器上面Ping還是可以Ping通的。

二、接下來再講一下，LINUX操作系統下怎么設置IP策略拒絕用戶Ping

首先登陸root賬戶進入Linux系統的服務器。然后編輯文件icmp_echo_ignore_all vi /proc/sys/net/ipv4/icmp_echo_ignore_all

將其值改為1后為禁止PING

將其值改為0后為解除禁止PING

直接修改會提示錯誤:

WARNING: The file has been changed since reading it!!!

Do you really want to write to it (y/n)?y

"icmp_echo_ignore_all" E667: Fsync failed

Hit ENTER or type command to continue

這是因為 proc/sys/net/ipv4/icmp_echo_ignore_all

這個不是真實的文件

如果想修改他的數值可以echo 0 或 1到這個文件 （即echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all ）。要是想永久更改可以加一行 net.ipv4.icmp_echo_ignore_all=1

到配置文件/etc/sysctl.conf里面。

海外服務器免費測試：http://www.running-capacitor.com/