怎么拒绝接收ICMP数据包

你的防火墙上可以设置，可是你为什么要拒绝接收ICMP数据包呢？防火墙一般会拒绝掉恶意的ICMP请求的。
ICMP是“Internet Control Message Protocol”（Internet控制消息协议）的缩写。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。
我们在网络中经常会使用到ICMP协议，只不过我们觉察不到而已。比如我们经常使用的用于检查网络通不通的Ping命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。

ICMP的重要性

ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机.

比如，可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“Ping of Death”（死亡之Ping）攻击。“Ping of Death” 攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机。

此外，向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”，使得目标主机耗费大量的CPU资源处理，疲于奔命。

应对ICMP攻击

虽然ICMP协议给黑客以可乘之机，但是ICMP攻击也并非无药可医。只要在日常网络管理中未雨绸缪，提前做好准备，就可以有效地避免ICMP攻击造成的损失。

对于“Ping of Death”攻击，可以采取两种方法进行防范：第一种方法是在路由器上对ICMP数据包进行带宽限制，将ICMP占用的带宽控制在一定的范围内，这样即使有ICMP攻击，它所占用的带宽也是非常有限的，对整个网络的影响非常少；第二种方法就是在主机上设置ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包。

设置ICMP数据包处理规则的方法也有两种，一种是在操作系统上设置包过滤，另一种是在主机上安装防火墙
参考资料：琎哥哥--来自计算机科学与技术系

可以使用防火墙或者windows自带的组策略.组策略步骤:
1）点击 开始--运行，在运行框中输入“Gpedit.msc”打开组策略。
（2）打开 计算机配置--WINDOWS设置--安全设置，右击“IP安全策略，在本地机器”，在弹出菜单中选“创建IP安全策略”打开“IP安全策略向导”。
（3）设置IP安全策略名称，比如“禁止PING”，并输入简单的描述。安全通讯请求：勾选“激活默认响应错误”。
默认响应规则身份验证方式： 选中“此字串用来保护密匙交换”，再在文字框中随意输入一些字符，比如“PCDigest”。
创建IP安全规则最好要选中“编辑属性”，单击“完成”，打开属性对话框。
（4）在“禁止PING”属性窗口，单击“添加”按钮，在“安全规则向导”中进行以下简单的设置，其余一路回车就行。
身份验证方法： 选中“此字串用来保护密匙交换”，再在文字框中输入原来设置的字符，比如“PCDigest”。
IP筛选器列表： 单击“添加”/“添加”，设置源地址为“我的IP地址”，目标地址为“任何IP地址”，协议类型为“ICMP”协议。添加完毕之后，你就可以在IP筛选器中看到新创建的筛选器，选中它单击“下一步”继续。
筛选器操作： 选择“要求安全设置”，单击“下一步”，再点击“完成”--“关闭”即可保存设置，返回到组策略窗口。
（5）在组策略窗口，点击“IP安全策略，在本地机器”，在右面的窗口中会显示你新创建的禁止PING的安全策略，右击该策略，在弹出的对话框中选“指派”命令，退出组策略。这时别人就不能再PING你的机器了

金山网镖里选择拒绝ping访问