Server Internet disponibile a causa di attacchi SYN

Traduzione articoli Traduzione articoli
Identificativo articolo: 142641 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

In un computer che esegue il protocollo TCP/IP e che Ŕ connesso a Internet, alcuni o tutti i servizi di rete vengono eseguito il rendering non disponibili e messaggi di errore, ad esempio visualizzato nella finestra del client di rete:
La connessione Ŕ stata reimpostata per l'host remoto.
Questo sintomo di tutti i servizi di rete eseguito il rendering pu˛ verificarsi anche in un computer che esegue un sistema operativo diverso da Windows NT, ad esempio UNIX.

Cause

Questo problema si verifica quando il computer Ŕ diventato la destinazione di un attacco dannoso, noto come TCP/IP di "Flooding SYN" o "SYN Attacks".

Gli utenti malintenzionati possono interessare un intero computer o un servizio TCP specifico quali i servizi web. L'attacco si concentra sul protocollo TCP utilizzato da tutti i computer su Internet e non specifico del sistema operativo di Windows NT.

Funzionamento del flooding SYN

Flooding SYN funziona nel modo seguente:
  • Una richiesta di connessione TCP (SYN) viene inviata al computer destinazione. Indirizzo IP di origine nel pacchetto Ŕ "spoofing" o sostituito con un indirizzo che non Ŕ in uso su Internet o che appartiene a un altro computer. Un utente malintenzionato invierÓ molti di questi SYNs TCP per collegare le tante risorse minor sul computer di destinazione.
  • Dopo aver ricevuto la richiesta di connessione, il computer di destinazione alloca le risorse per gestire e tenere traccia della nuova connessione, quindi risponde con un "SYN-ACK". In questo caso, la risposta viene inviata all'indirizzo IP "spoofing" inesistente.
  • Non viene ricevuta alcuna risposta per il SYN-ACK. Predefinito-configurato A Windows NT 3.5x o 4.0 computer ritrasmettere il 5 SYN-ACK volte, raddoppiare il valore di timeout dopo ogni ritrasmissione. Il valore di timeout iniziale Ŕ tre secondi, in modo tentativi a 3, 6, 12, 24 e 48 secondi. Dopo la ritrasmissione ultima, 96 secondi consentiti trascorrere prima che il computer fornisce alla ricezione di una risposta e rilascia le risorse che sono state impostate a parte precedente per la connessione. Tempo totale, in cui risorse sono in uso Ŕ 189 secondi.

Come verificare che il computer Ŕ in un attacco SYN

Se si sospetta che il computer Ŕ la destinazione di un attacco SYN, Ŕ possibile digitare il seguente comando al prompt dei comandi per visualizzare le connessioni nello stato "SYN_RECEIVED":
netstat - n-p tcp
Questo comando potrebbe determinare un del testo riportato di seguito vengono visualizzate sullo schermo:
Connessioni attive
      Proto  Local Address         Foreign Address       State
      TCP    127.0.0.1:1030        127.0.0.1:1032        ESTABLISHED
      TCP    127.0.0.1:1032        127.0.0.1:1030        ESTABLISHED
      TCP    10.57.8.190:21        10.57.14.154:1256     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1257     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1258     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1259     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1260     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1261     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1262     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1263     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1264     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1265     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1266     SYN_RECEIVED
      TCP    10.57.8.190:4801      10.57.14.221:139      TIME_WAIT
				
Se un numero elevato di connessioni si trovano nello stato SYN_RECEIVED, Ŕ possibile che il sistema Ŕ sotto attacco. Un analizzatore di rete Ŕ possibile utilizzare ulteriori per tenere traccia del problema e potrebbe essere necessario contattare il provider di servizi Internet per assistenza in tentando di individuare l'origine.

