Интернет-сервера недоступны из-за атак SYN

Переводы статьи Переводы статьи
Код статьи: 142641 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

На компьютере, на котором запущен протокол TCP/IP протокола и который подключен к Интернету, некоторые или все сетевые службы подготавливаются к просмотру недоступен, и на экране клиента сети появляются сообщения об ошибках следующим образом:
Соединение восстановлено удаленным узлом.
Эта проблема все сетевые службы, формируемая недоступен также может возникнуть на компьютере под управлением операционной системы, отличной от Windows NT например UNIX.

Причина

Эта проблема возникает, когда компьютер стал целевой вредоносной атаки известные как TCP/IP, «Переполнения SYN» или «Атаках SYN».

Пользователи-злоумышленники можно назначить весь компьютер или определенной службы TCP, таких как веб-службы. Атака сосредоточена на TCP-протокол, используемый всеми компьютерами на Интернет и не относящиеся к операционной системе Windows NT.

Как работает переполнения SYN

Перегрузка SYN следующим образом.
  • Целевой объект отправляется запрос на подключение TCP (SYN) компьютер. Исходный IP-адрес в пакете «подменены» или заменен адрес, который не используется в Интернете или, принадлежащий другому компьютер. Злоумышленник отправит многие из этих TCP SYN, чтобы занимать столько ресурсы можно на конечном компьютере.
  • При получении запроса на подключение, на конечном компьютере Выделение ресурсов для обработки и отслеживания новое соединение, а затем отправляет в ответ «SYN-ACK». В этом случае ответ отправляется «обманных» несуществующий IP-адрес.
  • Не получен ответ на SYN-подтверждение приема A по умолчанию настройки Windows NT 3.5 x и 4.0 компьютера передачи SYN-ACK 5 раз удваивает значение времени ожидания после каждой повторной передачи. Начальная значение времени ожидания — три секунды, поэтому повторных попыток на 3, 6, 12, 24, а 48 секунд. После последней передачи 96 секунд разрешены для передачи Прежде чем компьютер дает получения ответа и освобождает ресурсы, которые были установлены отложить более ранних версий для подключения. Общее затраченное время, ресурсы, используемые — 189 секунд.

Как проверить, что компьютер находится под атакой SYN

Если вы подозреваете, что компьютер является целью атаки SYN можно ввести следующую команду в командной строке, чтобы просмотреть подключения в состояние «syn_received»:
Netstat - n -p tcp
Эта команда может вызвать следующий текст на экран:
Активных подключений
      Proto  Local Address         Foreign Address       State
      TCP    127.0.0.1:1030        127.0.0.1:1032        ESTABLISHED
      TCP    127.0.0.1:1032        127.0.0.1:1030        ESTABLISHED
      TCP    10.57.8.190:21        10.57.14.154:1256     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1257     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1258     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1259     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1260     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1261     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1262     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1263     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1264     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1265     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1266     SYN_RECEIVED
      TCP    10.57.8.190:4801      10.57.14.221:139      TIME_WAIT
				
В случае большого числа подключений Состояние SYN_RECEIVED, возможно, что система находится под атакой. Сеть Анализатор позволяют отследить проблему дальнейшего и может оказаться необходимым Чтобы обратитесь к поставщику услуг Интернета за помощью в попытке трассировки источник.

Занимая ресурсы подключения результат зависит, в зависимости от протоколов TCP/IP и прослушивает порт TCP приложений. Для в большинстве подборках, ограничение на количество подключений, которые могут быть в полуоткрытых состояния (SYN_RECEIVED). По достижении предела для данного порта TCP целевой компьютер отвечает сброса все последующие запросы на подключение пока ресурсы освобождаются.

Решение

Получить следующие обновления для Windows NT 3.51 или последние обновления пакет обновления для Windows NT 4.0

Корпорация Майкрософт считает своим долгом Предоставление возможности наилучшей защиты от подобных атак изнутри Операционная система Windows NT и внес исправления в его TCP/IP компоненты, доступные для клиентов в ответ на эту угрозу.

Это глобальный ключ был разработан для защиты от атак и устанавливает другие разделы описанные далее в статье для известных действительные значения. Этот ключ позволяет избежать у администратора предположение, о том, какие значения будет предлагать наиболее Защита. Настоятельно рекомендуется обеспечить следующие глобальные ключи используется:

SynAttackProtect
Раздел: Tcpip\Parameters
Тип значения: REG_DWORD
Допустимый диапазон значений: 0, 1, 2
0 (нет защиты synattack)
1 (уменьшение попыток повторной передачи и задержка создания RCE (запись кэша маршрутов), если Параметры TcpMaxHalfOpen и TcpMaxHalfOpenRetried выполнены.)
2 (в дополнение к 1 делается отложенной индикатор Winsock.)

