Makale numaras�: 142641 - Son G�zden Ge�irme: 20 �ubat 2007 Sal� - G�zden ge�irme: 5.3

Sunucu'� SYN sald�r�lara nedeniyle kullan�lam�yor

�ngilizce ve T�rk�e'yi yan yana g�r�nt�leme

Buraya t�klayarak �ngilizce ve T�rk�e'yi yan yana g�r�nt�leyebilirsiniz.

Otomatik terc�me makalelerin ne oldu�unu a��klayan yaz�y� okumak i�in buraya t�klay�n

Bu makalenin ge�erli oldu�u �r�nleri g�r�n.

Sistem �pucuBu makale, kulland��n�zdan farkl� bir i�letim sistemine y�neliktir. Sizinle ilgili olmayabilecek makale i�eri�i devre d�� b�rak�ld�.

Belirtiler

TCP/IP ileti�im kural�n� �al��t�ran bir bilgisayarda, �nternet'e ba�l�, baz�lar� veya t�m� a� hizmetlerinin kullan�lamaz olarak olu�turulur ve a� istemci ekrandaki a�a��daki hata iletileri:

Ba�lant� bir uzak ana bilgisayar taraf�ndan s�f�rland�.

Bu belirti kullan�lamaz i�lenmi� t�m a� hizmetleri, Windows NT, �rne�in, UNIX d��nda bir i�letim sistemini �al��t�ran bir bilgisayarda da olu�abilir.

�ste

Bu sorun, bilgisayarda TCP/IP "SYN ta�mas�n�" bilinen k�t� niyetli sald�r� ama�l� veya "SYN sald�r�lar�" hedef oldu�unda olu�ur.

K�t� niyetli kullan�c�lar, t�m bir makine veya web hizmetleri gibi belirli bir TCP hizmetini hedefleyebilirsiniz. Sald�r�, �nternet'teki t�m bilgisayarlar taraf�ndan kullan�lan TCP ileti�im kural� �zerinde odaklan�r ve Windows NT i�letim sistemine �zg� de�ildir.

�ste

SYN ta�mas�n� nas�l �al��r?

SYN ta�mas�n� gibi �al��r:

TCP ba�lant� iste�ini (SYN) hedef bilgisayara g�nderilir. Paket kaynak IP adresi "sahte" veya �nternet'te kullan�lmakta olmayan ya da, ba�ka bir bilgisayara ait adresiyle de�i�tirilir. Sald�rgan�n, hedef bilgisayardaki m�mk�n oldu�unca �ok kaynaklar� tedari�i birbirine ba�laman�n iki bu TCP SYNs �o�unu g�nderir.
Ba�lant� iste�ini al�r almaz, hedef bilgisayarda i�lemek ve yeni ba�lant�y� izlemek i�in gereken kaynaklar ay�r�r ve bir "SYN-ACK ile" yan�t verir. Bu durumda, yan�tta, "sahte" var olmayan IP adresine g�nderilir.
Yan�t i�in SYN ACK. al�nan BIR varsay�lan yap�land�r�lm��-Windows NT 3.5 x veya 4.0 bilgisayar�n saatleri, sonra her yeniden iletimde zaman a��m� de�erini Katlama SYN ACK 5 yeniden. Ba�lang�� zaman a��m� 48 saniye ve �� deneme denenir 3, 6, 12, 24; b�ylece saniye cinsinden de�eridir. Son yeniden iletim sonra 96 saniye bilgisayar yan�t alma �zerinde sa�lar ve ayarlanan kaynaklar� kald�r�r �nce ge�mesine izin verilen ba�lant� i�in �nceki Owner. Kullan�mda olan kaynaklar�n toplam ge�en zaman 189 saniyedir.

