Server Internet tidak tersedia karena dari serangan SYN berbahaya

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 142641 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

GEJALA

Pada komputer yang menjalankan TCP/IP protokol dan yang terhubung Internet, beberapa atau semua layanan jaringan yang diberikan tidak tersedia, dan pesan galat seperti berikut muncul di layar klien jaringan:
Sambungan telah di-reset oleh remote host.
Gejala ini semua jaringan layanan yang diberikan tidak tersedia juga dapat terjadi pada komputer yang menjalankan sistem operasi selain Windows NT, sebagai contoh, UNIX.

PENYEBAB

Masalah ini terjadi saat komputer telah menjadi sasaran serangan berbahaya dikenal sebagai TCP/IP "Sin banjir" atau "Serangan SYN."

Pengguna berbahaya dapat menargetkan seluruh mesin, atau layanan TCP khusus seperti layanan web. Serangan ini difokuskan pada protokol TCP yang digunakan oleh semua komputer di Internet, dan tidak khusus untuk sistem operasi Windows NT.

Bagaimana Sin banjir bekerja

SYN banjir bekerja sebagai berikut:
  • Permintaan koneksi TCP (SIN) dikirim ke target komputer. Alamat IP sumber dalam paket "palsu" atau diganti dengan alamat yang tidak digunakan di Internet, atau yang milik lain komputer. Penyerang akan mengirim banyak ini TCP SYNs untuk mengikat sebagai banyak sumber daya mungkin pada komputer target.
  • Setelah menerima permintaan koneksi, komputer target mengalokasikan sumber daya untuk menangani dan melacak sambungan baru, kemudian merespon dengan "Sin-ACK". Dalam kasus ini, respon dikirim ke "palsu" tidak ada Alamat IP.
  • Tidak ada jawaban yang diterima untuk Sin-ACK. A default-dikonfigurasi Windows NT 3.5 x atau 4.0 komputer akan retransmit Sin-ACK 5 kali, dua kali lipat nilai waktu habis setelah retransmission masing-masing. Awal waktu habis nilai adalah tiga detik, jadi mencoba lagi berusaha di 3, 6, 12, 24, dan 48 detik. Setelah yang terakhir retransmission, 96 detik diperbolehkan untuk melewati sebelum komputer menyerah pada menerima tanggapan, dan deallocates sumber daya yang ditetapkan samping sebelumnya untuk sambungan. Total berlalu waktu yang sumber daya yang digunakan adalah 189 detik.

Cara memverifikasi bahwa komputer Anda berada di bawah serangan SYN

Jika Anda mencurigai bahwa komputer Anda adalah target serangan SYN Anda dapat ketik perintah berikut pada prompt perintah untuk melihat koneksi di "SYN_RECEIVED" negara:
netstat - n -p tcp
Perintah ini dapat menyebabkan teks berikut muncul di layar:
Sambungan Aktif
      Proto  Local Address         Foreign Address       State
      TCP    127.0.0.1:1030        127.0.0.1:1032        ESTABLISHED
      TCP    127.0.0.1:1032        127.0.0.1:1030        ESTABLISHED
      TCP    10.57.8.190:21        10.57.14.154:1256     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1257     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1258     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1259     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1260     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1261     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1262     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1263     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1264     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1265     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1266     SYN_RECEIVED
      TCP    10.57.8.190:4801      10.57.14.221:139      TIME_WAIT
				
Jika sejumlah besar sambungan SYN_RECEIVED negara, mungkin bahwa sistem adalah di bawah serangan. Jaringan Analyzer dapat digunakan untuk melacak masalah lebih lanjut, dan mungkin perlu untuk menghubungi penyedia layanan Internet untuk bantuan dalam berusaha untuk jejak sumber.

Efek mengikat sambungan sumber daya bervariasi, tergantung pada TCP/IP stack dan aplikasi yang mendengarkan pada TCP port. Untuk Kebanyakan tumpukan, ada batas jumlah sambungan yang dapat di setengah terbuka (SYN_RECEIVED) negara. Setelah batas dicapai untuk port TCP yang diberikan, komputer target menanggapi dengan reset semua lebih lanjut permintaan sambungan sampai sumber daya dibebaskan.