ПРИМЕЧАНИЕ: Если система находит себя под атакой следующие параметры на любой сокет больше не включается: sScalable windows (RFC 1323) и по адаптер использует параметры TCP (начальный RTT, размер окна). Это происходит потому, что При работе защиты перед не запрашивается запись кэша маршрутов Отправлен SYN-ACK и параметры Winsock не доступны на данном этапе подключение.

По умолчанию: 0 (ЛОЖЬ)
Рекомендация: 2
Описание: Synattack защиты включает сокращение объема повторных передач для SYN Подтверждения, что позволит снизить время, для которого ресурсы имеют остаются выделенными. Выделение записи кэша маршрутов ресурсы откладывается до момента подключения. Если synattackprotect = 2, затем подключение на индикатор AFD откладывается до трехэтапное завершена. Обратите внимание, что действия, производимые только механизм защиты возникает, если параметров TcpMaxHalfOpen и TcpMaxHalfOpenRetried Превышено.

ПРИМЕЧАНИЕ: Следующие ключи только должно быть изменено, если выше глобальных ключ оказалось действовать или сбора данных ограничения определенного ресурса.

Изменения перечислены ниже:
*******************************************************************
*  1. Tcpip.sys times out half-open connections faster            *
*******************************************************************
				
Новая версия Tcpip.sys было произведено, позволяет контролировать количество раз в ответ на запрос на подключение TCP Будет повторно (SYN-ACK). Элемента управления обрабатывается через новый реестр параметр:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \Tcpip
      \Parameters
       \TcpMaxConnectResponseRetransmissions
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 2
				
Значение этого параметра по умолчанию теперь равно 3. В в приведенной ниже таблице показано поведение TCP/IP Windows NT 4.0 для различных значений параметр:
Value  Retransmission Times  Elapsed Time  Comments
3      3, 6, and 12 seconds  45 seconds    Cleanup 24 secs after last retx
2      3, and 6 seconds      21 seconds    Cleanup 12 secs after last retx
1      3 seconds             9  seconds    Cleanup 6  secs after last retx
				
Этот параметр изменяет стандартное время, затрачиваемое для очистки-полуоткрытых TCP соединение 189 секунд 45 секунд и позволяет более тонко управлять администратор. Веб-страницы, в группе доступно атака может установить значение не более «1». Значение «0» также допустимо. Тем не менее Если этот параметр имеет значение 0, SYN-ACK не будет повторно, и время ожидания в 3 секунды. С этом низкое значение законным подключения может произойти сбой попытки от удаленных клиентов.
*******************************************************************
*  2. NetBT has a Higher, Configurable Backlog                    *
*******************************************************************
				
NetBT (NetBIOS через TCP/IP) использует TCP-порт 139 и используется сетевыми службами корпорации Майкрософт, например файлам и принтерам. Версии 3.51 и 4.0 NetBT «журнал» подключения блоков, двух, а также Добавочный номер в зависимости от клиентов NetBT (например, перенаправитель сервер и все выполняющиеся NetBIOS). Типичный сервера этот номер будет 7-11. Новая версия NetBT было произведено автоматически выделяет несколько блоков соединения при необходимости настраивается так.

Для подключения событий он теперь проверяет Если количество свободных блоки ниже 2 и если да, добавляет «шаг» число блоков, где «Шаг» настраивается в реестре, как показано ниже:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \BacklogIncrement
           Value Type: REG_DWORD
           Valid Range: 1-0x14  (1-20 decimal)
           Default: 3
				
Каждый блок подключения занимает 78 байтов памяти. В Общее число блоков соединения, которые могут быть распределены по NetBT будет также настраиваемые реестра:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \MaxConnBackLog
           Value Type: REG_DWORD
           Valid Range: 1-0x9c40 (1-40,000 decimal)
           Default: 1000
				
MaxConnBackLog по умолчанию равно 1000, но может быть установлено как 40 000. Соединение блоков "очистки" или повторно, когда SYN-ACK срока таймера повторов передач и TCP неудачной попытки подключения.
*******************************************************************
*  3. Afd.sys has been modified to withstand large numbers of     *
*     "half-open" connections efficiently                         *
*******************************************************************
				
Приложения Windows Sockets, такие как FTP-серверов и веб-серверы имеют свои попытки подключения, обрабатываемых Afd.sys. Была Afd.sys изменен для поддержки большого числа подключений в состоянии «полуоткрытых» без отказа в доступе законным клиентам. Это достигается путем администратору, чтобы настроить динамические невыполненной работы.

