악의적인 SYN 공격으로 인해 사용할 수 없는 인터넷 서버

기술 자료 번역 기술 자료 번역
기술 자료: 142641 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

현상

컴퓨터에 있는 TCP/IP 프로토콜을 실행 중인 및 인터넷에 연결되어, 일부 또는 모든 네트워크 서비스를 사용할 수 없게 렌더링되는 및 네트워크 클라이언트 화면에 다음과 같은 오류 메시지가 나타납니다.
원격 호스트에 의해 연결이 다시 설정되었습니다.
예를 들어, UNIX, Windows NT 이외의 운영 체제를 실행하는 컴퓨터에서 모든 네트워크 서비스를 사용할 수 없게 렌더링되는 이러한 현상이 발생할 수도 있습니다.

원인

TCP/IP로 "SYN 초과" 알려진 악의적인 공격 또는 "SYN 공격" 대상 컴퓨터가 되면 이 문제가 발생합니다.

악의적인 사용자는 전체 컴퓨터 또는 웹 서비스와 같은 특정 TCP 서비스를 대상으로 지정할 수 있습니다. 공격, 인터넷의 모든 컴퓨터는 사용하는 TCP 프로토콜의 중점을, Windows NT 운영 체제를 특정있지 않습니다.

SYN 초과 작동 방법

SYN 초과 다음과 같이 작동합니다.
  • TCP 연결 요청 (SYN) 대상 컴퓨터로 보내집니다. 패킷의 원본 IP 주소 "스푸핑될" 또는 있는, 사용 에서 가능하지 않거나 다른 컴퓨터에 속하는 주소 대체될 것입니다. 공격자는 대상 컴퓨터에서 가능한 한 많은 리소스를 연결하는 데 이러한 TCP SYNs 많은 보냅니다.
  • 연결 요청을 받고, 따라 대상 컴퓨터에 처리하고 새 연결을 추적할 수 있는 리소스를 할당하고 있는 "SYN-ACK가 함께" 응답합니다. 이 경우 "스푸핑된" 존재하지 않는 IP 주소를 응답을 보냅니다.
  • SYN-ACK. 응답이 A 기본 Windows NT 구성된 3.5 x 또는 4.0 컴퓨터의 시간 후에 각 재전송 시간 제한 값을 두 배로 SYN-ACK가 5 재전송하는. 재시도 시도한 있으므로 3, 6, 12, 24, 시 3초 및 48 초 초기 시간 제한 값입니다. 마지막 재전송 후에 96 초 컴퓨터가 응답을 받은 제공하며 설정한 리소스 할당을 취소합니다 전에 통과할 수 있는 연결에 대해 따로 이전. 리소스를 사용 중인 총 경과 시간을 189개의 초입니다.

컴퓨터를 SYN 공격을 받고 있는지 확인하는 방법

SYN 공격 대상 컴퓨터에 있는지 의심되는 경우 "SYN_RECEIVED" 상태에 연결을 보려면 명령 프롬프트에서 다음 명령을 입력할 수 있습니다.
netstat - n-p TCP
이 명령은 다음 화면에 나타나는 내용을 발생할 수 있습니다.
활성 연결
      Proto  Local Address         Foreign Address       State
      TCP    127.0.0.1:1030        127.0.0.1:1032        ESTABLISHED
      TCP    127.0.0.1:1032        127.0.0.1:1030        ESTABLISHED
      TCP    10.57.8.190:21        10.57.14.154:1256     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1257     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1258     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1259     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1260     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1261     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1262     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1263     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1264     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1265     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1266     SYN_RECEIVED
      TCP    10.57.8.190:4801      10.57.14.221:139      TIME_WAIT
				
많은 수의 연결 SYN_RECEIVED 상태에 있으면 시스템이 공격을 받고 있을 수 있습니다. 네트워크 분석기의 문제를 추적하려면 더 나아가 사용될 수 있으며 원본 추적 시도하는 인터넷 서비스 공급자에게 문의하십시오 데 필요할 수 있습니다.

