Internetový server není k dispozici z důvodu škodlivým útokům typu SYN

Překlady článku Překlady článku
ID článku: 142641 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

V počítači se systémem TCP/IP protokolu a který je připojen k Internetu, jsou vykreslovány některé nebo všechny síťové služby k dispozici, a na obrazovce klienta sítě se zobrazí chybové zprávy, například následující:
Připojení bylo resetováno vzdáleným hostitelem.
Tento příznak všechny síťové služby, které jsou k dispozici vykreslení může také dojít v počítači s operačním systémem jiným než Windows NT, například UNIX.

Příčina

K tomuto problému dochází, když se počítač stal cílem nebezpečného útoku známé jako TCP/IP "SYN zaplavení" nebo "SYN útoky."

Uživatelé se zlými úmysly Můžete se zaměřit celý počítač nebo konkrétní služby TCP, jako jsou například webové služby. Útok je zaměřena na protokol TCP používá všechny počítače v Internet a není specifické pro operační systém Windows NT.

Jak funguje zaplavení SYN

SYN zaplavení probíhá takto:
  • Požadavek na připojení TCP (SYN), je odeslána do cíle počítač. Zdrojová adresa IP paketu je "falešné" nebo nahradí adresa, která se nepoužívá v síti Internet nebo který patří do jiné počítač. Mnohé z těchto požadavky TCP SYN k tolik útočník odešle prostředky co v cílovém počítači.
  • Při přijetí požadavku na připojení, cílový počítač přiděluje prostředky zpracovávat a sledovat nové připojení a potom odpoví "SYN-ACK". V tomto případě odpověď je odeslána na "falešné" neexistující Adresa IP.
  • Není přijata žádná odpověď do stavu SYN-ACK. A výchozí konfigurace systému Windows NT 3.5 x nebo 4.0 počítače přenos SYN-ACK pětkrát zdvojovací hodnotu časového limitu, po každém opakování přenosu. Počáteční Hodnota časového limitu je tři sekundy, takže opakování jsou aplikovány na 3, 6, 12, 24, a 48 sekund. Po poslední opakování přenosu je povoleno předávání 96 sekund před počítači poskytuje na odpověď a zruší přidělení prostředky, které byly nastaveny vyhrazené starší pro připojení. Celkový uplynulý je čas, které prostředky jsou používány 189 sekund.

Jak ověřit, zda je počítač napaden SYN

Pokud máte podezření, že počítač je cílem útoku typu SYN můžete zadat následující příkaz na příkazovém řádku zobrazit připojení stav "syn_received":
netstat - n -p tcp
Tento příkaz může způsobit následující text na obrazovky:
Aktivní připojení
      Proto  Local Address         Foreign Address       State
      TCP    127.0.0.1:1030        127.0.0.1:1032        ESTABLISHED
      TCP    127.0.0.1:1032        127.0.0.1:1030        ESTABLISHED
      TCP    10.57.8.190:21        10.57.14.154:1256     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1257     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1258     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1259     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1260     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1261     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1262     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1263     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1264     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1265     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1266     SYN_RECEIVED
      TCP    10.57.8.190:4801      10.57.14.221:139      TIME_WAIT
				
Pokud velký počet připojení SYN_RECEIVED stavu, je možné, že systém je napadení. Síť analýzou lze vysledovat problém dále, a může být nezbytné kontaktování poskytovatele služeb Internetu o pomoc při pokusu o trasování zdroj.

Účinek obsadit připojení zdroje se liší, v závislosti na zásobník TCP/IP a aplikací naslouchání na portu TCP. Pro Většina zásobníky, je omezen na počet připojení, které mohou být v Stav napůl otevřených (SYN_RECEIVED). Po dosažení limitu pro daný port TCP, cílový počítač odpoví obnovení na všechny další požadavky na připojení až se uvolní prostředky.

Řešení

Stáhněte si následující aktualizaci pro systém Windows NT 3.51 nebo nejnovější Service Pack pro systém Windows NT 4.0

Společnost Microsoft poskytuje nejlepší možnou ochranu proti těmto útokům v rámci Operační systém Windows NT a bylo provedeno několik změn na jeho TCP/IP součásti, které jsou k dispozici zákazníkům v reakci na toto ohrožení.

To globální klíč byl navržen tak, aby se chránit před útoky a nastaví další klíče uvedené dále v tomto článku na známé efektivní hodnoty. Tento klíč se vyhnete odhad správce, o které by hodnoty nabízejí nejčastěji s ochrana. Důrazně doporučujeme, aby následující globální zkratky použít:

SynAttackProtect
Klíč: Tcpip\Parameters
Typ hodnoty: REG_DWORD
Platný rozsah: 0, 1, 2
0 (žádná ochrana synattack)
1 (snižuje počet opakování přenosu a vytvoření RCE (položka mezipaměti trasy) je zpožděný, pokud nastavení TcpMaxHalfOpen a TcpMaxHalfOpenRetried jsou splněny.)
2 (1 zpožděné údaj o rozhraní Winsock je přijata.)

