Internet server je nedostupný z dôvodu útoky so zlým úmyslom SYN

Preklady článku Preklady článku
ID článku: 142641 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

PRIZNAKY

V počítači je spustený TCP/IP protokolu a že pripojený na Internet, niektoré alebo všetky sieťové služby poskytnuté k dispozícii, a na obrazovke klienta siete sa zobrazujú chybové hlásenia, ako sú nasledovné:
Pripojenie vynulovaný vzdialeného hostiteľa.
Tento príznak všetky sieťové služby sú poskytnuté nedostupné môžu sa tiež vyskytovať v počítači nainštalovaný operačný systém než Windows NT napríklad, UNIX.

PRICINA

Tento problém sa vyskytuje, keď počítač sa stal terčom útoku škodlivým softvérom známy ako TCP/IP "SYN zaplavenia" alebo "SYN útoky."

Zlomyseľných používateľov môžete zacieliť celý počítač alebo konkrétne TCP služby, ako sú webové služby. Útok je zameraný na protokolu TCP, ktorú používajú všetky počítače na Internet, a nie je špecifická pre operačný systém Windows NT.

Ako SYN zaplavenia funguje

SYN zaplavenia funguje nasledovne:
  • Požiadavku na protokolu TCP pripojenie (SYN) odosiela do cieľa počítač. Zdrojovú adresu IP v pakete je "falošnou identitou", alebo nahradiť adresu, ktorá sa nepoužíva na internete, alebo že patrí do iného počítač. Útočník bude posielať mnohé z týchto TCP SYNs to zavesiť ako mnoho prostriedky čo možno na cieľovom počítači.
  • Po obdržaní žiadosti pripojenie, cieľový počítač prideľuje finančné zdroje zvládnuť a sledovať nové pripojenie, potom reaguje s "SYN-ACK". V tomto prípade je odoslaná odpoveď "falošné" non-existent Adresa IP.
  • Žiadna odpoveď nedostane SYN ACK. A Predvolená nakonfigurovaná systému Windows NT 3.5 x alebo 4.0 počítač bude prenášať SYN ACK 5 krát, zdvojnásobenie hodnota prestoja po každom retransmisiu. Počiatočné Hodnota prestoja je tri sekundy, takže pokusov sa pokúsil na 3, 6, 12, 24, a 48 sekúnd. Po poslednej retransmisiu 96 sekúnd môžu prejsť pred počítač dáva po obdržaní odpovede a zruší vyhradenie zdroje, ktoré boli stanovené z obrábania skôr pre pripojenie. Celkovo uplynuté čas, že prostriedky sa používajú je 189 sekúnd.

Ako overiť, že váš počítač je pod útokom SYN

Ak máte podozrenie, že váš počítač je cieľ útoku SYN zadajte nasledujúci príkaz v príkazovom riadku na zobrazenie spojenia v "SYN_RECEIVED" štát:
Netstat - n -p tcp
Tento príkaz môže spôsobiť nasledujúci text na obrazovke obrazovky:
Active Connections
      Proto  Local Address         Foreign Address       State
      TCP    127.0.0.1:1030        127.0.0.1:1032        ESTABLISHED
      TCP    127.0.0.1:1032        127.0.0.1:1030        ESTABLISHED
      TCP    10.57.8.190:21        10.57.14.154:1256     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1257     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1258     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1259     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1260     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1261     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1262     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1263     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1264     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1265     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1266     SYN_RECEIVED
      TCP    10.57.8.190:4801      10.57.14.221:139      TIME_WAIT
				
Ak veľký počet spojení v SYN_RECEIVED štátu, je možné, že systém je pod útokom. Sieť Analyzátor slúži na problém sledovať ďalšie a môže byť potrebné kontaktovať poskytovateľa internetových služieb pre pomoc pri pokuse o stopových zdrojom.