L'effetto di impegnare risorse di connessione varia a seconda dello stack TCP/IP le applicazioni in ascolto sulla porta TCP. Per la maggior parte degli stack, Ŕ un limite al numero di connessioni che possono essere nello stato semiaperto (SYN_RECEIVED). Una volta raggiunto il limite per una determinata porta TCP, il computer di destinazione risponde con una reimpostazione a tutte le successive richieste di connessione fino a quando le risorse vengano liberate.

Risoluzione

Ottenere l'aggiornamento riportato di seguito per Windows NT 3.51 o il Service Pack pi¨ recente per Windows NT 4.0

Microsoft si impegna a fornire la migliore protezione possibile contro questi attacchi da all'interno del sistema operativo di Windows, pertanto ha eseguito un numero di modifiche per il TCP/IP componenti disponibili per i clienti in risposta a questa minaccia.

Questa chiave globale Ŕ stata progettata per proteggersi dagli attacchi e imposta gli altri tasti menzionati pi¨ avanti nell'articolo per valori efficaci noti. Questa chiave consente di evitare che l'ipotesi di amministratore sui valori dovrebbe offrire la massima protezione. ╚ consigliabile che le seguenti chiavi globale essere utilizzato:

SynAttackProtect
Chiave: Tcpip\Parameters
Valore di tipo: REG_DWORD
Intervallo valido: 0, 1, 2
0 (nessuna protezione synattack)
1 (ridotto di tentativi di ritrasmissione e ritardata creazione RCE (voce della cache route) se le impostazioni TcpMaxHalfOpen e TcpMaxHalfOpenRetried sono soddisfatte).
2 (oltre a 1 che viene effettuata un'indicazione di ritardata per Winsock.)

Nota : quando il sistema trova attacco le seguenti opzioni su qualsiasi socket non pu˛ essere attivato: sScalable finestre (RFC 1323) e per ciascuna scheda configurati i parametri TCP (RTT iniziale, dimensione della finestra). Infatti, quando la protezione Ŕ in funzione la voce di cache route non viene richiesto prima lo SYN-ACK viene inviato e le opzioni di Winsock non sono disponibili in questa fase della connessione.

Impostazione predefinita: 0 (false)
Raccomandazione: 2
Descrizione: Protezione Synattack comporta la riduzione della quantitÓ di ritrasmissioni per SYN-ACK, che verrÓ ridotto il tempo per cui le risorse devono rimanere allocato. L'allocazione di risorse di voce di cache route Ŕ stata rimandata fino a quando non viene effettuata una connessione. Se synattackprotect = 2, quindi la connessione su indicazione a AFD viene ritardata fino al completamento dell'handshake a tre vie. Si noti inoltre che le azioni intraprese dal meccanismo di protezione si verificano solo se le impostazioni TcpMaxHalfOpen e TcpMaxHalfOpenRetried vengono superate.

Nota : le chiavi seguenti devono essere modificate solo se la chiave globale sopra riportata Ŕ dimostrata inefficace o sono viene raggiunto i limiti di risorse specifiche.

Le modifiche sono elencate di seguito:
*******************************************************************
*  1. Tcpip.sys times out half-open connections faster            *
*******************************************************************
				
una nuova versione di Tcpip.sys Ŕ stato prodotto che consente di controllare il numero di richiesta di una risposta a una connessione TCP (SYN ACK) verrÓ pi¨ ritrasmesso. Controllo viene gestito tramite un nuovo parametro del Registro di sistema:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \Tcpip
      \Parameters
       \TcpMaxConnectResponseRetransmissions
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 2
				
il valore di predefinito per questo parametro Ŕ ora 3. Nella seguente tabella sono comportamento di TCP/IP di Windows NT 4.0 per vari valori del parametro:
Value  Retransmission Times  Elapsed Time  Comments
3      3, 6, and 12 seconds  45 seconds    Cleanup 24 secs after last retx
2      3, and 6 seconds      21 seconds    Cleanup 12 secs after last retx
1      3 seconds             9  seconds    Cleanup 6  secs after last retx
				