PEMECAHAN MASALAH

Mendapatkan pembaruan berikut untuk Windows NT 3.51 atau terbaru layanan paket untuk Windows NT 4.0

Microsoft berkomitmen untuk memberikan perlindungan mungkin terbaik terhadap serangan ini dari dalam Sistem operasi Windows NT dan telah membuat beberapa perubahan untuk TCP/IP yang komponen tersedia untuk pelanggan dalam menanggapi ancaman ini.

Ini kunci global telah dirancang untuk melindungi terhadap serangan dan menetapkan tombol lain disebutkan pada artikel untuk nilai-nilai efektif dikenal. Kunci ini menghindari memiliki rasa administrator tentang yang nilai akan menawarkan yang paling perlindungan. Sangat disarankan bahwa tombol global berikut akan digunakan:

SynAttackProtect
Kunci: Tcpip\Parameters
Tipe nilai: REG_DWORD
Batasan valid: 0, 1, 2
0 (tidak ada synattack perlindungan)
1 (dikurangi retransmission mencoba lagi dan tertunda penciptaan RCE (rute cache entri) jika pengaturan TcpMaxHalfOpen dan TcpMaxHalfOpenRetried puas.)
2 (selain untuk 1 indikasi yang tertunda untuk Winsock dibuat.)

CATATAN: Ketika sistem menemukan dirinya diserang opsi berikut pada setiap soket dapat tidak lagi diaktifkan: sScalable windows (RFC 1323) dan per adaptor dikonfigurasi TCP parameter (awal RTT, ukuran jendela). Hal ini karena Ketika perlindungan berfungsi rute cache entri tidak bertanya sebelum Sin-ACK dikirim dan pilihan Winsock tidak tersedia pada tahap ini sambungan.

Default: 0 (palsu)
Rekomendasi: 2
Keterangan: Synattack perlindungan melibatkan mengurangi jumlah retransmisi untuk Sin-ACKS, yang akan mengurangi waktu yang sumber daya harus tetap dialokasikan. Alokasi rute cache catatan sumber daya tertunda hingga sambungan dibuat. Jika synattackprotect = 2, kemudian Hubungkan pada indikasi untuk Paku Alam tertunda hingga tiga-cara jabat tangan adalah selesai. Juga mencatat bahwa tindakan yang diambil oleh mekanisme perlindungan hanya terjadi jika pengaturan TcpMaxHalfOpen dan TcpMaxHalfOpenRetried melebihi.

CATATAN: Kunci berikut harus hanya diubah jika di atas global kunci telah terbukti efektif atau sumber daya tertentu batas are being hit.

Perubahan yang tercantum di sini:
*******************************************************************
*  1. Tcpip.sys times out half-open connections faster            *
*******************************************************************
				
Versi baru dari Tcpip.sys telah diproduksi yang memungkinkan kontrol jumlah kali menanggapi permintaan koneksi TCP (Sin-ACK) akan disiarkan. Kontrol ditangani melalui registri baru parameter:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \Tcpip
      \Parameters
       \TcpMaxConnectResponseRetransmissions
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 2
				
Nilai default untuk parameter ini adalah sekarang 3. The Tabel berikut menunjukkan perilaku Windows NT 4.0 TCP/IP untuk berbagai nilai-nilai ini parameter:
Value  Retransmission Times  Elapsed Time  Comments
3      3, 6, and 12 seconds  45 seconds    Cleanup 24 secs after last retx
2      3, and 6 seconds      21 seconds    Cleanup 12 secs after last retx
1      3 seconds             9  seconds    Cleanup 6  secs after last retx
				
