インターネット サーバーに悪質な SYN 攻撃のために利用できません。

文書翻訳 文書翻訳
文書番号: 142641
すべて展開する | すべて折りたたむ

目次

現象

TCP/IP を実行しているコンピューターのプロトコルと接続します。インターネットに使用できません、ネットワーク サービスの一部またはすべてがレンダリングされるとエラー メッセージ、次のようにネットワーク クライアント画面に表示されます。
接続はリモート ホストによってリセットされました。
この現象が使用できなくレンダリングされるすべてのネットワーク サービスWindows NT とは異なるオペレーティング システムを実行しているコンピューターにも発生する可能性があります、たとえば、UNIX です。

原因

コンピューターが悪意のある攻撃の対象になるとこの問題が発生します。TCP/IP「SYN 洪水」または「SYN 攻撃」と呼ばれます

悪意のあるユーザーマシン全体、または web サービスなど、特定の TCP サービス対象できます。攻撃、TCP プロトコルのすべてのコンピューターでの使用に重点を置いて、インターネットの Windows NT のオペレーティング システムに固有ではありません。

SYN の混雑のしくみ

SYN の混雑は、次のように動作します。
  • TCP 接続要求 (SYN) がターゲットに送信されます。コンピューターです。パケット内ソース IP アドレスを「スプーフィング」または置換します。アドレスは、インターネット上で使用できないことに属しています。コンピューターです。攻撃者は、多くの多くとしてするには、これら TCP SYNs 送信されます。限り、ターゲット コンピューター上のリソースです。
  • ターゲット コンピューターが接続要求を受信すると処理し、新しい接続を追跡するためにリソースを割り当てるし、応答では"SYN-ACK"。ここでは、「なりすまし」実在する応答は送信します。IP アドレスです。
  • SYN が確認に応答がないです。A既定で構成された Windows NT 3.5x または 4.0 コンピューター SYN-ACK の再転送されます。5 回、各再転送後タイムアウト値 2 倍になります。初期タイムアウト値は 3 秒、再試行が行われるため、3、6、12、24 でし48 秒最後の再送信の後、96 秒受け渡すことのできます。コンピューターが応答を受信する際に放棄し、の割り当てを解除する前に、指定されたリソース確保の以前の接続します。合計の経過時間リソースが使用されている時間は 189 秒です。

コンピューターが SYN 攻撃を受けていることを確認する方法

コンピューターが SYN 攻撃の対象であると考えられる場合は、接続で表示するのには、コマンド プロンプトで次のコマンドを入力することができます。"SYN_RECEIVED"の状態:
netstat-n と p tcp
次のコマンドを表示するのには、次のテキストを可能性があります。画面:
アクティブな接続
      Proto  Local Address         Foreign Address       State
      TCP    127.0.0.1:1030        127.0.0.1:1032        ESTABLISHED
      TCP    127.0.0.1:1032        127.0.0.1:1030        ESTABLISHED
      TCP    10.57.8.190:21        10.57.14.154:1256     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1257     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1258     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1259     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1260     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1261     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1262     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1263     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1264     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1265     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1266     SYN_RECEIVED
      TCP    10.57.8.190:4801      10.57.14.221:139      TIME_WAIT
				
接続の数が多いされている場合、SYN_RECEIVED 状態、システムが攻撃を受けていることが可能です。ネットワークアナライザーは、問題を追跡するのにはさらに、使用できるし、必要な場合があります。インターネット サービス プロバイダーにトレースするしようとしてに問い合わせてするのには元のソース。

接続リソースを拘束の効果の変化、TCP/IP スタックと TCP ポートをリッスンしているアプリケーションに応じてください。のほとんどのスタックできる接続の数に制限がある、ハーフ オープン (SYN_RECEIVED) 状態です。特定の TCP ポートの制限に達すると、対象となるコンピューターをリセットとさらにすべての接続要求に応答します。リソースが解放されるまで。

解決方法

Windows NT 3.51 の以下の更新プログラムを入手するか、最新サービス パックの Windows NT 4.0

マイクロソフトに取り組んでいます内からこれらの攻撃から最大限に可能な保護を提供すること、Windows NT オペレーティング システムとは TCP/IP にいくつかの変更を行ったコンポーネントのこのような脅威への応答が利用できます。

これグローバル キー攻撃から保護するように設計されているし、他のキーを設定します。既知の有効な値に、記事の後半で説明します。このキーを回避できます。については、最も値によってもたらされる管理者の推定値を持つ保護します。次のグローバル キーをすることをお勧め使用します。

