Internet-Server aufgrund von SYN-Angriffen ist nicht verfügbar

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 142641 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Auf einem Computer, die das TCP/IP-Protokoll ausgeführt wird und mit dem Internet verbunden ist, werden einige oder alle Dienste im Netzwerk nicht verfügbar dargestellt und Fehlermeldungen wie die folgenden auf dem Netzwerk-Client-Bildschirm angezeigt:
Die Verbindung wurde vom Remotecomputer Host zurückgesetzt.
Dieses Symptom alle Netzwerkdienste wiedergegebene nicht verfügbar kann auch auf einem ein anderes Betriebssystem als Windows NT, z. B. UNIX-Computer auftreten.

Ursache

Dieses Problem tritt auf, wenn der Computer das Ziel eines Angriffs bekannt als TCP/IP "SYN Überflutung" oder "SYN Attacks". geworden ist

Böswillige Benutzer können eine gesamte Computer- oder einen bestimmten TCP-Dienst wie Webdienste Ziel. Der Angriff konzentriert sich auf das von allen Computern im Internet verwendete TCP-Protokoll und ist nicht spezifisch für das Betriebssystem Windows NT.

Funktionsweise der SYN-Überflutung

SYN Überflutung funktioniert wie folgt:
  • Eine TCP-Verbindungsanforderung (SYN) wird an den Zielcomputer gesendet. Die IP-Quelladresse im Paket ist "vorgetäuscht" oder mit einer Adresse, wird nicht im Internet verwendet, oder, gehört zu einem anderen Computer, ersetzt. Ein Angreifer sendet viele diese TCP-SYNs, um wie viele Ressourcen wie möglich auf dem Zielcomputer zu verbinden.
  • Verbindungsanfrage eingeht, der Zielcomputer weist Ressourcen behandeln und verfolgen die neue Verbindung, und antwortet mit einer an "SYN-ACK". In diesem Fall wird die Antwort auf die "Spoof" nicht vorhandene IP-Adresse gesendet.
  • Keine Antwort empfangen wird, SYN-Bestätigung EIN Standard-konfiguriert Windows NT 3.5x oder 4.0 Computer übertragen der SYN-ACK 5 Mal der Timeout-Wert nach jeder Neuübertragung verdoppelt. Der anfängliche Timeoutwert ist drei Sekunden, sodass Versuche sind, 3, 6, 12, 24 und 48 Sekunden. Nachdem die letzte Neuübertragung dürfen 96 Sekunden vergehen, bevor der Computer erhalten bis auf eine Antwort empfangen und freigibt die Ressourcen, die festgelegt wurden reserviert früheren für die Verbindung. Die verstrichene Gesamtzeit, die Ressourcen werden ist 189 Sekunden.

Zum Überprüfen, dass ein Computer unter einen SYN-Angriff ist

Wenn Sie vermuten, dass Ihr Computer das Ziel ein SYN-Angriff ist, können Sie den folgenden Befehl an einer Eingabeaufforderung zum Anzeigen von Verbindungen in den Zustand "SYN_RECEIVED" eingeben:
Netstat-n-p tcp
Dieser Befehl verursachen möglicherweise den folgenden Text auf dem Bildschirm angezeigt werden:
Aktive Verbindungen
      Proto  Local Address         Foreign Address       State
      TCP    127.0.0.1:1030        127.0.0.1:1032        ESTABLISHED
      TCP    127.0.0.1:1032        127.0.0.1:1030        ESTABLISHED
      TCP    10.57.8.190:21        10.57.14.154:1256     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1257     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1258     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1259     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1260     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1261     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1262     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1263     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1264     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1265     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1266     SYN_RECEIVED
      TCP    10.57.8.190:4801      10.57.14.221:139      TIME_WAIT
				
Wenn eine große Anzahl von Verbindungen in der SYN_RECEIVED-Status befinden, ist es möglich, dass das System angegriffen wird. Eine Netzwerk-Analyzer weitere zum Aufspüren des Problems verwendet werden kann, und es möglicherweise erforderlich, Ihren Internetdienstanbieter Unterstützung erhalten Sie bei dem Versuch die Quelle zu verfolgen.