Účinok viazanie zdrojov pripojenie mení, v závislosti na zásobník protokolu TCP/IP a aplikácie počúva na TCP porte. Pre Väčšina zásobníky, tam je limit na počet pripojení, ktoré môžu byť v Half-otvorených (SYN_RECEIVED) štátu. Akonáhle sa dosiahne limit pre daný port TCP, cieľový počítač reaguje s resetom na všetky ďalšie žiadosti o pripojenie kým sú uvoľnených zdrojov.

RIESENIE

Získať nasledujúcu aktualizáciu pre systém Windows NT 3.51 alebo Najnovšie Service Pack pre systém Windows NT 4.0

Spoločnosť Microsoft sa zaviazala poskytovanie najlepšej možnej ochrany proti tieto útoky zvnútra Operačný systém Windows NT a realizovaných niekoľko zmien na jeho TCP/IP komponenty, ktoré sú k dispozícii pre zákazníkov v reakcii na túto hrozbu.

Toto globálne kľúč bol navrhnutý na ochranu pred útokmi a nastaví ostatné klávesy uvedené neskôr v tomto článku na známe efektívnej hodnoty. Tento kľúč sa vyhýba so správcom hádať o tom, ktoré hodnoty by ponúknuť najviac ochrana. Dôrazne sa odporúča, že nasledujúce globálnej kľúče sa použité:

SynAttackProtect
Kľúč: Tcpip\Parameters
Typ hodnoty: REG_DWORD
Platný rozsah: 0, 1, 2
0 (žiadna synattack ochrana)
1 (znížené retransmisiu pokusov a oneskorené MÍŇAJÚ (položka vyrovnávacej pamäte smerovania) vytvorenie, ak nastavenia TcpMaxHalfOpen a TcpMaxHalfOpenRetried sú splnené.)
2 (okrem 1 oneskorené označenia na Winsock je vypracované.)

POZNÁMKA: Keď systém ocitla pod útokom nasledujúce možnosti na každom socket môžu už byť zapnuté: sScalable windows (RFC 1323) a na adaptér nakonfigurovaný parametre TCP (počiatočné RTT, veľkosť okna). Je to preto ochrana fungujúce položka vyrovnávacej pamäte smerovania nie Dotazovaná pred SYN ACK odosiela a možnosti Winsock nie sú dostupné v tomto štádiu pripojenie.

Predvolená hodnota: 0 (False)
Odporúčanie: 2
Popis: Synattack ochrana zahŕňa znižovanie sumy opakovaných prenosov pre SYN ACKS, čím sa zníži čas pre ktoré zdroje budú musieť naďalej pridelené. Pridelenie položka vyrovnávacej pamäte smerovania zdroje oneskorí, kým pripojení. Ak synattackprotect = 2, potom pripojiť na označenie AFD oneskorí až tri-smerovej je dokončiť. Tiež vedomie, že kroky podniknuté iba mechanizmus ochrany vyskytnúť, ak sú nastavenia TcpMaxHalfOpen a TcpMaxHalfOpenRetried prekročený.

POZNÁMKA: Nasledujúce kľúče by mali byť zmenené iba ak vyššie uvedené globálne kľúč sa ukázala byť neúčinné alebo špecifický zdroj limity sú pričom zasiahnuť.

Zmeny sú tu uvedené:
*******************************************************************
*  1. Tcpip.sys times out half-open connections faster            *
*******************************************************************
				
Nová verzia Tcpip.sys bol vyrobený, umožňuje ovládanie koľkokrát v reakcii na požiadavku na pripojenie TCP (SYN-ACK) bude káblových. Ovládanie je riešené prostredníctvom novej databázy registry parameter:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \Tcpip
      \Parameters
       \TcpMaxConnectResponseRetransmissions
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 2
				
Predvolená hodnota pre tento parameter je teraz 3. V Nasledujúca tabuľka zobrazuje správanie systému Windows NT 4.0 TCP/IP pre rôzne hodnoty tohto parameter:
Value  Retransmission Times  Elapsed Time  Comments
3      3, 6, and 12 seconds  45 seconds    Cleanup 24 secs after last retx
2      3, and 6 seconds      21 seconds    Cleanup 12 secs after last retx
1      3 seconds             9  seconds    Cleanup 6  secs after last retx
				