SynAttackProtect
キー: Tcpip\Parameters
値の種類:REG_DWORD
有効な範囲: 0, 1, 2
0 (synattack 保護なし)
1(再送信回数の削減し、RCE (ルート キャッシュ エントリ) を作成する場合の遅延満足、TcpMaxHalfOpen および TcpMaxHalfOpenRetried 設定しています。)
2(1 のほかに、遅延を示す Winsock に行われます。)

メモ: 場合システムは攻撃を受けて、次のオプションを検索任意のソケット上では有効にできます: sScalable ウィンドウ (RFC 1323) あたりTCP パラメーター (初期 RTT、ウィンドウ サイズ) アダプターを構成します。これからです。保護が機能している場合、ルート キャッシュ エントリの前に照会されず、SYN ACK が送信され、のこの段階では Winsock オプションを利用できない、接続します。

デフォルト値: 0 (False)
推奨値: 2
説明: Synattack 保護の量を削減する必要があります。再送信は指定の時間が短縮されます SYN、ACK、リソースは割り当てられたままにする必要があります。ルート キャッシュ エントリの割り当て接続が確立されるまで、リソースが遅れます。場合は synattackprotect = 2、3 ウェイ ハンドシェイクするまで AFD ・上の接続遅延します。完了します。保護メカニズムが実行する操作も注意してください。TcpMaxHalfOpen および TcpMaxHalfOpenRetried 設定場合に発生します。超えています。

メモ: 場合は以下のキーをのみ変更する必要があります上記のグローバルキー効果が実証または特定のリソースの制限のヒットしています。

変更内容は、次のとおりです。
*******************************************************************
*  1. Tcpip.sys times out half-open connections faster            *
*******************************************************************
				
Tcpip.sys の新しいバージョンをされている、生産されました。回数 TCP 接続要求に対する応答を制御できるように(SYN ACK) が再送信されます。コントロールが、新しいレジストリを通じて処理されます。パラメーター:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \Tcpip
      \Parameters
       \TcpMaxConnectResponseRetransmissions
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 2
				
このパラメーターの既定値は 3 になりました。は、Windows NT 4.0 TCP/IP の動作のさまざまな値を次の表が表示されます。パラメーター:
Value  Retransmission Times  Elapsed Time  Comments
3      3, 6, and 12 seconds  45 seconds    Cleanup 24 secs after last retx
2      3, and 6 seconds      21 seconds    Cleanup 12 secs after last retx
1      3 seconds             9  seconds    Cleanup 6  secs after last retx
				
このパラメーターの既定時間を変更します。189 秒から半開状態の TCP 接続を 45 秒にクリーンアップするのには、詳細な制御を管理者に提供します。重いの下のサイト攻撃値はお得な「1」に設定可能性があります。「0」の値も有効です。ただしこのパラメーターを 0 に設定すると、SYN Ack は再送されるがないし、3 秒後にタイムアウトになります。この低値とは、接続を正規します。離れた場所にあるクライアントからの試行は失敗します。
*******************************************************************
*  2. NetBT has a Higher, Configurable Backlog                    *
*******************************************************************
				
TCP ポート 139 を使用あり、NetBT (NetBIOS over TCP/IP)Microsoft ネットワーク サービスでファイルとプリンターの共有などを使用します。バージョン 3.514.0 の NetBT が「バックログ」の接続の 2 ブロックと連番を NetBT クライアント (リダイレクターなどによってはサーバー、および実行されている NetBIOS アプリケーション)。一般的なサーバー上でこの番号7-11 になります。NetBT の新しいバージョンを自動的に作成されています必要に応じて、構成可能な方法で複数の接続ブロックが割り当てられます。

接続イベントには、この今の数を解放するかどうか確認しますブロックの下の 2 で、その場合は、ブロックの数が「増加」を追加、「増分」ここで示すように、レジストリには構成可能です。
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \BacklogIncrement
           Value Type: REG_DWORD
           Valid Range: 1-0x14  (1-20 decimal)
           Default: 3
				
各接続ブロックは 78 バイトのメモリを消費します。は、NetBT が割り当てることのできる接続ブロックの合計数もレジストリを構成します。
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \MaxConnBackLog
           Value Type: REG_DWORD
           Valid Range: 1-0x9c40 (1-40,000 decimal)
           Default: 1000
				
MaxConnBackLog 1000 には、既定値が設定することができます。40,000 として。接続ブロック「が、」またはリサイクルすると、SYN ACK再送タイマー有効期限が切れるし、TCP は、接続の試行が失敗しました。
*******************************************************************
*  3. Afd.sys has been modified to withstand large numbers of     *
*     "half-open" connections efficiently                         *
*******************************************************************
				
Ftp サーバーなどの Windows ソケット アプリケーションとweb サーバーは、接続の試行が Afd.sys で処理があります。Afd.sys がされています。「半開」状態で多数の接続をサポートするように変更正当なクライアントへのアクセスを拒否せず。これにより実現します。動的バックログを設定する管理者。