연결 리소스를 독점 효과를 TCP/IP 스택 및 TCP 포트에서 수신 응용 프로그램에 따라 다릅니다. 대부분의 스택이 있습니다 반 열림 (SYN_RECEIVED) 상태가 될 수 있는 연결 수 제한합니다. 대상 컴퓨터에 대해 지정된 TCP 포트 제한에 도달하면 리소스가 해제될 때까지 다시 사용하여 모든 추가 연결 요청에 응답합니다.

해결 방법

다음 업데이트를 사용하여 최신 서비스 팩을 위한 Windows NT 4.0 또는 Windows NT 3.51 얻기

Microsoft Windows NT 운영 체제에서 이러한 공격에 대해 가능한 최상의 보호를 제공하기 위해 커밋된 후 변경 사항을 해당 TCP/IP 만들었습니다 이 위협에 대한 응답으로 고객이 사용할 수 있는 구성 요소.

이 글로벌 키 공격으로부터 보호하도록 디자인된 및 알려진 효과적인 값에 문서의 뒷부분에 설명하는 다른 키를 설정합니다. 이 키에 대한 대부분의 보호 값을 제공할 때와 관리자가 guess 필요 피할 수 있습니다. 다음 글로벌 키를 사용하는 것이 좋습니다.

SynAttackProtect
키: Tcpip\Parameters
형식 값: REG_DWORD
유효한 범위: 0, 1, 2
0 (synattack 보호 없음)
재전송 다시 시도 횟수 감소 및 TcpMaxHalfOpen 및 TcpMaxHalfOpenRetried 설정을 충족하면 RCE가 경로 캐시 항목 작성 연기. 1
1. 지연된 표시를 위해 Winsock 변경한) 외에도 2

참고: 때 시스템 자체를 공격을 받고 모든 소켓 다음 옵션을 찾습니다 더 이상 사용할 수 없습니다: sScalable 창 (RFC 1323) 당 어댑터에 구성된 TCP 매개 변수 (초기 RTT, 창 크기). 보호 작동할 때는 경로 캐시 항목이 SYN-ACK가 보내고 이러한 연결 단계에서는 Winsock 옵션을 사용할 수 없는 쿼리되지 않으며 때문입니다.

기본값: 0 (False)
권장: 2
설명: Synattack 보호, SYN - 리소스에 할당된 상태로 남아 있는 시간을 줄일 ACKS, 재전송 양을 줄이는 것입니다. 연결이 만들어질 때까지 경로 캐시 항목 리소스 할당이 지연됩니다. 경우 synattackprotect 2 = 3방향 핸드셰이크가 완료될 때까지 AFD 표시에 대한 연결 지연 후. 또한 보호 메커니즘에 의해 수행되는 작업에 TcpMaxHalfOpen 및 TcpMaxHalfOpenRetried 설정이 초과된 경우에만 발생합니다 유의하십시오.

참고: 이 다음 키를 위의 글로벌 키를 비효율적인 것으로 입증된 또는 특정 리소스 제한 방문 중인 있는 경우 변경할 수 합니다.

변경 내용을 여기에 나열됩니다:
*******************************************************************
*  1. Tcpip.sys times out half-open connections faster            *
*******************************************************************
				
있는 새 버전의 Tcpip.sys SYN-ACK가 TCP 연결이 응답을 요청 횟수 제어하는 재전송될 수 생성되는 이미 있습니다. 컨트롤의 새 레지스트리 매개 변수를 통해 처리됩니다.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \Tcpip
      \Parameters
       \TcpMaxConnectResponseRetransmissions
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 2
				
이 매개 변수의 기본값은 3 되었습니다. 이 매개 변수의 다양한 값 Windows NT 4.0 TCP/IP 동작을 보여 주는 표입니다.
Value  Retransmission Times  Elapsed Time  Comments
3      3, 6, and 12 seconds  45 seconds    Cleanup 24 secs after last retx
2      3, and 6 seconds      21 seconds    Cleanup 12 secs after last retx
1      3 seconds             9  seconds    Cleanup 6  secs after last retx
				