Die Auswirkungen der Datenbankverbindungs-Ressourcen blockieren variiert je nach der TCP/IP-Stack und Anwendungen den TCP-Port abhört. Für die meisten Stacks ist beschränkt die Anzahl der Verbindungen, die im halb offenen (SYN_RECEIVED) Zustand sein können. Sobald der Grenzwert für einen bestimmten TCP-Port erreicht ist, antwortet der Zielcomputer mit ein Zurücksetzen auf alle weiteren Verbindungsanforderungen bis Ressourcen freigegeben werden.

Lösung

Beziehen Sie das folgende Update für Windows NT 3.51 oder das neueste Service Pack für Windows NT 4.0

Microsoft legt großen Wert, den bestmöglichen Schutz gegen diese Angriffe von innerhalb des Betriebssystems Windows NT und wurde eine Reihe von Änderungen an den TCP/IP-Komponenten an Kunden in Reaktion auf diese Bedrohung verfügbar sind.

Dieser globale Schlüssel wurde entwickelt, um Schutz vor Angriffen zu und legt die anderen Tasten, die später im Artikel auf die bekannten effektiven Werte genannt. Dieser Schlüssel wird vermieden, müssen den Administrator Schätzwert darüber, den welche Werte den besten Schutz bieten würden. Es wird dringend empfohlen, dass die folgenden globalen Schlüssel verwendet werden:

SynAttackProtect
Schlüssel: Tcpip\Parameters
Werttyp: REG_DWORD
Gültiger Bereich: 0, 1, 2
0 (keine Synattack Schutz)
1 (Neuübertragung Wiederholungen reduziert und verzögert RCE (Routecacheeintrag) erstellen, wenn die Einstellungen für TcpMaxHalfOpen und TcpMaxHalfOpenRetried erfüllt werden.)
2 (in Ergänzung zu 1 eine verzögerte Anzeige um Winsock vorgenommen wird.)

Hinweis : Wenn das System selbst Angriff die folgenden Optionen auf jedem Socket findet kann nicht mehr aktiviert werden: sScalable Windows (RFC 1323) und pro Adapter konfigurierten TCP-Parameter (Initial RTT, Fenstergröße). Dies ist, da beim Schutz arbeitet der Routecacheeintrag nicht abgefragt wird, bevor das SYN-ACK gesendet und die Winsock-Optionen in dieser Phase der Verbindung nicht verfügbar sind.

Standard: 0 (falsch)
Empfehlung: 2
Beschreibung: Verringern der Menge der erneuten Übertragungen für SYN-ACKS, die Zeit verringern wird für die Ressourcen besitzen zugewiesenen bleiben Synattack Schutz umfasst. Die Zuweisung von Route-Cache-Eintrag Ressourcen wird verzögert, bis eine Verbindung hergestellt wird. Wenn Synattackprotect = 2, dann verbinden auf Indiz dafür AFD verzögert wird, bis Dreiwege-Handshake abgeschlossen ist. Beachten Sie außerdem, dass die von der Schutzmechanismus durchgeführten Aktionen nur, auftreten Wenn die Einstellungen für TcpMaxHalfOpen und TcpMaxHalfOpenRetried überschritten.

Hinweis : die folgenden Schlüssel sollten nur geändert werden, wenn der oben genannten globale Schlüssel erwiesenermaßen unwirksam werden oder bestimmte Ressource Grenzwerte erreicht wird sind.

Die Änderungen sind hier aufgeführt:
*******************************************************************
*  1. Tcpip.sys times out half-open connections faster            *
*******************************************************************
				
hat eine neue Version von Tcpip.sys erzeugt wurde, die ermöglicht die Kontrolle über die Anzahl der anfordern, eine Antwort auf eine TCP-Verbindung (SYN-ACK) gesendet. Steuerelement erfolgt über einen neuen Registrierungsparameter:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \Tcpip
      \Parameters
       \TcpMaxConnectResponseRetransmissions
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 2
				
der Standardwert für diesen Parameter ist jetzt 3. Die folgende Tabelle zeigt TCP/IP für Windows NT 4.0-Verhalten für verschiedene Werte dieses Parameters:
Value  Retransmission Times  Elapsed Time  Comments
3      3, 6, and 12 seconds  45 seconds    Cleanup 24 secs after last retx
2      3, and 6 seconds      21 seconds    Cleanup 12 secs after last retx
1      3 seconds             9  seconds    Cleanup 6  secs after last retx
				
diese Parameter Änderungen die Standardzeit, dass bereinigen eine halb offenen TCP-Verbindung von 189 Sekunden bis zu 45 Sekunden dauert und bietet eine präzisere Steuerung an den Administrator. Eine Website, die starker angegriffen wird möglicherweise der Wert so niedrig wie "1" festgelegt. Der Wert "0" ist ebenfalls zulässig; jedoch Wenn dieser Parameter auf 0 festgelegt ist, SYN-ACKs nicht überhaupt übertragen und Zeitlimit 3 Sekunden beendet werden. Mit diesem niedriger Wert können legitime Verbindungsversuche von entfernten Clients fehlschlagen.
*******************************************************************
*  2. NetBT has a Higher, Configurable Backlog                    *
*******************************************************************
				