Новая версия Afd.sys поддерживает четыре параметра реестра, которые можно использовать для управления поведение динамических невыполненной работы.

EnableDynamicBacklog является глобальным параметром для Включение или выключение динамического невыполненной работы. По умолчанию 0 (off) и этот параметр предоставляет без изменения существующих версий. Установка значения 1 включает новый функция динамического невыполненной работы.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \EnableDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0,1
           Default: 0
           Suggested value for a system under heavy attack: 1
				
MinimumDynamicBacklog определяет минимальное количество свободных подключений, разрешенное для прослушивания конечной точки. Если количество свободных подключений не станет меньше этого значения, а затем поток находится в очереди создание дополнительные бесплатные подключения. Это значение не следует делать слишком большой, как Код динамического невыполненных подключает всякий раз, когда число свободных подключений не станет ниже этого значения. Слишком большое значение может привести к снижение быстродействия.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MinimumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 20
				
MaximumDynamicBacklog определяет максимальное количество «quasi-free» подключений, разрешенное для прослушивания конечной точки. «Quasi-free» число свободных подключений, а также этими подключениями в подключениях половина подключенных состояния (SYN_RECEIVED). Не выполняется для создания дополнительных свободных подключений, если это будет превышать это значение.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MaximumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: Memory
           dependent. We recommend that this value does not exceed 20000 (decimal). This prevents exhaustion of the non-paged pool when under attack. 
				
Количество свободных элементов управления DynamicBacklogGrowthDelta подключений для создания, если необходимы дополнительные подключения. Будьте внимательны Это значение как большое значение может привести к взрывоопасной свободное подключение распределения.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \DynamicBacklogGrowthDelta
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 10 (0xa)
				
MaximumDynamicBacklog,
Чтобы воспользоваться преимуществами изменения Afd.sys, Приложения Windows Sockets специально должен запросить больше, чем журнал невыполненной работы значения, настроенные для MinimumDynamicBacklog, когда они создают свои listen() вызов. Приложения Microsoft, такие как Internet Information Server (которая имеет по умолчанию журнал невыполненной работы 25) можно настраивать. Подробности конкретного приложения доступны из Microsoft Knowledge Base по:
http://support.microsoft.com
Драйверы для Windows NT 3.51 и инструкции для установки их доступны из каналам технической поддержки корпорации Майкрософт или из следующей папки Интернета:
FTP://FTP.Microsoft.com/bussys/Winnt /winnt-public/fixes/usa/nt351/hotfixes-postsp5/syn-attack

Статус

Windows NT 4.0

Эта проблема была решена в последнюю версию Microsoft Windows NT США пакет обновления для Windows NT 4.0. Сведения о получении Пакет обновления, запрос следующее слово в статьях базы знаний Майкрософт:
SERVPACK

Windows NT 3.51

Корпорация Майкрософт подтвердила, эта проблема может привести к некоторой степени уязвимости системы безопасности в Windows NT версии 3.51. Полностью поддерживается исправление Теперь доступны, но он не был полностью регрессии протестированы и должно быть применяется к системам, оказались подвергнуться нападению. Пожалуйста, Оцените ваши системы физическая доступность, сеть и подключения к Интернету и другие Факторы для определения степени риска для вашей системы. Если ваша система достаточно риску, корпорация Майкрософт рекомендует применить это исправление. Отложить для следующего пакета обновления Windows NT, который будет содержать это исправление. Пожалуйста для получения дополнительных сведений обратитесь в службу технической поддержки корпорации Майкрософт.

Дополнительная информация

Добавление этих изменений реестра может оказать неблагоприятное влияние на Кластер Microsoft Exchange.

Корпорация Майкрософт кластера Exchange (Exres.dll) часто инициирует подключение к портам SMTP, IMAP, POP3 и HTTP для тестирования доступность. Тесты похожи на сеанс telnet к порту 25, 143, 110, или 80.

Если тесты выполняются успешно, кластер знает, что службы указаны для пользователей и отмечает их как «Alive». Если тесты не выполняются успешно, Администратор кластеров отмечает ресурсов как автономные в кластере Администратор и записывает событие в журнал приложений. Это событие:

Тип события: ошибка
Источник события: MSExchangeCluster
Категория события: службы
КОД события: 2074
Дата: Дата
Время: Время
Пользователь: н/Д
Компьютер: Имя компьютера
Описание: Виртуального SMTP-сервера Экземпляр-(125-VS2-имя): службе кластеров не удалось isalive, проверка ресурс.

Свойства

Код статьи: 142641 - Последний отзыв: 2 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • операционная система Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Ключевые слова: 
kbnetwork kbmt KB142641 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:142641

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com