이 매개 변수의 변경 내용을 기본 시간 서버가 45초 동안 189개의 초에서 부분 공개 TCP 연결을 정리하는 데 걸리는 및 관리자에게 보다 세부적인 제어를 제공합니다. 중형 공격당할 수 있는 사이트 낮은 "1" 값을 설정할 수 있습니다. "0" 의 값은 사용할 수 있지만 이 매개 변수를 0으로 설정하면 SYN-ACK를 전혀 재전송될 수 수 없습니다 3초 이내에 시간 제한 됩니다. 이 낮은 값으로 멀리 떨어진 클라이언트에서 합법적인 연결 시도가 실패할 수 있습니다.
*******************************************************************
*  2. NetBT has a Higher, Configurable Backlog                    *
*******************************************************************
				
NetBT (TCP/IP 통한 NetBIOS) TCP 포트 139 및 파일 및 인쇄 공유 등의 Microsoft 네트워크 서비스에서 사용됩니다. 버전 3.51 및 4.0 NetBT 연결 "백로그" 블록을 사용할 수 있는 두 NetBT 클라이언트 (예: 리디렉터가, 서버 및 NetBIOS 응용 프로그램을 실행하는) 에 따라 증분 숫자를 더한 있습니다. 일반적인 서버에서 이 번호 7-11 됩니다. 새 버전의 NetBT 자동으로 구성 가능한 방식으로 필요에 따라 연결 블록이 더 할당하는 생성되는 이미 있습니다.

연결 이벤트를 이제 사용 가능한 블록 수가 2 아래에 있으면 "증가" 블록 수를 추가합니다 경우 여기서 "증가" 보려면 다음과 같이 레지스트리를 구성할 수 확인하여:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \BacklogIncrement
           Value Type: REG_DWORD
           Valid Range: 1-0x14  (1-20 decimal)
           Default: 3
				
각 연결 블록은 78 바이트의 메모리 소모합니다. 또한 NetBT에 의해 할당될 수 연결 블록 총 수입니다. 레지스트리 구성 가능한:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \MaxConnBackLog
           Value Type: REG_DWORD
           Valid Range: 1-0x9c40 (1-40,000 decimal)
           Default: 1000
				
MaxConnBackLog 1000, 기본값은 있지만 40,000 같이 높게 설정할 수 있습니다. 연결 블록을 "삭제" 또는 때 휴지통에 SYN-ACK가 재전송 타이머가 만료되고 TCP 연결 시도가 실패합니다.
*******************************************************************
*  3. Afd.sys has been modified to withstand large numbers of     *
*     "half-open" connections efficiently                         *
*******************************************************************
				
FTP 서버와 웹 서버는 같은 Windows 소켓 응용 프로그램을 Afd.sys에 의해 처리되는 해당 연결 시도를 합니다. Afd.sys는 액세스 합법적 클라이언트에 대한 액세스를 거부하지 않고 "반 열림" 상태로 많은 수의 연결 지원하도록 수정되었습니다. 이것은 관리자가 동적 백로그를 구성할 수 있도록 하여 수행됩니다.

새 버전의 Afd.sys는 동적 백로그 동작을 제어하는 데 사용될 수 있는 네 개의 새 레지스트리 매개 변수를 지원합니다.

동적 백로그 사용 여부를 전역 스위치를 EnableDynamicBacklog이 있습니다. 0 (해제), 기본값, 기존 버전의 변경 없음 이 설정을 제공합니다. 1로 설정하면 새 동적 백로그 기능을 사용할 수 있습니다.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \EnableDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0,1
           Default: 0
           Suggested value for a system under heavy attack: 1
				
MinimumDynamicBacklog 최소 수신 대기 종점에서 허용된 사용 가능한 연결 수를 제어합니다. 사용 가능한 연결 수가 이 값 아래로 떨어지면 다음 스레드는 추가 사용 가능한 연결을 만들려면 대기됩니다. 사용 가능한 연결 수가 이 값 아래로 떨어질 때마다 동적 백로그 코드가 engages 같이 이 값은 너무 큰 수 있어야 합니다지 않습니다. 너무 큰 값을 성능 저하를 일으킬 수 있습니다.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MinimumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 20
				
MaximumDynamicBacklog "quasi-free" 연결 수신 대기 종점에서 허용된 최대 수를 제어합니다. "quasi-free" 연결을 사용 가능한 연결 및 해당 연결 수를 절반 연결된-(SYN_RECEIVED) 상태에 포함합니다. 이렇게 하면 있으므로 이 값을 초과하면 추가 사용 가능한 연결을 만들려면 시도가.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MaximumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: Memory
           dependent. We recommend that this value does not exceed 20000 (decimal). This prevents exhaustion of the non-paged pool when under attack. 
				