NetBT (NetBIOS über TCP/IP) verwendet TCP-Port 139 und wird von Microsoft-Netzwerkdiensten wie z. B. Datei- und Druckerfreigabe verwendet. Version 3.51 und 4.0 NetBT hat ein "Rückstand" Verbindung Blöcke verfügbar sind, ist zwei plus eine inkrementelle Nummer je nach auf den NetBT-Clients (z. B. den Redirector, Server und alle NetBIOS-Anwendungen ausgeführt). Auf einem typischen Server wird diese Nummer 7 bis 11 sein. Eine neue Version von NetBT wurde erzeugt, die weitere Verbindungsblöcke Bedarf in einer konfigurierbaren Weise automatisch zuweist.

Auf ein Verbindungsereignis jetzt überprüft um anzuzeigen, wenn die Anzahl der freien Blöcke kleiner als 2 ist und wenn dies der Fall ist, eine "erhöht" Anzahl von Blöcken fügt, wobei "erhöht" in der Registrierung wie folgt konfigurierbar:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \BacklogIncrement
           Value Type: REG_DWORD
           Valid Range: 1-0x14  (1-20 decimal)
           Default: 3
				
jeder Verbindung Block 78 Bytes des Arbeitsspeichers verbraucht. Die Gesamtzahl der Verbindungsblöcke, die von NetBT zugewiesen werden können ist auch Registrierung konfigurierbar:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \MaxConnBackLog
           Value Type: REG_DWORD
           Valid Range: 1-0x9c40 (1-40,000 decimal)
           Default: 1000
				
MaxConnBackLog standardmäßig 1000, jedoch kann als 40.000 als hoch festgelegt. Verbindungsblöcke "aufgeräumt" sind oder wiederverwendet, wenn der SYN-ACK Neuübertragungszeitgeber abläuft und TCP schlägt der Verbindungsversuch fehl.
*******************************************************************
*  3. Afd.sys has been modified to withstand large numbers of     *
*     "half-open" connections efficiently                         *
*******************************************************************
				
Windows Sockets-Anwendungen wie ftp-Server und Webserver haben Ihre Verbindungsversuche, die von Afd.sys verarbeitet. Afd.sys wurde geändert, um große Anzahl von Verbindungen in den "halb geöffneten" Status zu unterstützen, ohne Zugriff auf legitimierte Clients verweigert. Dies geschieht, indem der Administrator einen dynamischen Rückstand konfigurieren.

Die neue Version von Afd.sys unterstützt vier neue Registrierungsparameter, die zur Steuerung des dynamischen Rückstands-Verhaltens verwendet werden können.

EnableDynamicBacklog ist ein globaler Schalter aktivieren oder deaktivieren dynamischen Rückstand. Als Standardwert 0 (deaktiviert) und diese Einstellung bietet keine Änderung aus den vorhandenen Versionen. Auf 1 festlegen aktiviert die neuen dynamischen Rückstand.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \EnableDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0,1
           Default: 0
           Suggested value for a system under heavy attack: 1
				
MinimumDynamicBacklog steuert die minimale Anzahl der bei einem Abfrageendpunkt zulässigen freien Verbindungen. Wenn die Anzahl der freien Verbindungen unter diesem Wert fällt, wird ein Thread Warteschlange, um zusätzliche freie Verbindungen zu erstellen. Dieser Wert sollte nicht zu groß, vorgenommen werden, wie der dynamischen Rückstand Code, Aktion sobald die Anzahl der freien Verbindungen unter diesem Wert fällt. Groß kann ein Wert zu einem Leistungsabfall führen.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MinimumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 20
				
MaximumDynamicBacklog steuert die maximale Anzahl der bei einem Abfrageendpunkt zulässigen "quasi-freien" Verbindungen. "Quasi-freien" Verbindungen umfassen die Anzahl der freien Verbindungen sowie die Verbindungen in einem Zustand Hälfte-Verbindung (SYN_RECEIVED). Keine versucht, zusätzliche freie Verbindungen erstellen, wenn dies also diesen Wert überschreiten würde.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MaximumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: Memory
           dependent. We recommend that this value does not exceed 20000 (decimal). This prevents exhaustion of the non-paged pool when under attack. 
				