POZNÁMKA:: Pokud systém zjistí napadení následující možnosti na jakýkoliv soket již možné povolit: sScalable windows (RFC 1323) a za adaptér nakonfigurován parametry protokolu TCP (počáteční RTT, velikost okna). Důvodem je, že při ochraně pracuje položku mezipaměti trasy nemusel před SYN, ACK odeslán, a v této fázi nejsou k dispozici možnosti Winsock připojení.

Výchozí hodnota: 0 (NEPRAVDA)
Doporučení: 2
Popis: Synattack ochrana zahrnuje snížení množství opakovaných přenosů SYN-ACK, který zmenší dobu prostředky mají zůstat přidělené. Přidělení položky mezipaměti trasy zdroje je zpožděn, dokud připojení. Pokud synattackprotect = 2, pak připojit na údaj AFD je zpožděn, dokud třícestné Dokončit. Všimněte si také, akce pouze mechanismus ochrany dojít, jestliže jsou nastavení TcpMaxHalfOpen a TcpMaxHalfOpenRetried byl překročen.

POZNÁMKA:: Následující klíče by měly být změněny pouze pokud výše globální klíč prokázalo, že nebudou využity nebo zásahu omezení specifických prostředků.

Změny jsou uvedeny zde:
*******************************************************************
*  1. Tcpip.sys times out half-open connections faster            *
*******************************************************************
				
Nová verze Tcpip.sys bylo vyrobeno, ovládat počet odpovědi na požadavek připojení TCP Bude znovu vysílaných na (SYN-ACK). Ovládací prvek je prováděna pomocí nového registru parametr:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \Tcpip
      \Parameters
       \TcpMaxConnectResponseRetransmissions
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 2
				
Výchozí hodnota tohoto parametru je nyní 3. Na Následující tabulka zobrazuje protokol TCP/IP systému Windows NT 4.0 chování pro různé hodnoty tohoto parametr:
Value  Retransmission Times  Elapsed Time  Comments
3      3, 6, and 12 seconds  45 seconds    Cleanup 24 secs after last retx
2      3, and 6 seconds      21 seconds    Cleanup 12 secs after last retx
1      3 seconds             9  seconds    Cleanup 6  secs after last retx
				
Tento parametr změní výchozí čas potřebný Vyčistit napůl otevřených připojení TCP 189 sekund 45 sekund, a poskytuje přesnější řízení správce. Web, který je pod těžkých Útok může hodnotu "1" co nejnižší. Hodnota "0" je také platné; avšak je-li tento parametr nastaven na hodnotu 0, SYN-ACK nesmí být znovu přenesena vůbec, a vyprší za 3 sekund. Tomto nízkou hodnotou legitimní připojení pokusy o vzdálené klientů může selhat.
*******************************************************************
*  2. NetBT has a Higher, Configurable Backlog                    *
*******************************************************************
				
NetBT (rozhraní NetBIOS nad protokolem TCP/IP) používá TCP port 139 a používá síťové služby jako sdílení souborů a tiskáren. Verze 3.51 a 4.0 NetBT "nedostanete" připojení k dispozici bloky, které jsou dvě plus pořadové číslo v závislosti na klienti NetBT (například přesměrovač, Server a veškeré spuštěné NetBIOS). Na serveru typické, toto číslo bude 7-11. Která automaticky byla vyrobena nová verze protokolu NetBT přidělí další bloky připojení podle potřeby konfigurovat způsobem.

Událost připojení je nyní zkontroluje-li počet volných bloky je nižší než 2 a pokud ano, přidá "přírůstek" počet bloků, kde "přírůstek" je konfigurovatelné v registru, jak je znázorněno zde:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \BacklogIncrement
           Value Type: REG_DWORD
           Valid Range: 1-0x14  (1-20 decimal)
           Default: 3
				
Každý blok připojení spotřebovává 78 bajtů paměti. Na Celkový počet připojení bloků, které lze rozdělit podle protokolu NetBT, je také konfigurovatelné registru:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \MaxConnBackLog
           Value Type: REG_DWORD
           Valid Range: 1-0x9c40 (1-40,000 decimal)
           Default: 1000
				
MaxConnBackLog výchozí hodnotu 1000, ale mohou být nastaveny stejně vysoké jako 40 000. Blokuje připojení jsou "úklid" nebo recyklovány pokud SYN-ACK vypršení časovače opakování přenosu a TCP se nezdaří pokus o připojení.
*******************************************************************
*  3. Afd.sys has been modified to withstand large numbers of     *
*     "half-open" connections efficiently                         *
*******************************************************************
				
Aplikace Windows Sockets, například servery ftp a jejich pokusy o připojení, který je zpracována souboru Afd.sys mají webové servery. Byl souboru Afd.sys upraven pro podporu velkého počtu připojení ve stavu "napůl otevřených" bez odepření přístupu oprávněným klientům. Je to tím, že Správce konfigurace dynamického Nevyřízené položky.