Parameter ini mengubah waktu default yang dibutuhkan untuk membersihkan koneksi TCP setengah terbuka dari 189 detik 45 detik, dan menyediakan lebih rinci kontrol administrator. Situs yang di bawah berat serangan mungkin mengatur nilai rendah sebagai sebagai "1". Nilai "0" ini juga berlaku; Namun Jika parameter ini diatur ke 0, Sin-ACKs akan tidak harus ditransmisikan ulang, dan akan waktu keluar dalam 3 detik. Dengan nilai yang rendah ini, sah koneksi usaha dari jauh klien mungkin gagal.
*******************************************************************
*  2. NetBT has a Higher, Configurable Backlog                    *
*******************************************************************
				
NetBT (NetBIOS over TCP/IP) menggunakan TCP port 139 dan digunakan oleh jaringan layanan Microsoft seperti file dan berbagi cetak. Versi 3.51 dan 4.0 NetBT memiliki "penjualan" koneksi blok yang tersedia yang dua ditambah nomor inkremental tergantung pada klien NetBT (seperti redirector, server, dan setiap aplikasi NetBIOS yang berjalan). Pada server yang khas, jumlah ini akan 7-11. Versi baru dari NetBT telah menghasilkan yang secara otomatis mengalokasikan lebih banyak koneksi blok yang diperlukan, dalam cara yang dapat dikonfigurasi.

Pada acara koneksi, itu sekarang cek untuk melihat jika jumlah gratis blok di bawah 2, dan jika demikian, menambahkan "peningkatan" jumlah blok, di mana "kenaikan" dapat dikonfigurasi di registri seperti yang ditunjukkan di sini:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \BacklogIncrement
           Value Type: REG_DWORD
           Valid Range: 1-0x14  (1-20 decimal)
           Default: 3
				
Setiap blok koneksi mengkonsumsi 78 byte dari memori. The jumlah blok sambungan yang dapat dialokasikan oleh NetBT adalah juga registri dapat dikonfigurasi:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \MaxConnBackLog
           Value Type: REG_DWORD
           Valid Range: 1-0x9c40 (1-40,000 decimal)
           Default: 1000
				
MaxConnBackLog default untuk 1000, tetapi dapat ditetapkan sebagai tinggi sebagai 40.000. Sambungan blok "scavenged", atau daur ulang, ketika Sin-ACK RETRANSMISSION timer berakhir dan TCP gagal usaha sambungan.
*******************************************************************
*  3. Afd.sys has been modified to withstand large numbers of     *
*     "half-open" connections efficiently                         *
*******************************************************************
				
Windows soket aplikasi seperti server ftp dan Web server memiliki usaha koneksi mereka ditangani oleh Afd.sys. AFD.sys telah diubah untuk mendukung sejumlah besar sambungan dalam keadaan "setengah terbuka" tanpa menyangkal akses untuk klien yang sah. Hal ini dicapai dengan memungkinkan administrator untuk mengkonfigurasi backlog dinamis.

Versi baru AFD.sys mendukung empat parameter registri baru yang dapat digunakan untuk mengendalikan dinamis backlog perilaku.

EnableDynamicBacklog adalah sebuah saklar global untuk mengaktifkan atau menonaktifkan backlog dinamis. Default ke 0 (off), dan pengaturan ini menyediakan tidak ada perubahan dari versi yang ada. Pengaturan untuk 1 memungkinkan baru fitur dinamis backlog.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \EnableDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0,1
           Default: 0
           Suggested value for a system under heavy attack: 1
				
MinimumDynamicBacklog mengendalikan jumlah minimal koneksi gratis diperbolehkan di endpoint mendengarkan. Jika jumlah bebas koneksi tetes di bawah nilai ini, maka thread antri untuk membuat koneksi gratis tambahan. Nilai ini harus tidak dilakukan terlalu besar, sebagai dinamis backlog kode melibatkan setiap kali jumlah koneksi gratis jatuh di bawah nilai ini. Terlalu besar nilai dapat menyebabkan penurunan kinerja.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MinimumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 20
				
MaximumDynamicBacklog mengendalikan jumlah maksimum "quasi-free" koneksi diperbolehkan di endpoint mendengarkan. "Quasi-free" koneksi termasuk jumlah koneksi gratis ditambah hubungan-hubungan dalam setengah - terhubung negara (SYN_RECEIVED). Tidak ada usaha dilakukan untuk membuat tambahan koneksi gratis jika melakukan begitu akan melebihi nilai ini.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MaximumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: Memory
           dependent. We recommend that this value does not exceed 20000 (decimal). This prevents exhaustion of the non-paged pool when under attack. 
				
