Sunucu'ı SYN saldırılara nedeniyle kullanılamıyor

Makale çevirileri Makale çevirileri
Makale numarası: 142641 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

TCP/IP iletişim kuralını çalıştıran bir bilgisayarda, ınternet'e bağlı, bazıları veya tümü ağ hizmetlerinin kullanılamaz olarak oluşturulur ve ağ istemci ekrandaki aşağıdaki hata iletileri:
Bağlantı bir uzak ana bilgisayar tarafından sıfırlandı.
Bu belirti kullanılamaz işlenmiş tüm ağ hizmetleri, Windows NT, örneğin, UNIX dışında bir işletim sistemini çalıştıran bir bilgisayarda da oluşabilir.

Neden

Bu sorun, bilgisayarda TCP/IP "SYN taşmasını" bilinen kötü niyetli saldırı amaçlı veya "SYN saldırıları" hedef olduğunda oluşur.

Kötü niyetli kullanıcılar, tüm bir makine veya web hizmetleri gibi belirli bir TCP hizmetini hedefleyebilirsiniz. Saldırı, ınternet'teki tüm bilgisayarlar tarafından kullanılan TCP iletişim kuralı üzerinde odaklanır ve Windows NT işletim sistemine özgü değildir.

SYN taşmasını nasıl çalışır?

SYN taşmasını gibi çalışır:
  • TCP bağlantı isteğini (SYN) hedef bilgisayara gönderilir. Paket kaynak IP adresi "sahte" veya ınternet'te kullanılmakta olmayan ya da, başka bir bilgisayara ait adresiyle değiştirilir. Saldırganın, hedef bilgisayardaki mümkün olduğunca çok kaynakları tedariği birbirine bağlamanın iki bu TCP SYNs çoğunu gönderir.
  • Bağlantı isteğini alır almaz, hedef bilgisayarda işlemek ve yeni bağlantıyı izlemek için gereken kaynaklar ayırır ve bir "SYN-ACK ile" yanıt verir. Bu durumda, yanıtta, "sahte" var olmayan IP adresine gönderilir.
  • Yanıt için SYN ACK. alınan BIR varsayılan yapılandırılmış-Windows NT 3.5 x veya 4.0 bilgisayarın saatleri, sonra her yeniden iletimde zaman aşımı değerini Katlama SYN ACK 5 yeniden. Başlangıç zaman aşımı 48 saniye ve üç deneme denenir 3, 6, 12, 24; böylece saniye cinsinden değeridir. Son yeniden iletim sonra 96 saniye bilgisayar yanıt alma üzerinde sağlar ve ayarlanan kaynakları kaldırır önce geçmesine izin verilen bağlantı için önceki Owner. Kullanımda olan kaynakların toplam geçen zaman 189 saniyedir.

Nasıl yapılır: bilgisayarınızda SYN bir saldırı altında olduğundan emin olun

Bilgisayarınızın SYN saldırı hedefi olduğundan şüpheleniyorsanız "SYN_RECEIVED" durumunda bağlantılarını görüntülemek için komut isteminde aşağıdaki komutu yazın:
netstat -p tcp - n
Bu komut, aşağıdaki metni ekranda görünmesini neden olabilir:
Etkin bağlantılar
      Proto  Local Address         Foreign Address       State
      TCP    127.0.0.1:1030        127.0.0.1:1032        ESTABLISHED
      TCP    127.0.0.1:1032        127.0.0.1:1030        ESTABLISHED
      TCP    10.57.8.190:21        10.57.14.154:1256     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1257     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1258     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1259     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1260     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1261     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1262     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1263     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1264     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1265     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1266     SYN_RECEIVED
      TCP    10.57.8.190:4801      10.57.14.221:139      TIME_WAIT
				
Çok sayıda bağlantı SYN_RECEIVED durumunda, sistem saldırı altında olduğunu olanaklıdır. Bir ağ çözümleyicisi sorun izleme için daha fazla kullanılabilir ve kaynak izleme deneniyor, Yardım için ınternet servis sağlayıcınıza başvurma gerekli olabilir.