DynamicBacklogGrowthDelta steuert die Anzahl der freien Verbindungen erstellen, wenn zusätzliche Verbindungen notwendig sind. Seien Sie vorsichtig mit diesem Wert, wie ein hoher Wert zu Zündkapsel freie Verbindung Zuordnungen führen könnte.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \DynamicBacklogGrowthDelta
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 10 (0xa)
				
MaximumDynamicBacklog,
Um die Änderungen zu Afd.sys zu nutzen, müssen Windows Sockets-Anwendungen speziell anfordern einen Rückstand größer als der Wert für MinimumDynamicBacklog konfiguriert werden, wenn Sie Ihren Anruf listen() ausgeben. Microsoft-Anwendungen wie Internet Information Server (das ist ein Standard-Rückstand von 25) sind konfigurierbar. Anwendungsspezifische Details sind verfügbar aus der Microsoft Knowledge Base:
http://support.microsoft.com
Die geänderten Treiber für Windows NT 3.51 und Anweisungen für deren Installation sind verfügbar, von Microsoft Support-Kanälen oder die folgenden Internet-Speicherort:
FTP://FTP.Microsoft.com/bussys/winnt /winnt-public/fixes/usa/nt351/hotfixes-postsp5/syn-attack

Status

Windows NT 4.0

Dieses Problem wurde in der neuesten Microsoft Windows NT Standard Service Pack für Windows NT 4.0 behoben. Informationen zum Beziehen des Service Packs Fragen Sie das folgende Wort in der Microsoft Knowledge Base ab:
SERVPACK

Windows NT 3.51

Microsoft hat bestätigt, dass dieses Problem in einem gewissen Umfang zu einer Sicherheitsanfälligkeit in Windows NT 3.51 führen kann. Eine vollständig unterstützte Lösung ist jetzt verfügbar, aber es wurde nicht vollständig Regression getestet und sollten nur auf Systeme festgestellt, dass Risiko eines Angriffs angewendet werden. Bitte überprüfen Sie Ihr System hinsichtlich physischer Verfügbarkeit, Netzwerk- und Internetverbindungen sowie weiterer Faktoren, um den Risikograd für Ihr System zu bestimmen. Microsoft empfiehlt, dieses Update sofort anzuwenden, falls Ihr System von diesem Problem betroffen sein könnte. Warten Sie andernfalls auf das nächste Service Pack für Windows NT, das dieses Update enthalten wird. Weitere Informationen erhalten Sie beim Microsoft Software Service.

Weitere Informationen

Diese Änderungen der Registrierung hinzufügen möglicherweise nachteilige Auswirkungen auf einem Microsoft Exchange-Cluster.

Microsoft Exchange-Cluster (Exres.dll) initiiert häufig Verbindungen zu den Ports SMTP, IMAP, POP3 und HTTP-Verfügbarkeit testen. Die Tests sind vergleichbar mit einer Telnetsitzung zu Port 25, 143, 110 oder 80.

Wenn die Tests erfolgreich sind, weiß der Cluster die Dienste, die den Benutzern zur Verfügung stehen und kennzeichnet Sie als "Alive". Wenn die Tests nicht erfolgreich sind, wird die Clusterverwaltung markiert die Ressource als in der Clusterverwaltung offline, und ein Ereignis im Anwendungsprotokoll protokolliert. Das Ereignis ist:

Ereignistyp: Fehler
Quelle: MSExchangeCluster
Ereigniskategorie: Services
Ereignis-ID: 2074
Datum: date
Uhrzeit: time
Benutzer: NV
Computer: computer name
Beschreibung: SMTP-Instanz des virtuellen Servers-(125-VS2-NAME): Cluster-Dienst konnte die Überprüfung auf die Ressource aktiv.

Eigenschaften

Artikel-ID: 142641 - Geändert am: Dienstag, 20. Februar 2007 - Version: 5.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Keywords: 
kbmt kbnetwork KB142641 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 142641
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com