Servidor de Internet no disponible debido a ataques SYN

Seleccione idioma Seleccione idioma
Id. de artículo: 142641 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

En un equipo que ejecuta TCP/IP protocolo y está conectado a Internet, algunos o todos los servicios de red se representan no está disponibles, y aparecen mensajes de error como el siguiente en la pantalla de cliente de red:
Se ha restablecido la conexión por el host remoto.
Este síntoma de todos los servicios de red que se está representando no disponible También puede producirse en un equipo que ejecuta un sistema operativo distinto de Windows NT, Por ejemplo, UNIX.

Causa

Este problema se produce cuando el equipo se ha convertido en el destino de un ataque malintencionado se conoce como TCP/IP "Desbordamiento de SYN" o "Ataques SYN".

Usuarios malintencionados puede destinar toda una máquina o un servicio específico de TCP como servicios web. El ataque se centra en el protocolo TCP utilizado por todos los equipos en el Internet y no es específico para el sistema operativo Windows NT.

Cómo funciona la inundación SYN

Inundación SYN funciona del siguiente modo:
  • Se envía una solicitud de conexión TCP (SYN) al destino equipo. La dirección IP de origen en el paquete es "simulada" o reemplazada por un dirección que no está en uso en Internet o que pertenece a otro equipo. Un atacante enviará muchas de estas solicitudes TCP SYN a acaparar tantos recursos como sea posible en el equipo de destino.
  • Al recibir la solicitud de conexión, el equipo de destino asigna los recursos para controlar y realizar un seguimiento de la nueva conexión, a continuación, responde con un "SYN-ACK". En este caso, la respuesta se envía a la "falso" inexistente Dirección IP.
  • Se recibe ninguna respuesta en el SYN-ACK. A configurado de forma predeterminada Windows NT 3.5x o 4.0 del equipo va a retransmitir el SYN-ACK 5 veces, duplicando el valor de tiempo de espera después de cada retransmisión. La inicial valor de tiempo de espera es tres segundos, por lo que los reintentos se producen en 3, 6, 12, 24, y 48 segundos. Después de la retransmisión de la última, se permite pasar 96 segundos antes de que el equipo renunciará al recibir una respuesta y cancela la asignación de la los recursos que se han establecido anteriores a un lado de la conexión. El total transcurrido hora en que los recursos están en uso es 189 segundos.

Cómo comprobar que su equipo está sufriendo un ataque SYN

Si sospecha que su equipo es el objetivo de un ataque SYN, puede escribir el comando siguiente en un símbolo del sistema para ver las conexiones en el estado de "SYN_RECEIVED":
netstat - n -p tcp
Este comando puede provocar que aparezca en el texto siguiente la pantalla:
Conexiones activas
      Proto  Local Address         Foreign Address       State
      TCP    127.0.0.1:1030        127.0.0.1:1032        ESTABLISHED
      TCP    127.0.0.1:1032        127.0.0.1:1030        ESTABLISHED
      TCP    10.57.8.190:21        10.57.14.154:1256     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1257     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1258     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1259     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1260     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1261     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1262     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1263     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1264     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1265     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1266     SYN_RECEIVED
      TCP    10.57.8.190:4801      10.57.14.221:139      TIME_WAIT
				
Si un gran número de conexiones que se encuentran en el Estado SYN_RECEIVED, es posible que el sistema está bajo ataque. Una red Analyzer puede usarse para localizar el problema aún más y es posible que sea necesario ponerse en contacto con su proveedor de servicios de Internet para obtener asistencia para tratar de hacer un seguimiento el origen.

El efecto de la vinculación de recursos de conexión varía, en función de la pila TCP/IP y la aplicación a la escucha en el puerto TCP. Para la mayoría de las pilas, hay un límite en el número de conexiones que puede estar en el estado de Half-open (SYN_RECEIVED). Una vez que se alcanza el límite de un determinado puerto TCP, el equipo de destino responde con un restablecimiento a todas las otras solicitudes de conexión hasta que se liberan los recursos.

Solución

Obtenga la actualización siguiente para Windows NT 3.51 o la último Service Pack para Windows NT 4.0

Microsoft se compromete a proporcionar la mejor protección posible frente a estos ataques desde dentro del Sistema operativo Windows NT y ha realizado una serie de cambios a su TCP/IP componentes disponibles para los clientes en respuesta a esta amenaza.

Esto clave global se ha diseñado para proteger contra los ataques y establece las demás claves se menciona más adelante en el artículo a los valores conocidos de efectivos. Esta clave evita tener el nivel de acierto del administrador acerca de qué valores ofrezca el máximo partido protección. Se recomienda encarecidamente que las siguientes claves globales sea utiliza:

SynAttackProtect
Clave: Tcpip\Parameters
Tipo de valor: REG_DWORD
Intervalo válido: 0, 1, 2
0 (sin protección synattack)
1 (reducido de reintentos de retransmisión y retrasa la creación de RCE (entrada de caché de ruta) si se han satisfecho los valores de TcpMaxHalfOpen y TcpMaxHalfOpenRetried.)
2 (además de 1 se realiza una indicación retrasada a Winsock).