Tento parameter zmení predvolený čas, ktorý trvá vyčistiť half-otvorených pripojenie TCP od 189 sekúnd do 45 sekúnd, a poskytuje viac granulovaného ovládací prvok na správcu. Stránky, ktoré je pod ťažkých útok môže nastavte hodnotu tak nízke, ako "1". Hodnota "0" je tiež platné; Avšak Ak je tento parameter nastavený na hodnotu 0, SYN ACKs bude nie káblových vôbec, a bude čas na 3 sekundy. Tento malý hodnotu legitímne pripojenie pokusy zo vzdialených klientov môžu zlyhať.
*******************************************************************
*  2. NetBT has a Higher, Configurable Backlog                    *
*******************************************************************
				
NetBT (rozhranie NetBIOS nad protokolom TCP/IP) využíva TCP porte 139 používajú Microsoft sieťové služby, ako sú napríklad zdieľanie súborov a tlače. Verzia 3.51 a 4.0 NetBT má „nevyriešených"pripojenie blokov, že je dve plus prírastkové číslo v závislosti od klientov NetBT (napríklad Presmerovač, Server a akékoľvek NetBIOS aplikácie spustené). Na serveri typické, toto číslo bude 7-11. Nová verzia NetBT sa vyrobilo, aby automaticky vyhradí viac pripojenie blokov podľa potreby konfigurovateľné spôsobom.

Na pripojenie udalosť, teraz kontroluje vidieť, ak počet voľného bloky je pod 2, a ak áno, pridá "prírastok" počet blokov, kde "prírastok" je konfigurovatelné v databáze registry, ako je ukázané tu.:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \BacklogIncrement
           Value Type: REG_DWORD
           Valid Range: 1-0x14  (1-20 decimal)
           Default: 3
				
Každý blok pripojenie spotrebuje 78 bajtov pamäte. V celkový počet blokov pripojenie, ktoré je možné prideliť NetBT je tiež kancelária konfigurovateľné:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \MaxConnBackLog
           Value Type: REG_DWORD
           Valid Range: 1-0x9c40 (1-40,000 decimal)
           Default: 1000
				
MaxConnBackLog sa predvolí na 1000, ale môže byť nastavená Vysoká ako 40.000. Pripojenie bloky sú "scavenged NIC" alebo recyklované, keď SYN ACK retransmisie časovač uplynie a TCP zlyhá pokus o pripojenie.
*******************************************************************
*  3. Afd.sys has been modified to withstand large numbers of     *
*     "half-open" connections efficiently                         *
*******************************************************************
				
Windows Sockets aplikácie ako napríklad servery ftp a webové servery majú ich pokusy o pripojenie spracovávané Afd.sys. AFD.sys bol upravený na podporu veľkého množstva pripojenia v štáte "half-otvorených" bez odoprenie prístupu legitímne klientov. To sa dosiahne tým, že umožňuje Správca nakonfigurovať dynamické nedodělek.

Nová verzia AFD.sys podporuje štyri nové databázy registry parametre, ktoré môžu byť použité na kontrolu dynamické nedodělávky správanie.

EnableDynamicBacklog je globálny prepínač, ktorý povoliť alebo zakázať dynamické nedodělek. Predvolené 0 (vypnuté) a toto nastavenie poskytuje žiadna zmena z existujúcej verzie. Nastavenie 1 umožňuje nové dynamické nedodělávky funkcia.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \EnableDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0,1
           Default: 0
           Suggested value for a system under heavy attack: 1
				
MinimumDynamicBacklog kontroluje minimálny počet Voľný pripojení povolené na počúvanie koncový bod. Ak počet zadarmo pripojenia klesne pod túto hodnotu, potom vlákno je zaradené do frontu na vytvorenie dodatočné voľných pripojení. Táto hodnota nie je potrebné príliš veľké, ako dynamické nedodělávky kód zapája vždy, keď klesne počet voľných pripojení pod túto hodnotu. Príliš veľká hodnota môže viesť k zníženiu výkonu.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MinimumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 20
				
MaximumDynamicBacklog kontroluje maximálny počet "quasi-free" pripojení povolené na počúvanie koncový bod. "Quasi-free" pripojenia obsahovať počet voľných pripojení plus tieto pripojenia v polovica - pripojený (SYN_RECEIVED) štátu. Nepokúšame vytvoriť dodatočné Voľný pripojenia ak robí tak bych presahovať túto hodnotu.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MaximumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: Memory
           dependent. We recommend that this value does not exceed 20000 (decimal). This prevents exhaustion of the non-paged pool when under attack. 
				
