允许traceroute探测检测到可能的 TraceRoute 或 TraceRT 活动. 请问这是什么意思啊?

国家现在允许个人探测开采石油和矿藏吗？

国家是允许的。

但是，他有探采证吗？ “我有一个朋友会探测矿藏石油，他原先自己探测出几座金矿，赚了几千万，”这个是不可能的事情吧。

小心被他骗倒哦。

我本身就是是干这行的。

探采一次矿产，最少要投入数千万，很多专业人员配合才行。

金矿的话，国家只允许私人对含量在0.5克每吨以下的金矿进行探采。

难度相当大。

成本非常高。

目前中国只有紫金矿业公司有这个能力。

一个人根本不可能有探采的能力。

像这种价值低的矿产，也卖不了什么钱。

价值高的也会直接归国有，不可能拿到钱的 。

当然，只要他有足够的资金和实力，能办到探采证，剩下的东西就没什么问题了。

石油的话，我知道的就有好几个几百平方公里的油田，地质队和中国石油公司已经探出来的，但是由于开采成本是原油价值的10倍以上，只能丢荒封井那里，私人谁有能力的话也可以去承包。

如何在路由器上对ICMP数据包进行带宽限制

禁止ICMP协议的IP Unreachables, Redirects, Mask Replies。

Router(Config-if)# no ip unreacheables Router(Config-if)# no ip redirects Router(Config-if)# no ip mask-reply 5、 ICMP协议的安全配置。

对于进入ICMP流，我们要禁止ICMP协议的ECHO、Redirect、Mask request。

也需要禁止TraceRoute命令的探测。

对于流出的ICMP流，我们可以允许ECHO、Parameter Problem、Packet too big。

还有TraceRoute命令的使用。

! outbound ICMP Control Router(Config)# ess-list 110 deny icmp any any echo Router(Config)# ess-list 110 deny icmp any any redirect Router(Config)# ess-list 110 deny icmp any any mask-request Router(Config)# ess-list 110 permit icmp any any ! Inbound ICMP Control Router(Config)# ess-list 111 permit icmp any any echo Router(Config)# ess-list 111 permit icmp any any Parameter-problem Router(Config)# ess-list 111 permit icmp any any packet-too-big Router(Config)# ess-list 111 permit icmp any any source-quench Router(Config)# ess-list 111 deny icmp any any ! Outbound TraceRoute Control Router(Config)# ess-list 112 deny udp any any range 33400 34400 ! Inbound TraceRoute Control Router(Config)# ess-list 112 permit udp any any range 33400 34400 </P><P>6、 DDoS(Distributed Denial of Service)的防范。

! The TRINOO DDoS system Router(Config)# ess-list 113 deny tcp any any eq 27665 Router(Config)# ess-list 113 deny udp any any eq 31335 Router(Config)# ess-list 113 deny udp any any eq 27444 ! The Stacheldtraht DDoS system Router(Config)# ess-list 113 deny tcp any any eq 16660 Router(Config)# ess-list 113 deny tcp any any eq 65000 ! The TrinityV3 System Router(Config)# ess-list 113 deny tcp any any eq 33270 Router(Config)# ess-list 113 deny tcp any any eq 39168 ! The SubSeven DDoS system and some Variants Router(Config)# ess-list 113 deny tcp any any range 6711 6712 Router(Config)# ess-list 113 deny tcp any any eq 6776 Router(Config)# ess-list 113 deny tcp any any eq 6669 Router(Config)# ess-list 113 deny tcp any any eq 2222 Router(Config)# ess-list 113 deny tcp any any eq 7000 Router(Config)# ess-list 113 permit ip any any Router(Config-if)# ip ess-group 113 in</P><P>7、 Sql蠕虫的防范 Router(Config)# ess-list 114 deny udp any any eq 1434 Router(Config)# ess-list 114 permit ip any any Router(Config-if)# ip ess-group 114 in</P><P>8、 减少BGP的收敛时间，保证黑客攻击后网络能尽快恢复。

建议增加如下配置：(需在所有运行BGP的路由器上增加) 1、在每个BGP互连的接口上，增加hold-queue 1500命令，将接口的hold-queue由默认的75增加到1500。

在做此配置之前需要先检查板卡的内存，确保其free memory至少为20M。

2、增加以下有关TCP的配置，增强BGP的收敛性能。

ip tcp selective-ack ip tcp mss 1460 ip tcp window-size 65535 ip tcp queuemax 50 ip tcp path-mtu-discovery 3、在GSR上，增加ip cef linecard ipc memory 10000命令，提高download FIB的速度。

</P><P>9、 启用CAR和系统日志等来增强（略）</P><P>其他注意事项： 1,及时的升级IOS软件，并且要迅速的为IOS安装补丁。

2,要严格认真的为IOS作安全备份。

3,要为路由器的配置文件作安全备份。

4,购买UPS设备，或者至少要有冗余电源。

5,要有完备的路由器的安全访问和维护记录日志。

局域网中 不让别人用网络命令探测机子怎么搞啊。

我在网上帮你找了个答案: 1.在linux环境中，可以通过命令 echo “1” > /proc//ipv4/icmp_echo_ignore_all 2.在windows环境下，可以通过如下配置来禁止ping入 《1》.添加独立管理单元 依次单击开始-运行，输入:mmc，启动打开“控制台”窗口。