Nota: cuando el sistema atacado las siguientes opciones en ningún socket ya no se puede habilitar: sScalable ventanas (RFC 1323) y por adaptador había configurado los parámetros de TCP (RTT inicial, tamaño de la ventana). Esto es debido a Cuando funciona la protección de la entrada de caché de ruta no es consultar antes de la Se envía el SYN-ACK y las opciones de Winsock no están disponibles en esta etapa de la conexión.

Valor predeterminado: 0 (falso)
Recomendación: 2
Descripción: La protección Synattack implica reducir la cantidad de retransmisiones de SYN-ACK, lo que reducirá el tiempo para el que los recursos han de permanecer asignados. La asignación de entrada de caché de ruta los recursos se retrasa hasta que se establece una conexión. Si synattackprotect = 2, a continuación, la conexión en la indicación a AFD se retrasa hasta que es el protocolo de enlace de tres vías completado. Tenga en cuenta también las acciones realizadas por el mecanismo de protección sólo se produce si los valores de TcpMaxHalfOpen y TcpMaxHalfOpenRetried son ha superado.

Nota: sólo se deben modificar las siguientes claves si lo anterior global clave ha demostrado para ser ineficaces o golpear de los límites de recursos específicos.

Los cambios son los siguientes:
*******************************************************************
*  1. Tcpip.sys times out half-open connections faster            *
*******************************************************************
				
Una nueva versión de Tcpip.sys ha sido producido que permite controlar el número de veces que una respuesta a una solicitud de conexión TCP Se retransmitirá (SYN-ACK). Control se controla a través de un nuevo registro parámetro:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \Tcpip
      \Parameters
       \TcpMaxConnectResponseRetransmissions
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 2
				
Ahora, el valor predeterminado para este parámetro es 3. El la tabla siguiente muestra el comportamiento de TCP/IP de Windows NT 4.0 para distintos valores de este parámetro:
Value  Retransmission Times  Elapsed Time  Comments
3      3, 6, and 12 seconds  45 seconds    Cleanup 24 secs after last retx
2      3, and 6 seconds      21 seconds    Cleanup 12 secs after last retx
1      3 seconds             9  seconds    Cleanup 6  secs after last retx
				
Este parámetro cambia el tiempo predeterminado que se tarda para limpiar una conexión de TCP semiabiertas de 189 segundos a 45 segundos, y Proporciona un control más granular al administrador. Un sitio que está bajo una fuerte ataque podría establecer el valor tan bajo como "1". El valor "0" también es válido; Sin embargo Si este parámetro se establece en 0, SYN-ACK no se retransmitirán en absoluto, y será el tiempo de espera en 3 segundos. Con el valor tan bajo, legítimos conexión intentos de clientes lejanos pueden fallar.
*******************************************************************
*  2. NetBT has a Higher, Configurable Backlog                    *
*******************************************************************
				
NetBT (NetBIOS sobre TCP/IP) utiliza el puerto TCP 139 y es utilizado por los servicios de red de Microsoft tales como compartir archivos e impresoras. Versión 3.51 y NetBT 4.0 tiene un "registro" de la conexión de bloques que es dos plus un número incremental dependiendo de los clientes NetBT (por ejemplo, el redirector servidor y cualquier aplicación de NetBIOS que se esté ejecutando). En un servidor típico, este número será del 7 al 11. Se ha producido una nueva versión de NetBT es automáticamente asigna más bloques de conexión según sea necesario, de forma configurable.

En un evento de conexión, ahora comprueba si el número de libre bloques es inferior a 2 y si es así, se agrega un número de "incremento" de bloques, donde "incremento" es configurable en el registro como se muestra aquí:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \BacklogIncrement
           Value Type: REG_DWORD
           Valid Range: 1-0x14  (1-20 decimal)
           Default: 3
				
Cada bloque de conexión utiliza 78 bytes de memoria. El También es el número total de bloques de conexión que puede distribuirse por NetBT Puede configurar el registro:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \MaxConnBackLog
           Value Type: REG_DWORD
           Valid Range: 1-0x9c40 (1-40,000 decimal)
           Default: 1000
				
MaxConnBackLog valor predeterminado es 1000, pero puede ser más alta como 40.000. Bloques de conexión son "compactar" o reciclados, cuando el SYN-ACK caduca el temporizador de retransmisión y TCP falla el intento de conexión.
*******************************************************************
*  3. Afd.sys has been modified to withstand large numbers of     *
*     "half-open" connections efficiently                         *
*******************************************************************
				
Las aplicaciones de Windows Sockets como servidores ftp y los servidores Web tienen Afd.sys los intentos de conexión. Ha sido Afd.sys modificado para admitir un gran número de conexiones en el estado de "semiabiertas" sin denegar el acceso a los clientes legítimos. Esto se consigue al permitir que el administrador para configurar un registro dinámico.