questo parametro viene modificato l'intervallo di tempo predefinito che accetta per pulire una connessione di TCP di aperte a metÓ da 189 secondi a 45 secondi e fornisce un controllo pi¨ dettagliato all'amministratore di. Un sito in un grave attacco potrebbe impostare il valore minimo come "1". Un valore "0" Ŕ valido anche; tuttavia se questo parametro Ŕ impostato su 0, SYN-ACK non verrÓ pi¨ ritrasmesso affatto e timeout sarÓ pari a 3 secondi. Tentativi di connessione legittima da client distanti potrebbero non riuscire con il valore basso questo.
*******************************************************************
*  2. NetBT has a Higher, Configurable Backlog                    *
*******************************************************************
				
NetBT (NetBIOS su TCP/IP) utilizza la porta TCP 139 e viene utilizzato dai servizi di rete Microsoft di Windows ad come condivisione di file e stampanti. Versione 3.51 e 4.0 NetBT Ŕ "backlog" di connessione di blocchi disponibili che Ŕ di due pi¨ un numero incrementale a seconda del client di NetBT (ad esempio il redirector, server e tutte le applicazioni NetBIOS in esecuzione). In un tipico server, Ŕ necessario che questo numero sarÓ 7-11. ╚ stato prodotto una nuova versione di NetBT che alloca automaticamente blocchi di connessione pi¨ necessario, in modo configurabile.

Su un evento di connessione, controlla per vedere se il numero di blocchi liberi Ŕ inferiore a 2 e in tal caso, consente di aggiungere un numero di "incremento" di blocchi, in cui "incrementare" Ŕ configurabile nel Registro di sistema come illustrato di seguito:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \BacklogIncrement
           Value Type: REG_DWORD
           Valid Range: 1-0x14  (1-20 decimal)
           Default: 3
				
ogni blocco di connessione utilizza 78 byte di memoria. Il numero totale di blocchi di connessione che pu˛ essere allocata da NetBT Ŕ anche configurabile di registro di sistema:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \MaxConnBackLog
           Value Type: REG_DWORD
           Valid Range: 1-0x9c40 (1-40,000 decimal)
           Default: 1000
				
MaxConnBackLog 1000 per impostazione predefinita ma pu˛ essere impostato come alto come 40.000. Blocchi di connessione "ha eseguito uno scavenging" o riciclati, quando lo SYN-ACK scadenza del timer di ritrasmissione e TCP ha esito negativo il tentativo di connessione.
*******************************************************************
*  3. Afd.sys has been modified to withstand large numbers of     *
*     "half-open" connections efficiently                         *
*******************************************************************
				
applicazioni di Windows Sockets come il server ftp e server web eseguire i tentativi di connessione gestiti da Afd.sys. Afd.sys Ŕ stato modificato per supportare numerose connessioni nello stato "aperte a metÓ" senza negare l'accesso ai client legittimi. Ci˛ avviene, consentendo all'amministratore di configurare un backlog dinamico.

La nuova versione di Afd.sys supporta quattro nuovi parametri di registro di sistema che possono essere utilizzati per controllare il comportamento del backlog dinamico.

EnableDynamicBacklog Ŕ un'opzione globale per abilitare o disabilitare il backlog dinamico. Impostazione predefinita 0 (off) e questa impostazione non fornisce nessuna modifica delle versioni esistenti. Impostandolo su 1 attiva la nuova caratteristica di backlog dinamico.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \EnableDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0,1
           Default: 0
           Suggested value for a system under heavy attack: 1
				
MinimumDynamicBacklog di controllare il minimo numero di connessioni disponibili consentito per un endpoint in ascolto. Se il numero di connessioni disponibili scende di sotto di questo valore, un thread viene accodato per creare altre connessioni disponibili. Questo valore deve essere non essere reso troppo grande, come il codice backlog dinamico si attiva ogni volta che il numero di connessioni disponibili scende di sotto questo valore. Troppo grande valore potrebbe causare una riduzione delle prestazioni.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MinimumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 20
				
MaximumDynamicBacklog controlla il numero massimo di connessioni "quasi-free" consentite su un endpoint in ascolto. "Quasi-free" connections includono il numero di connessioni disponibili pi¨ di tali connessioni in uno stato metÓ-connesso (SYN_RECEIVED). Non Ŕ tentato di creare altre connessioni disponibili se si supera questo valore.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MaximumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: Memory
           dependent. We recommend that this value does not exceed 20000 (decimal). This prevents exhaustion of the non-paged pool when under attack. 
				