Nová verze Souboru Afd.sys podporuje čtyři nové parametry registru, které lze použít k řízení Nevyřízené položky dynamické chování.

EnableDynamicBacklog je globální přepínač, který povolit nebo zakázat dynamické Nevyřízené položky. Jeho výchozí hodnotu 0 (vypnuto) a toto nastavení žádná změna ze stávající verze obsahuje. Na hodnotu 1 umožňuje nové Funkce dynamické Nevyřízené položky.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \EnableDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0,1
           Default: 0
           Suggested value for a system under heavy attack: 1
				
MinimumDynamicBacklog Určuje minimální počet volné připojení povolených k naslouchání koncového bodu. Je-li počet volných připojení klesne pod tuto hodnotu a potom podproces je ve frontě, vytvoření další volné připojení. Tato hodnota není třeba příliš velké, jako dynamické Nevyřízené položky kód provede pokaždé, když klesne počet volných připojení. pod tuto hodnotu. Příliš velké hodnoty může vést ke snížení výkonu.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MinimumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 20
				
MaximumDynamicBacklog určuje maximální počet "quasi-free" připojení povolených k naslouchání koncového bodu. "Quasi-free" připojení patří počet volných připojení plus těchto připojení poloviční připojených státu (SYN_RECEIVED). Bez pokusu o vytvoření další Pokud tak učiníte by překročit tuto hodnotu, bez připojení.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MaximumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: Memory
           dependent. We recommend that this value does not exceed 20000 (decimal). This prevents exhaustion of the non-paged pool when under attack. 
				
DynamicBacklogGrowthDelta Určuje počet volných připojení vytvoříte další připojení jsou nezbytné. Buďte opatrní Pomocí této hodnoty jako velkou hodnotu může vést k výbušné volné připojení přidělení.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \DynamicBacklogGrowthDelta
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 10 (0xa)
				
MaximumDynamicBacklog,
Využít změny souboru Afd.sys, Aplikace Windows Sockets musí výslovně vyžádáte Nevyřízené položky větší než hodnota nakonfigurována pro MinimumDynamicBacklog při vydání jejich funkci listen() volání. Aplikace společnosti Microsoft, jako je například Internet Information Server (který má Nevyřízené položky výchozí 25) lze konfigurovat. Podrobnosti specifické pro aplikaci k dispozici v databázi Microsoft Knowledge Base na:
http://support.microsoft.com
Upravené ovladače pro systém Windows NT 3.51 a pokyny pro instalaci nejsou dostupné z kanálů podpory společnosti Microsoft nebo z následujících umístění v síti Internet:
FTP://FTP.microsoft.com/bussys/winnt /winnt-public/fixes/usa/nt351/hotfixes-postsp5/syn-attack

Prohlášení

Systém Windows NT 4.0

Tento problém byl opraven v nejnovější aktualizaci Microsoft Windows NT USA Service Pack pro systém Windows NT 4.0. Informace o získání Aktualizace Service Pack, dotaz následující slovo znalostní báze Microsoft Knowledge Base:
SYSTÉM

Systém Windows NT 3.51

Společnost Microsoft potvrdila tento problém může určitým způsobem ohrozit chyby zabezpečení v systému Windows NT verze 3.51. Je plně podporovaná oprava nyní k dispozici, ale nebyl plně regresní testování a by měl být pouze u systémů, které jsou určeny riziku útoku. Prosím vyhodnotit vaše systému fyzickou dostupnost sítě a připojení k Internetu a další faktory určující míru ohrožení systému. Pokud je váš systém dostatečně ohroženy, Microsoft doporučuje že použít tuto opravu. V opačném případě počkejte. další aktualizaci service Pack pro systém Windows NT, který bude obsahovat tuto opravu. Prosím Další informace, obraťte se na odbornou pomoc společnosti Microsoft.

Další informace

Přidání těchto změn registru mohou mít nepříznivý vliv na Cluster serveru Microsoft Exchange.

Microsoft Cluster Server Exchange (Exres.dll) často inicializuje připojení SMTP, IMAP, POP3 a HTTP portům, testování dostupnost. Zkoušky jsou podobné relaci telnet na portu 25, 143, 110, nebo 80.

Jestliže jsou testy úspěšné, clusteru ví, že služby jsou k dispozici uživatelům a označí je jako "Alive". Pokud není úspěšný, zkoušky Správce clusteru označí zdroj jako offline v clusteru Správce a zaznamenává události do protokolu aplikace. Událost je:

Typ události: Chyba
Zdroj události: MSExchangeCluster
Kategorie události: služby
ID události: 2074
Datum: datum
Čas: čas
Uživatel: není k dispozici
Počítač: název počítače
Popis: Virtuální Server SMTP Instance-(125-VS2-název): Clusterové služby se nezdařilo isalive, kontrola prostředek.

Vlastnosti

ID článku: 142641 - Poslední aktualizace: 23. dubna 2011 - Revize: 7.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Klíčová slova: 
kbnetwork kbmt KB142641 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:142641

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com