新しいバージョンAfd.sys は、制御するために使用できる 4 つの新しいレジストリ パラメーターをサポートしていますが動的バックログの動作です。

EnableDynamicBacklog グローバル スイッチするには有効または、動的バックログを無効にします。0 (無効)、し、この設定を既定値します。既存のバージョンからの変更は行いません。新しい有効に 1 に設定します。動的バックログ機能です。
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \EnableDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0,1
           Default: 0
           Suggested value for a system under heavy attack: 1
				
MinimumDynamicBacklog の最小数を制御します。無料の接続をリッスンしているエンドポイントで許可されます。場合は数を解放します。この値を下回る、接続が解除し、スレッドを作成するためにキューに入れられます追加のフリー接続します。この値が大きすぎるとしてはなりません、空き接続の数を下回ったときに、動的バックログのコードを実行します。この値を下回る。大きすぎる値は、パフォーマンスが低下するに可能性があります。
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MinimumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 20
				
MaximumDynamicBacklog の最大数を制御します。"quasi-free"の接続をリッスンしているエンドポイントで許可されます。「Quasi-free」接続の追加の空き接続とそれらの接続の数は、半 (SYN_RECEIVED) 状態を接続します。作成する行われませんその場合、この値を超える場合は、接続を解放します。
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MaximumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: Memory
           dependent. We recommend that this value does not exceed 20000 (decimal). This prevents exhaustion of the non-paged pool when under attack. 
				
DynamicBacklogGrowthDelta 空きの数を制御します。追加の接続が必要な場合に作成するには、[接続] をクリックします。注意してください。この値には、として大きな値爆発的空き接続可能性があります。割り当て。
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \DynamicBacklogGrowthDelta
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 10 (0xa)
				
MaximumDynamicBacklog、
Afd.sys に変更内容を利用するのにはWindows ソケット アプリケーションがよりも大きいバックログを明示的に要求する必要があります。listen() を実行したときの MinimumDynamicBacklog で構成された値呼び出します。Internet Information Server などの Microsoft アプリケーション (が、既定のバックログの 25) 設定可能です。アプリケーションに固有の詳細情報します。マイクロソフト サポート技術で利用できます。
次の web サイト
Windows NT 3.51 と指示を変更したドライバーインストールには Microsoft サポート チャネルまたはインターネットの次の場所から利用できます。
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt351/hotfixes-postsp5/syn-attack

状況

Windows NT 4.0

この問題は、最新の Microsoft Windows で修正されていますNT 米国 Windows NT 4.0 の Service Pack。取得について、サービス パックは、マイクロソフト サポート技術、次の単語を照会します。
SERVPACK

Windows NT 3.51

マイクロソフトがこの問題がある程度になる可能性があります確認していますセキュリティの脆弱性の Windows NT バージョン 3.51 で。完全にサポートされている修正プログラムします。今すぐに利用できるが、完全な遡行テストをのみにする必要があります行われていません。攻撃の危険にさらされると判断されたシステムに適用します。評価をしてください、システムの物理的なアクセス可能性、ネットワークやインターネットの接続、その他の要因のシステムへの危険度を判断します。システムの場合十分なリスクには、この修正プログラムを適用おを勧めします。それ以外の場合は、待機します。Windows NT の次の service pack には、この修正プログラムが含まれます。くださいMicrosoft テクニカル サポートに問い合わせてください。

詳細

これらのレジストリ変更を追加する有害な影響を与える場合がありますMicrosoft Exchange クラスターします。

Microsoft Exchange クラスター (Exres.dll) 頻繁にテストするのには、SMTP、IMAP、POP3 および HTTP ポートへの接続を開始します。可用性を実現。25, 143, 110 ポートへの telnet セッションをテストしています、または 80。

テストが成功した場合は、クラスター サービスがあることを知っています。ユーザーが利用できるとは"Alive"としてマークします。テストが成功しない場合は、クラスター アドミニストレーターはリソースをクラスター内でオフラインとしてマークします。管理者は、イベントがアプリケーション ログにログに記録します。イベントを示します。

イベントの種類: エラー
イベント ソース: MSExchangeCluster
イベントの分類: サービス
イベント ID: 2074年
作成日: 日付
時刻: 時間
ユーザー: 該当なし
コンピューター: Computer Name
SMTP 仮想サーバーの説明:インスタンス-(125 VS2 名): クラスター サービスが isalive チェックに失敗しました、リソースです。

プロパティ

文書番号: 142641 - 最終更新日: 2011年7月1日 - リビジョン: 7.0
キーワード:?
kbnetwork kbmt KB142641 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:142641
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com