操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的缺陷在不斷地被發(fā)現(xiàn)并被黑客所利用來進(jìn)行惡意的攻擊。如果我們清楚的認(rèn)識到了這一點(diǎn)，我們應(yīng)當(dāng)使用下面的兩步來盡量阻止網(wǎng)絡(luò)攻擊保護(hù)我們的網(wǎng)絡(luò):

盡可能的修正已經(jīng)發(fā)現(xiàn)的問題和系統(tǒng)漏洞。

識別，跟蹤或禁止這些令人討厭的機(jī)器或網(wǎng)絡(luò)對我們的訪問。

有一些簡單的手法來防止拒絕服務(wù)式的攻擊。最為常用的一種當(dāng)然是時刻關(guān)注安全信息以期待最好的方法出現(xiàn)。管理員應(yīng)當(dāng)訂閱安全信息報告，實(shí)時的關(guān)注所有安全問題的發(fā)展。：） 第二步是應(yīng)用包過濾的技術(shù)，主要是過濾對外開放的端口。這些手段主要是防止假冒地址的攻擊，使得外部機(jī)器無法假冒內(nèi)部機(jī)器的地址來對內(nèi)部機(jī)器發(fā)動攻擊。

對于應(yīng)該使用向內(nèi)的包過濾還是使用向外的包過濾一直存在著爭論。RFC 2267建議在全球范圍的互連網(wǎng)上使用向內(nèi)過濾的機(jī)制，但是這樣會帶來很多的麻煩，在中等級別的路由器上使用訪問控制列表不會帶來太大的麻煩，但是已經(jīng)滿載的骨干路由器上會受到明顯的威脅。另一方面，ISP如果使用向外的包過濾措施會把過載的流量轉(zhuǎn)移到一些不太忙的設(shè)備上。ISP也不關(guān)心消費(fèi)者是否在他們的邊界路由器上使用這種技術(shù)。當(dāng)然，這種過濾技術(shù)也并不是萬無一失的，這依賴于管理人員采用的過濾機(jī)制。

下面介紹使用ICMP防護(hù)措施

ICMP最初開發(fā)出來是為了"幫助"網(wǎng)絡(luò)，經(jīng)常被廣域網(wǎng)管理員用作診斷工具。但今天各種各樣的不充分的ICMP被濫用，沒有遵守RFC 792原先制訂的標(biāo)準(zhǔn)，要執(zhí)行一定的策略可以讓它變得安全一些。

入站的ICMP時間標(biāo)記（Timestamp）和信息請求(Information Request)數(shù)據(jù)包會得到響應(yīng)，帶有非法或壞參數(shù)的偽造數(shù)據(jù)包也能產(chǎn)生ICMP參數(shù)問題數(shù)據(jù)包，從而允許另外一種形式的主機(jī)搜尋。這仍使得站點(diǎn)沒有得到適當(dāng)保護(hù)。

以秘密形式從主方到客戶方發(fā)布ming令的一種通用方法，就是使用ICMP Echo應(yīng)答數(shù)據(jù)包作為載波。 回聲應(yīng)答本身不能回答，一般不會被防火墻阻塞。

首先，我們必須根據(jù)出站和入站處理整個的"ICMP限制"問題。ICMP回聲很容易驗(yàn)證遠(yuǎn)程機(jī)器，但出站的ICMP回聲應(yīng)該被限制只支持個人或單個服務(wù)器/ICMP代理（首選）。

如果我們限制ICMP回聲到一個外部IP地址（通過代理），則我們的ICMP回聲應(yīng)答只能進(jìn)入我們網(wǎng)絡(luò)中預(yù)先定義的主機(jī)。

重定向通常可以在路由器之間找到，而不是在主機(jī)之間。防火墻規(guī)則應(yīng)該加以調(diào)整，使得這些類型的ICMP只被允許在需要信息的網(wǎng)際連接所涉及的路由器之間進(jìn)行。

建議所有對外的傳輸都經(jīng)過代理，對內(nèi)的ICMP傳輸回到代理地址的時候要經(jīng)過防火墻。這至少限制了ICMP超時數(shù)據(jù)包進(jìn)入一個內(nèi)部地址，但它可能阻塞超時數(shù)據(jù)包。

當(dāng)ICMP數(shù)據(jù)包以不正確的參數(shù)發(fā)送時，會導(dǎo)致數(shù)據(jù)包被丟棄，這時就會發(fā)出ICMP參數(shù)出錯數(shù)據(jù)包。主機(jī)或路由器丟棄發(fā)送的數(shù)據(jù)包，并向發(fā)送者回送參數(shù)ICMP出錯數(shù)據(jù)包，指出壞的參數(shù)。

總的來說，只有公開地址的服務(wù)器（比如Web、電子郵件和FTP服務(wù)器）、防火墻、聯(lián)入因特網(wǎng)的路由器有真正的理由使用ICMP與外面的世界對話。如果調(diào)整適當(dāng)，實(shí)際上所有使用進(jìn)站和出站ICMP的隱密通訊通道都會被中止。