Bağlantı kaynaklarının bağlayarak etkisini, TCP/IP yığını ve uygulamaları TCP bağlantı noktasını dinleyen bağlı olarak değişir. Çoğu yığın için bir yarı-Aç (SYN_RECEIVED) durumunda, bağlantı sayısı sınırı yoktur. Belirli bir TCP bağlantı noktası için sınıra ulaşıldığında, hedef bilgisayar ile bir sıfırlama kaynakları serbest kadar tüm diğer bağlantı isteklerini yanıtladığı.

Çözüm

Windows NT 3.51 veya en son hizmet paketi için Windows NT 4.0 için aşağıdaki güncelleştirmeyi edinin

Microsoft, bu Windows NT işletim sistemi içinde gelen saldırılara karşı olası en iyi koruma sağlamaya gösterir ve bir değişiklik sayısı, TCP/ıp'yi yaptı bileşenleri Bu tehdide karşı yanıt müşteriler tarafından kullanılabilir.

Bu genel anahtar saldırılara karşı koruma sağlamak üzere tasarlanmış ve bu makalenin bilinen etkin değerleri için belirtilen diğer tuşlarla ayarlar. Bu anahtar değerleri çoğu koruma hakkında daha fazla teklif yönetici tahmin sahip önler. Aşağıdaki genel anahtarlarının kullanılması önerilir:

SynAttackProtect
Anahtar: Tcpip\Parameters
Tür değeri: REG_DWORD
Geçerli aralık: 0, 1, 2
<a1>0</a1> (synattack koruma)
1 (TcpMaxHalfOpen ve TcpMaxHalfOpenRetried ayarlar uygulandı ise, <a1>RCE</a1> (yol önbelleği girdisi) oluşturma Gecikmeli ve yeniden iletim yeniden denemeleri sınırlı.)
2 (ek olarak 1. Gecikmeli bir gösterge için Winsock yapılır)

Not: ne zaman sistem kendisini saldırı altında aşağıdaki seçeneklerden herhangi bir yerde bulur artık etkinleştirilebilir: sScalable windows (RFC 1323) ve bir bağdaştırıcı TCP parametrelerini (ilk RTT, pencere boyutu). Koruma çalıştığından, yol önbelleği girdisi SYN ACK gönderilir ve Winsock seçenekleri bağlantının bu aşamada kullanılamaz önce sorgulanan değil olmasıdır.

Varsayılan: 0 (yanlış)
Öneri: 2
Açıklama: The SYN-ayrılmış kaynaklar sahip olduğunuz zamanı azaltır; ACKS, yeniden aktarımları miktarını azaltarak, Synattack koruma içerir. Bağlantı yapılan kadar yol önbellek girdisi kaynak tahsisatı ertelendiği. Synattackprotect üç yönlü el sıkışma işlemi tamamlanıncaya kadar AFD bir gösterge üzerinde bağlantı ertelendiği sonra = 2. Ayrıca, TcpMaxHalfOpen ve TcpMaxHalfOpenRetried ayarlarını aştı koruma mekanizması tarafından gerçekleştirilen eylemler yalnızca ortaya olduğunu unutmayın.

Not: aşağıdaki anahtarları yalnızca etkisiz olarak yukarıdaki genel anahtar kanıtlanmış veya özel kaynak sınırları isabet değiştirilmesi.

Değişiklikler aşağıda listelenmektedir:
*******************************************************************
*  1. Tcpip.sys times out half-open connections faster            *
*******************************************************************
				
Tcpip.sys yeni BIR sürümü denetimini bir TCP bağlantısı için bir yanıt iste (SYN-ACK) kaç kez yeniden aktarılan sağlayan üretildiğini. Denetimi yeni bir kayıt defteri parametresi gerçekleştirilir:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \Tcpip
      \Parameters
       \TcpMaxConnectResponseRetransmissions
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 2
				
bu parametrenin varsayılan değeri 3 sunulmuştur. Aşağıdaki tabloda, bu parametrenin çeşitli değerler için Windows NT 4.0 TCP/IP davranış gösterilmektedir:
Value  Retransmission Times  Elapsed Time  Comments
3      3, 6, and 12 seconds  45 seconds    Cleanup 24 secs after last retx
2      3, and 6 seconds      21 seconds    Cleanup 12 secs after last retx
1      3 seconds             9  seconds    Cleanup 6  secs after last retx
				
bu parametre değişiklikler varsayılan süre bu BT 45 saniye 189 saniye arasında yarı açık TCP bağlantı temizlemek için gereken ve yöneticiye daha parçalı bir denetim sağlar. Yoğun bir saldırı altında olan BIR site en düşük "1" değerini ayarlayabilirsiniz. "0" Değeri de geçerlidir; ancak bu parametreyi 0 olarak ayarlarsanız, SYN ACKs yeniden hiç aktarılan. ve 3 saniye olarak zaman aşımına olur. Değer bu düşük uzaktaki istemcilerden meşru bağlantı girişimleri başarısız olabilir.
*******************************************************************
*  2. NetBT has a Higher, Configurable Backlog                    *
*******************************************************************
				