DynamicBacklogGrowthDelta kontroluje množstvo voľného pripojenia vytvoriť keď prídavné pripojenia sú potrebné. dávaj si pozor s touto hodnotou, ako veľkú hodnotu by mohli viesť k výbušné voľné pripojenie pridelenia.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \DynamicBacklogGrowthDelta
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 10 (0xa)
				
MaximumDynamicBacklog,
Využiť zmeny na Afd.sys, Windows Sockets aplikácie osobitne požadovať väčšia ako nedodělek hodnota nakonfigurované pre MinimumDynamicBacklog pri vydávaní ich listen() hovor. Microsoft aplikácie, ako je Internet Information Server (ktorý má predvolené nedodělávky 25) sú konfigurovateľné. Špecifické detaily sú k dispozícii od Microsoft Knowledge Base na:
http://support.microsoft.com
Modifikovaných ovládače pre Windows NT 3.51 a pokyny pre inštaláciu ich sú k dispozícii z Microsoft podporu kanálov alebo z nasledovných miesto na internete:
FTP://FTP.Microsoft.com/bussys/Winnt /winnt-public/fixes/usa/nt351/hotfixes-postsp5/syn-attack

STAV

Windows NT 4.0

Tento problém bol opravený v najnovšie Microsoft Windows NT USA Service Pack pre systém Windows NT 4.0. Informácie o získaní Service Pack, dotaz nasledujúce slovo v databáze Microsoft Knowledge Base:
SERVPACK

Windows NT 3.51

Spoločnosť Microsoft potvrdila, tento problém mohol spôsobiť určitý stupeň bezpečnostné zraniteľnosti v systéme Windows NT verzie 3.51. Je plne podporovaný oprava teraz k dispozícii, ale nebolo plne regresnej testované a mali by byť len uplatňovať na systémy určené riziko útoku. Prosím hodnotiť vaše systémový fyzickou prístupnosťou, siete a pripojenie k internetu a iných faktory určiť stupeň rizika na vašom systéme. Ak je systém dostatočne v ohrození, spoločnosť Microsoft odporúča, môžete použiť túto opravu. Inak, počkajte pre budúci systém Windows NT service pack, ktorá bude túto opravu obsahovať. prosím kontaktujte technickú podporu spoločnosti Microsoft pre viac informácií.

DALSIE INFORMACIE

Pridaním týchto zmien databázy registry môže mať nepriaznivý vplyv na program Microsoft Exchange klastra.

Microsoft Exchange Cluster (Exres.dll) často iniciuje pripojenie k SMTP, IMAP, POP3 a HTTP portom na testovanie dostupnosť. Testy sú podobné relácie telnet do prístavu 25, 143, 110, alebo 80.

Ak testy sú úspešné, klastra vie, že služby sú k dispozícii používateľom a označí ich ako "Alive". Ak testy nie sú úspešné, Správca klastrov značiek resource ako offline v klastri Správca, a zapíše udalosť v denníku aplikácie. Udalosť je:

Typ udalosti: chyba
Zdroj udalosti: MSExchangeCluster
Event Category: služby
Identifikácia: 2074
Dátum: dátum
Čas: čas
Užívateľ: N/A
Počítač: názov počítača
Popis: SMTP virtuálny Server Stupňa-(125-VS2-názov): Služba klastra zlyhala isalive kontrola prostriedok.

Vlastnosti

ID článku: 142641 - Posledná kontrola: 17. októbra 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
Kľúčové slová: 
kbnetwork kbmt KB142641 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:142641

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com