再点选“控制台”菜单下的“添加/删除管理单元”，单击“添加”按钮，在弹出的窗口中选择“IP安全策略管理”项，单击“添加”按钮。

在打开窗口中选择管理对象为“本地计算机”，单击“完成”按钮，同时关闭“添加/删除管理单元”窗口，返回主控台。

《2》创建IP安全策略 在主控台中右击刚刚添加的“IP安全策略，选择“创建IP安全策略”，单击“下一步”，然后输入一个策略描述，如“ping go”。

单击“下一步”，选中“激活默认响应规则”复选项，单击“下一步”。

开始设置身份验证方式，选中“此字符串用来保护密钥交换(预共享密钥)”选项，然后随便输入一些字符。

单击“下一步”，就会提示已完成IP安全策略，确认选中了“编辑属性”复选框，单击“完成”按钮，会打开其属性对话框。

　 《3》配置安全策略 单击“添加”按钮，并在打开安全规则向导中单击“下一步”进行隧道终结设置，在这里选择“此规则不指定隧道”。

单击“下一步”，并选择“所有网络连接”以保证所有的计算机都Ping不通。

单击“下一步”，设置身份验证方式，与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)”并填入与刚才相同的内容。

单击“下一步”，在打开窗口中单击“添加”按钮，打开“IP筛选器列表”窗口。

单击“添加”，单击“下一步”，设置源地址为“我的IP地址”，单击“下一步”，设置目标地址为“任何IP地址”，单击“下一步”，选择协议为ICMP，现在就可依次单击“完成”和“关闭”按钮返回。

在IP筛选器列表中看到刚刚创建的筛选器，将其选中之后单击“下一步”，选择筛选器操作为“要求安全设置”选项，然后依次点击“完成”、“关闭”按钮，保存相关的设置返回管理控制台。

《4》指派安全策略 在“控制台根节点”中右击配置好的“禁止Ping”策略，选择“指派”命令。

这样当其他计算机再Ping该计算机时，就Ping不通了，又给电脑加了一个防盗锁。

3．在Win2000中如何关闭ICMP(Ping) 有三种常见的阻止Ping的方法： 一、用高级设置法预防Ping 　默认情况下，所有控制消息协议(ICMP)选项均被禁用。

如果启用ICMP选项，您的网络将在 中是可视的，因而易于受到攻击。

如果要启用ICMP，必须以管理员或Administrators 组成员身份登录计算机，右击“网上邻居”，在弹出的快捷菜单中选择“属性”即打开了“网络连接”，选定已启用连接防火墙的连接，打开其属性窗口，并切换到“高级”选项页，点击下方的“设置”，这样就出现了“高级设置”对话窗口，在“ICMP”选项卡上，勾选希望您的计算机响应的请求信息类型，旁边的复选框即表启用此类型请求，如要禁用请清除相应请求信息类型即可。

　 　二、用网络防火墙阻隔Ping 使用防火墙来阻隔Ping是最简单有效的方法，现在基本上所有的防火墙在默认情况下都启用了ICMP过滤的功能。

在此，以金山网镖2003和天网防火墙2.50版为蓝本来说明。

对于使用金山网镖2003的网友，请用鼠标右击系统托盘中的金山网镖2003图标，在弹出的快捷菜单中选择“实用工具”中的“自定义IP规则编辑器”，在出现的窗口中选中“防御ICMP类型攻击”规则，消除“允许别人用ping命令探测本机”规则，保存应用后就发挥效应。

如果您用的是天网防火墙，在其主界面点击“自定义IP规则”，然后不勾选“防止别人用ping命令探测”规则，勾选“防御ICMP攻击”规则，然后点击“保存/应用”使IP规则生效。

三.修改TTL值防Ping 许多入侵者喜欢用TTL值来判断操作系统，他们首先会Ping一下你的机子，如看到TTL值为128就认为你的系统为Windows NT/2000，如果TTL值为32则认为目标主机操作系统为Windows 95/98，如果为TTL值为255/64就认为是UNIX/Linux操作系统。

既然入侵者相信TTL值所反应出来的结果，那么我们不妨修改TTL值来欺骗入侵者，达到保护系统的目的。

方法如下： 　　打开Windows自带的“记事本”程序，编写如下所示的批处理命令： @echo REGEDIT4>>ChangeTTL.reg 　　@echo.>>ChangeTTL.reg 　　@echo [HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters]>>ChangeTTL.reg 　　@echo "DefaultTTL"=dword:000000ff">>ChangeTTL.reg 　　@REGEDIT /S /C ChangeTTL.reg 　　另存为以.bat为扩展名的批处理文件，点击这个文件，你的操作系统的缺省TTL值就会被修改为ff，即十进制的255，即把你的操作系统人为地改为UNIX系统了！ 　　"DefaultTTL"=dword:000000ff"是用来设置系统缺省TTL值的，如果你想将自己的操作系统的TTL值改为其它操作系统的ICMP回显应答值，请改变"DefaultTTL"的键值，要注意它的键值为16进制。

检测到可能的 TraceRoute 或 TraceRT 活动. 请问这是什么意思啊?

这个不用当心,在选择是否允许访问网络前选允许永远访问就好了,以后就不会弹了这是TCP/IP协议,当然,如果该程序有更新,更新后还会弹对话框的.一样选永远允许. （要是不允许通过 可能会影响一些软件的运行） 防火墙对话框上不是有花哗羔狙薏缴割斜公铆路径吗,细心看下路径在选允不允许方为上策.怀凝是不正常的程序就断网扫描下吧