DynamicBacklogGrowthDelta controlla il numero di connessioni disponibili da creare quando sono necessarie connessioni aggiuntive. Prestare attenzione con questo valore, come un valore elevato potrebbe provocare allocazioni eccessive di connessioni disponibili.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \DynamicBacklogGrowthDelta
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 10 (0xa)
				
MaximumDynamicBacklog,
Per usufruire delle modifiche per Afd.sys, in applicazioni Windows Sockets in particolare necessario richiedere un backlog maggiore del valore configurato per MinimumDynamicBacklog quando emettono i chiamata listen(). Applicazioni di Microsoft, ad esempio Internet Information Server (che ha un backlog predefinito di 25) sono configurabili. Dettagli specifici dell'applicazione sono disponibili da Microsoft Knowledge Base al:
http://support.microsoft.com
I driver modificati per Windows NT 3.51 e istruzioni per eseguirne l'installazione sono disponibili dai canali di supporto Microsoft o dal seguente percorso Internet:
FTP://FTP.microsoft.com/bussys/winnt /winnt-public/fixes/usa/nt351/hotfixes-postsp5/syn-attack

Status

Windows NT 4.0

Questo problema Ŕ stato corretto nel pi¨ recente Microsoft Windows NT Usa Service Pack per Windows NT 4.0. Per informazioni su come ottenere il Service Pack, eseguire una query in base la Microsoft Knowledge del seguente termine:
SERVPACK

Windows NT 3.51

Microsoft ha confermato che questo problema potrebbe comportare un certo grado di vulnerabilitÓ della protezione in Windows NT versione 3.51. ╚ disponibile una correzione completamente supportata, tuttavia non Ŕ stato completamente regressione testato e deve essere applicata solo ai sistemi stabiliti di essere al rischio di attacchi. Valutare, accessibilitÓ fisica del sistema, rete e connettivitÓ Internet e altri fattori per determinare il livello di rischio al sistema. Se il sistema Ŕ a rischio, si consiglia di che applicare questa correzione. In caso contrario, attendere il successivo Windows service pack per, che contiene questa correzione. Per ulteriori informazioni, contattare il supporto tecnico.

Informazioni

Aggiunta di queste modifiche del Registro di sistema potrebbe ha un effetto negativo su un cluster di Microsoft Exchange.

Cluster di Microsoft Exchange (Exres.dll) avvia spesso connessioni per le porte SMTP, IMAP, POP3 e HTTP per verificare la disponibilitÓ. I test sono simili a una sessione telnet alla porta 25, 110, 143 o 80.

Se i test hanno esito positivo, il cluster si sa che i servizi sono disponibili per gli utenti e li contrassegna come "Alive". Se i test non sono corretto, l'amministratore del cluster contrassegna la risorsa come non in linea in Amministrazione Cluster e registrato un evento nel registro dell'applicazione. L'evento Ŕ:

Tipo evento: errore
Origine evento: MSExchangeCluster
Categoria evento: servizi
ID evento: 2074
Data: date
Ora: time
Utente: N/d
Computer: computer name
Descrizione: SMTP Virtual Server Instance-(nome VS2 125): Impossibile controllare per la risorsa lo stato di attivitÓ per il servizio cluster.

ProprietÓ

Identificativo articolo: 142641 - Ultima modifica: martedý 20 febbraio 2007 - Revisione: 5.3
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Chiavi:á
kbmt kbnetwork KB142641 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 142641
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com