(TCP/ıp üzerinde Netbıos'u) NetBT ve dosya ve yazıcı paylaşımı gibi Microsoft Ağ Hizmetleri tarafından kullanılan TCP bağlantı noktası 139 kullanır. Sürüm 3.51 ve 4.0 NetBT blokları kullanılabilir iki artı artımlı bir sayı NetBT istemcileri (örneğin, yeniden yönlendirici, sunucu ve Netbıos uygulamaları çalıştıran) bağlı olan bir "bekleme listesi" bağlantı var. Tipik bir sunucuda, bu numara, 7-11 olacaktır. NetBT yeni BIR sürümü otomatik olarak gerektiğinde, yapılandırılabilir bir şekilde daha fazla bağlantı blokları ayırdığı üretildiğini.

Bir bağlantı olayı, şimdi boş blok sayısı 2'ın altında "Artır" bir blok sayısı ekler, burada "Artır" görmek için a?a??da gösterildi?i gibi kayıt defterinde Konfigüre edilebilir denetleme:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \BacklogIncrement
           Value Type: REG_DWORD
           Valid Range: 1-0x14  (1-20 decimal)
           Default: 3
				
her bağlantı bloğu 78 bayt bellek tüketir. NetBT tarafından ayrılan bağlantı blok sayısı da olan kayıt defteri yapılandırılabilir:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \MaxConnBackLog
           Value Type: REG_DWORD
           Valid Range: 1-0x9c40 (1-40,000 decimal)
           Default: 1000
				
MaxConnBackLog 1000 için varsayılan olarak kullanılır, ancak 40.000 yüksek olarak ayarlanmış olabilir. Bağlantı blokları "yaşlandırma" veya, ne zaman geri dönüştürülüyor SYN ACK yeniden iletim Süreölçerinin süresi ve TCP bağlantı girişimi başarısız.
*******************************************************************
*  3. Afd.sys has been modified to withstand large numbers of     *
*     "half-open" connections efficiently                         *
*******************************************************************
				
Afd.sys tarafından işlenen, bağlantı girişimleri ftp sunucuları ve web sunucuları gibi Windows Sockets uygulamaları gerekir. AFD.sys meşru istemcilerine erişim engellendi olmadan "Yarım açma" durumunda en büyük sayıda bağlantı desteklemek için değiştirildi. Bu ayar, dinamik bir bekleme listesi yapılandırmak yönetici vererek gerçekleştirilir.

AFD.sys yeni sürümünü dinamik bekleme listesi davranışını denetlemek için kullanılan dört yeni kayıt defteri parametreleri destekler.

EnableDynamicBacklog etkinleştirmek veya dinamik bekleme listesi devre dışı bırakmak için genel bir anahtardır. Varsayılan olarak 0 (kapalı) atar ve bu ayar, varolan sürümlerinden herhangi bir değişiklik sağlar. 1 Olarak ayarlamak, yeni dinamik bekleme listesi özelliğini etkinleştirir.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \EnableDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0,1
           Default: 0
           Suggested value for a system under heavy attack: 1
				
MinimumDynamicBacklog en az bir dinleme noktadaki'ı izin verilen boş bağlantı sayısını denetler. Boş bağlantı sayısını, bu değerin düşerse, ardından bir iş parçacığı ek bir boş bağlantı oluşturmak için sıraya. Boş bağlantı sayısını bu değerin düştüğünde, her dinamik bekleme listesi kod yapılandırılmak olarak bu değer çok büyük yapılması gerekir. Çok büyük bir değer için bir performans biraz düşebilir neden olabilir.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MinimumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 20
				
MaximumDynamicBacklog "quasi-free" bağlantıları dinleyen bir son nokta üzerindeki izin verilen en fazla sayısını denetler. "Quasi-free" bağlantı, bir yarı bağlı-(SYN_RECEIVED) durumda boş bağlantıları ve bu bağlantıların sayısını içerir. Bu değeri aşacak, ek bir boş bağlantı oluşturmak için girişimde bulunulmaz.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MaximumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: Memory
           dependent. We recommend that this value does not exceed 20000 (decimal). This prevents exhaustion of the non-paged pool when under attack. 
				