DynamicBacklogGrowthDelta 추가 연결이 필요할 때 만들 사용 가능한 연결 수를 제어합니다. 큰 값을 폭발물 사용 가능한 연결 할당이 발생할 수 있는 것처럼 이 값을 주의해야 합니다.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \DynamicBacklogGrowthDelta
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 10 (0xa)
				
MaximumDynamicBacklog,
변경 내용을 Afd.sys 데 이용할 수 Windows 소켓 응용 프로그램을 특히 listen() 호출 발급할 때 MinimumDynamicBacklog에 대해 구성한 값보다 큰 백로그를 요청해야 합니다. 25 기본 백로그를 가진 인터넷 정보 서비스 (예: Microsoft 응용 프로그램을 구성할 수 있습니다. 응용 프로그램 관련 세부 정보를 통해 Microsoft 기술 자료 시 사용할 수 있습니다.
http://support.microsoft.com
Windows NT 3.51 수정된 드라이버 및 이를 설치하는 방법은 Microsoft 지원 채널을 또는 다음 인터넷 위치에서 사용할 수 있습니다.
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt351/hotfixes-postsp5/syn-attack

현재 상태

Windows NT 4.0

이 문제는 다음 최신 Microsoft Windows NT 미국 서비스 팩에 대한 Windows NT 4 .0에서 수정되었습니다. 서비스 팩을 구하는 방법에 대한 자세한 내용은 Microsoft 기술 자료에서 다음 단어를 쿼리:
SERVPACK

Windows NT 3.51

Microsoft는 보안 취약점 Windows NT 버전 3.51 어느 정도의 이 문제가 발생할 수 확인했습니다. 완전히 지원되는 수정 프로그램을 지금 사용할 수 있지만 회귀 않았으므로 공격 위험이 있다고 판단된 시스템을 경우에만 적용해야 합니다. 시스템의 실제 액세스 가능성, 네트워크 및 인터넷 연결 및 기타 요인을 시스템이 위험에 노출된 정도를 평가하여 확인하십시오. 시스템이 충분히 위험에 노출되어 있다고 않으면 이 수정 프로그램을 적용하는 것이 좋습니다. 그렇지 않으면 이 수정 프로그램이 포함된 다음 Windows NT 서비스 팩이, 서비스 팩이 나올 때까지 기다리는 것이 좋습니다. 자세한 내용은 Microsoft 기술 지원 서비스에 문의하십시오.

추가 정보

이러한 레지스트리 변경 내용을 추가하는 Microsoft Exchange 클러스터에서 부정적인 영향이 있을 수 있습니다.

Microsoft Exchange 클러스터 (Exres.dll은) 자주 가용성을 테스트하려면 SMTP, POP3 및 IMAP HTTP 포트에 연결을 시작합니다. 테스트를 위해 포트 25, 143, 110, 또는 80 텔넷 세션을 비슷합니다.

테스트가 성공한 경우 클러스터 서비스를 사용자가 사용할 수 있으며 "Alive" 로 표시하는 알고 있습니다. 테스트를 성공적으로 없는 경우 클러스터 관리자에서 클러스터 관리자에서 오프라인 리소스로 표시하고 응용 프로그램 로그에 이벤트를 기록합니다. 이 이벤트는 다음과 같습니다.

이벤트 종류: 오류
이벤트 원본: MSExchangeCluster
이벤트 범주: 서비스
이벤트 ID: 2074
날짜: date
시간: time
사용자: N/A
컴퓨터: computer name
설명: SMTP 가상 서버 인스턴스-(125-VS2-이름): 자원에 대한 검사 가능한지 클러스터 서비스가 실패했습니다.

속성

기술 자료: 142641 - 마지막 검토: 2007년 2월 20일 화요일 - 수정: 5.3
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
키워드:?
kbmt kbnetwork KB142641 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com