La nueva versión de Afd.sys es compatible con cuatro nuevos parámetros de registro que pueden utilizarse para controlar el comportamiento del registro dinámico.

EnableDynamicBacklog es un modificador global para habilitar o deshabilitar el registro dinámico. El valor predeterminado es 0 (desactivado) y esta configuración no proporciona ningún cambio respecto a las versiones existentes. Si se establece en 1 permite a la nueva función de registro dinámico.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \EnableDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0,1
           Default: 0
           Suggested value for a system under heavy attack: 1
				
MinimumDynamicBacklog controla el número mínimo de conexiones libres permitidas en un extremo de escucha. Si el número de gratis conexiones cae por debajo de este valor, a continuación, se pone en cola un subproceso para crear conexiones libres adicionales. No se debe establecer este valor demasiado grande, como el código de registro dinámico se emplea cuando el número de conexiones libres que se pasa a ser por debajo de este valor. Un valor son demasiado grandes puede conducir a una reducción del rendimiento.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MinimumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 20
				
MaximumDynamicBacklog controla el número máximo de se permite en un extremo de escucha de conexiones "quasi-free". "Quasi-free" las conexiones incluyen el número de conexiones libres más las conexiones en un medio conectado estado (SYN_RECEIVED). No se intentará crear adicionales Si esto implica superar este valor de conexiones libres.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MaximumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: Memory
           dependent. We recommend that this value does not exceed 20000 (decimal). This prevents exhaustion of the non-paged pool when under attack. 
				
DynamicBacklogGrowthDelta controla el número de libre Connections to create when additional connections are necessary. Tenga cuidado de con este valor, como un valor grande podría conducir a explosivas de conexiones libres asignaciones.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \DynamicBacklogGrowthDelta
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 10 (0xa)
				
MaximumDynamicBacklog,
Para aprovechar las ventajas de los cambios a Afd.sys, Las aplicaciones Windows Sockets en concreto deben solicitar un trabajo pendiente de mayor que el valor configurado para MinimumDynamicBacklog al emitir su listen() llamada. Las aplicaciones de Microsoft como Internet Information Server (que tiene un trabajo pendiente del valor predeterminado de 25) son configurables. Son los detalles específicos de la aplicación disponible en Microsoft Knowledge Base en:
http://support.Microsoft.com
Los controladores modificados para Windows NT 3.51 e instrucciones para la instalación de ellos están disponibles en los canales de soporte técnico de Microsoft o desde la siguiente ubicación de Internet:
/winnt-public/fixes/usa/nt351/hotfixes-postsp5/syn-attack de FTP://FTP.Microsoft.com/bussys/winnt

Estado

Windows NT 4.0

Este problema se ha corregido en las más recientes de Microsoft Windows Estados Unidos de NT Service Pack para Windows NT 4.0. Para obtener información acerca de cómo obtener el Service Pack, consulta la siguiente palabra en Microsoft Knowledge Base:
SERVPACK

Windows NT 3.51

Microsoft ha confirmado que este problema puede causar cierto grado vulnerabilidad de la seguridad en Windows NT versión 3.51. Es una solución totalmente compatible ya está disponible, pero no ha sido completamente probado de regresión y sólo debe se aplica a los sistemas que corran el riesgo de ataque. Por favor, evalúe su accesibilidad física del sistema, red y conectividad a Internet y otros factores para determinar el grado de riesgo para el sistema. Si su sistema es suficientemente en riesgo, Microsoft recomienda que aplicar esta revisión. De lo contrario, espere para el próximo Windows NT service pack, que contendrá esta revisión. Por favor, Para obtener más información, póngase en contacto con el soporte técnico de Microsoft.

Más información

Adición de estos cambios en el registro puede tener un efecto adverso en un clúster de Microsoft Exchange.

Clúster de Microsoft Exchange (Exres.dll) con frecuencia inicia las conexiones a los puertos SMTP, IMAP, POP3 y HTTP para probar disponibilidad. Las pruebas son similares a una sesión telnet al puerto 25, 143, 110, u 80.

Si las pruebas son correctas, el clúster sabe que son los servicios disponible para los usuarios y los marca como "Vivo". Si las pruebas no son correctas, el Administrador de clústeres marca como sin conexión en clúster Administrador y registra un suceso en el registro de aplicación. El evento es:

Tipo de evento: Error
Origen del evento: MSExchangeCluster
Categoría de sucesos: servicios
Id. de suceso: 2074
Fecha: fecha
Tiempo: hora
Usuario: N/D
Equipo: nombre de equipo
Description: Servidor Virtual de SMTP Instancia: (125-VS2-NAME): servicio de Cluster Server no se pudo la comprobación isalive para el recurso.

Propiedades

Id. de artículo: 142641 - Última revisión: viernes, 29 de marzo de 2013 - Versión: 7.0
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Palabras clave: 
kbnetwork kbmt KB142641 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 142641

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com