DynamicBacklogGrowthDelta gerekli olan ek bağlantılar oluşturmak için boş bağlantı sayısını denetler. Bu değer, büyük bir değere yapılan explosive boş bağlantı tahsisatı açabilecek şekilde dikkat.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \DynamicBacklogGrowthDelta
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 10 (0xa)
				
MaximumDynamicBacklog,
AFD.sys için değişiklikleri yararlanmak için <a0></a0>, Windows Sockets uygulamaları özellikle bekleme listesi, kendi listen() çağrı kesilirken MinimumDynamicBacklog için yapılandırılmış olan değerden büyük istemesi gerekir. Microsoft ınternet ınformation Server (25, bir varsayılan bekleme listesi olan) gibi yapılandırılabilir uygulamalardır. Uygulamaya özgü Ayrıntılar adresindeki Microsoft Knowledge Base'den kullanılabilir:
http://support.microsoft.com
Değiştirilen sürücüler için Windows NT 3.51 ve bunları yüklemek için yönergeleri aşağıdaki ınternet konumunu veya Microsoft Destek kanalları kullanılabilir:
FTP://FTP.Microsoft.com/bussys/Winnt /winnt-public/fixes/usa/nt351/hotfixes-postsp5/syn-attack

Durum

Windows NT 4.0

En son Microsoft Windows NT ABD hizmet paketi için Windows NT 4.0 içinde bu sorun giderilmiştir. Hizmet paketini elde etme hakkında daha fazla bilgi için Microsoft Knowledge Base'de aşağıdaki sözcük sorgu:
servpack

Windows NT 3.51

Microsoft, bu sorun, bazı bir ölçüde güvenlik açığına Windows NT sürüm 3.51 sonuçlanabilir onaylamıştır. Tam olarak desteklenen bir düzeltme yayımlamıştır, ancak onu tam regresyon sınanmış ve yalnızca saldırı riski olarak sistemlere uygulanması gereken edilmemiştir. Sistem, fiziksel erişilebilirliğini, ağ ve ınternet bağlantısı ve sisteminiz risk düzeyini belirlerken, diğer etkenler değerlendirin. Sisteminizde belirli bir düzeyde risk altındaysa, Microsoft bu düzeltmeyi uygulamanızı önerir. Aksi halde, bu düzeltmeyi içeren sonraki Windows NT hizmet paketini, bekleyin. Daha fazla bilgi için Microsoft Teknik Destek'le temasa geçin.

Daha fazla bilgi

Bu kayıt defteri değişiklikleri ekleme, bir Microsoft Exchange küme üzerinde olumsuz bir etkisi olabilir.

Microsoft Exchange Cluster (Exres.dll) sık kullanılabilirliği'ni sınamak için SMTP, IMAP, POP3 ve HTTP bağlantı noktası bağlantıları başlatır. Sınamalar, 25, 143, 110 veya 80 numaralı bağlantı noktasına bir telnet oturumu benzer.

Sınamaları başarılı olursa, Küme Hizmetleri kullanıcılar tarafından kullanılabilir ve bunları "Canlı gibi" işaretler bilir. Sınamaları başarılı olmazsa, Küme Yöneticisi kaynağı Küme Yöneticisi'nde çevrimdışı olarak işaretler ve uygulama günlüğüne bir olay kaydeder. Olay şöyledir:

Olay türü: hata
Olay kaynağı: MSExchangeCluster
Olay kategorisi: Hizmetleri
Olay KIMLIĞI: 2074
Tarihi: date
Süre: time
Kullanı.: Yok
Bilgisayar: computer name
Açıklama: SMTP sanal sunucu örneği-(125 VS2 ADı): Küme hizmeti kaynak için denetimi isalive başarısız oldu.

Özellikler

Makale numarası: 142641 - Last Review: 20 Şubat 2007 Salı - Gözden geçirme: 5.3
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
Anahtar Kelimeler: 
kbmt kbnetwork KB142641 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:142641

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com