DynamicBacklogGrowthDelta mengendalikan jumlah gratis koneksi ke membuat ketika koneksi tambahan diperlukan. Hati-hati dengan nilai ini, sebagai nilai besar bisa mengakibatkan ledakan koneksi gratis Alokasi.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \DynamicBacklogGrowthDelta
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 10 (0xa)
				
MaximumDynamicBacklog,
Untuk mengambil keuntungan dari perubahan untuk Afd.sys, Aplikasi Windows soket harus secara khusus meminta jaminan simpanan yang lebih besar daripada nilai yang dikonfigurasi untuk MinimumDynamicBacklog ketika mereka mengeluarkan mereka listen() panggilan. Aplikasi Microsoft seperti Microsoft Internet Information Services (yang telah default backlog dari 25) dapat dikonfigurasi. Aplikasi-spesifik rincian tersedia dari Basis Pengetahuan Microsoft di:
http://support.microsoft.com
Pengandar diubah untuk Windows NT 3.51 dan instruksi untuk menginstal mereka tersedia dari saluran dukungan Microsoft atau dari Internet lokasi berikut:
FTP://FTP.Microsoft.com/bussys/WinNT /winnt-public/fixes/usa/nt351/hotfixes-postsp5/syn-attack

STATUS

Windows NT 4.0

Masalah ini telah diperbaiki di Microsoft Windows terbaru NT AS paket layanan untuk Windows NT 4.0. Untuk informasi tentang mendapatkan Paket layanan, permintaan kata berikut pada Basis Pengetahuan Microsoft:
SERVPACK

Windows NT 3.51

Microsoft telah mengkonfirmasi bahwa masalah ini dapat mengakibatkan beberapa derajat dari kerentanan keamanan dalam Windows NT 3.51 versi. Perbaikan yang didukung sepenuhnya sekarang tersedia, tetapi belum sepenuhnya regresi diuji dan hanya boleh diterapkan untuk sistem ditentukan risiko serangan. Silahkan evaluasi Anda sistem fisik aksesibilitas, jaringan dan konektivitas Internet, dan lainnya faktor yang menentukan tingkat risiko untuk sistem Anda. Jika sistem Anda cukup berisiko, Microsoft menyarankan Anda menerapkan perbaikan ini. Sebaliknya, menunggu untuk Windows NT paket layanan berikutnya, yang akan berisi memperbaiki ini. Mohon hubungi dukungan teknis Microsoft untuk informasi lebih lanjut.

INFORMASI LEBIH LANJUT

Menambahkan perubahan registri ini mungkin memiliki pengaruh buruk Cluster Microsoft Exchange.

Microsoft Exchange Cluster (Exres.dll) sering memulai koneksi ke port SMTP, IMAP, POP3, dan HTTP untuk menguji ketersediaan. Tes mirip dengan sesi telnet ke port 25, 143, 110, atau 80.

Jika tes berhasil, gugus tahu bahwa layanan tersedia untuk pengguna dan menandai mereka sebagai "Hidup". Jika tes tidak berhasil, Cluster Administrator menandai sumber sebagai offline Cluster Administrator, dan log peristiwa di log aplikasi. Acara ini:

Jenis peristiwa: kesalahan
Sumber peristiwa: MSExchangeCluster
Kategori peristiwa: layanan
ID Peristiwa: 2074
Tanggal: tanggal
Waktu: waktu
Pengguna: N/A
Komputer: nama komputer
Keterangan: SMTP Virtual Server Contoh-(125-VS2-nama): Cluster layanan gagal isalive memeriksa sumber daya.

Properti

ID Artikel: 142641 - Kajian Terakhir: 15 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Kata kunci: 
kbnetwork kbmt KB142641 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:142641

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com