icg3000b禁ping

问题描述：

禁止外网ping(h3c icg3000B路由器)，这个功能怎么实现

# acl number 3999 

rule 0 deny icmp icmp-type echo 

 rule 5 deny icmp #

# interface ****

 ip address 172.23.6.254 255.255.255.0 

 packet-filter 3999 inbound 

 packet-filter 3999 outbound

暂无

您好，参考

4.1.2  入侵检测功能

根据攻击报文表现出的不同特征，设备可以防范的网络攻击类型可以划分为单包攻击和异常流攻击两大类，异常流攻击又包括扫描攻击和泛洪攻击两种。

1. 单包攻击防范

单包攻击也称为畸形报文攻击。攻击者通过向目标系统发送有缺陷的IP报文，如分片重叠的IP报文、TCP标志位非法的报文，使得目标系统在处理这样的IP报文时出错、崩溃，给目标系统带来损失，或者通过发送大量无用报文占用网络带宽等行为来造成攻击。

设备可以对表4-1中所列的各单包攻击行为进行有效防范。

表4-1 单包攻击类型及说明列表

单包攻击类型

说明

Fraggle

攻击者通过向目标网络发送UDP端口为7的ECHO报文或者UDP端口为19的Chargen报文，令网络产生大量无用的应答报文，占满网络带宽，达到攻击目的

LAND

攻击者向目标主机发送大量源IP地址和目的IP地址都是目标主机自身的TCP SYN报文，使得目标主机的半连接资源耗尽，最终不能正常工作

WinNuke

攻击者向安装（或使用）Windows系统的特定目标的NetBIOS端口（139）发送OOB（out-of-band）数据包，这些攻击报文的指针字段与实际的位置不符，从而引起一个NetBIOS片断重叠，致使已与其他主机建立连接的目标主机在处理这些数据的时候系统崩溃

TCP Flag

不同操作系统对于非常规的TCP标志位有不同的处理。攻击者通过发送带有非常规TCP标志的报文探测目标主机的操作系统类型，若操作系统对这类报文处理不当，攻击者便可达到使目标主机系统崩溃的目的

ICMP Unreachable

某些系统在收到不可达的ICMP报文后，对于后续发往此目的地的报文判断为不可达并切断对应的网络连接。攻击者通过发送ICMP不可达报文，达到切断目标主机网络连接的目的

ICMP Redirect

攻击者向用户发送ICMP重定向报文，更改用户主机的路由表，干扰用户主机正常的IP报文转发

Tracert

攻击者连续发送TTL从1开始递增的目的端口号较大的UDP报文，报文每经过一个路由器，其TTL都会减1，当报文的TTL为0时，路由器会给报文的源IP设备发送一个TTL超时的ICMP报文，攻击者借此来探测网络的拓扑结构

Smurf

攻击者向目标网络发送ICMP应答请求，该请求包的目的地址设置为目标网络的广播地址，这样该网络中的所有主机都会对此ICMP应答请求作出答复，导致网络阻塞，从而达到令目标网络中主机拒绝服务的攻击目的

Source Route

攻击者利用IP报文中的Source Route路由选项对网络结构进行探测

Route Record

攻击者利用IP报文中的Route Record路由选项对网络结构进行探测

Large ICMP

某些主机或设备收到超大的报文，会引起内存分配错误而导致协议栈崩溃。攻击者通过发送超大ICMP报文，让目标主机崩溃，达到攻击目的

单包攻击防范仅对接口的入方向报文有效，主要通过分析经过设备的报文特征来判断报文是否具有攻击性。若设备检测到某报文具有攻击性（对于Large ICMP攻击，当检测到ICMP报文的长度达到或超过4000字节，则认为是Large ICMP攻击报文），则会输出告警日志，并将检测到的攻击报文做丢弃处理。

暂无

你正在内容来源：知了社区,icg3000b禁ping