�ste

Nas�l yap�l�r: bilgisayar�n�zda SYN bir sald�r� alt�nda oldu�undan emin olun

Bilgisayar�n�z�n SYN sald�r� hedefi oldu�undan ��pheleniyorsan�z "SYN_RECEIVED" durumunda ba�lant�lar�n� g�r�nt�lemek i�in komut isteminde a�a��daki komutu yaz�n:

netstat -p tcp - n

Bu komut, a�a��daki metni ekranda g�r�nmesini neden olabilir:

Etkin ba�lant�lar

      Proto  Local Address         Foreign Address       State
      TCP    127.0.0.1:1030        127.0.0.1:1032        ESTABLISHED
      TCP    127.0.0.1:1032        127.0.0.1:1030        ESTABLISHED
      TCP    10.57.8.190:21        10.57.14.154:1256     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1257     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1258     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1259     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1260     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1261     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1262     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1263     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1264     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1265     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1266     SYN_RECEIVED
      TCP    10.57.8.190:4801      10.57.14.221:139      TIME_WAIT

�ok say�da ba�lant� SYN_RECEIVED durumunda, sistem sald�r� alt�nda oldu�unu olanakl�d�r. Bir a� ��z�mleyicisi sorun izleme i�in daha fazla kullan�labilir ve kaynak izleme deneniyor, Yard�m i�in �nternet servis sa�lay�c�n�za ba�vurma gerekli olabilir.

Ba�lant� kaynaklar�n�n ba�layarak etkisini, TCP/IP y��n� ve uygulamalar� TCP ba�lant� noktas�n� dinleyen ba�l� olarak de�i�ir. �o�u y��n i�in bir yar�-A� (SYN_RECEIVED) durumunda, ba�lant� say�s� s�n�r� yoktur. Belirli bir TCP ba�lant� noktas� i�in s�n�ra ula��ld��nda, hedef bilgisayar ile bir s�f�rlama kaynaklar� serbest kadar t�m di�er ba�lant� isteklerini yan�tlad��.

�ste

��z�m

Windows NT 3.51 veya en son hizmet paketi i�in Windows NT 4.0 i�in a�a��daki g�ncelle�tirmeyi edinin

Microsoft, bu Windows NT i�letim sistemi i�inde gelen sald�r�lara kar�� olas� en iyi koruma sa�lamaya g�sterir ve bir de�i�iklik say�s�, TCP/�p'yi yapt� bile�enleri Bu tehdide kar�� yan�t m��teriler taraf�ndan kullan�labilir.

Bu genel anahtar sald�r�lara kar�� koruma sa�lamak �zere tasarlanm�� ve bu makalenin bilinen etkin de�erleri i�in belirtilen di�er tu�larla ayarlar. Bu anahtar de�erleri �o�u koruma hakk�nda daha fazla teklif y�netici tahmin sahip �nler. A�a��daki genel anahtarlar�n�n kullan�lmas� �nerilir:

SynAttackProtect
Anahtar: Tcpip\Parameters
T�r de�eri: REG_DWORD
Ge�erli aral�k: 0, 1, 2
<a1>0</a1> (synattack koruma)
1 (TcpMaxHalfOpen ve TcpMaxHalfOpenRetried ayarlar uyguland� ise, <a1>RCE</a1> (yol �nbelle�i girdisi) olu�turma Gecikmeli ve yeniden iletim yeniden denemeleri s�n�rl�.)
2 (ek olarak 1. Gecikmeli bir g�sterge i�in Winsock yap�l�r)

Not: ne zaman sistem kendisini sald�r� alt�nda a�a��daki se�eneklerden herhangi bir yerde bulur art�k etkinle�tirilebilir: sScalable windows (RFC 1323) ve bir ba�da�t�r�c� TCP parametrelerini (ilk RTT, pencere boyutu). Koruma �al��t��ndan, yol �nbelle�i girdisi SYN ACK g�nderilir ve Winsock se�enekleri ba�lant�n�n bu a�amada kullan�lamaz �nce sorgulanan de�il olmas�d�r.

Varsay�lan: 0 (yanl��)
�neri: 2
A��klama: The SYN-ayr�lm�� kaynaklar sahip oldu�unuz zaman� azalt�r; ACKS, yeniden aktar�mlar� miktar�n� azaltarak, Synattack koruma i�erir. Ba�lant� yap�lan kadar yol �nbellek girdisi kaynak tahsisat� ertelendi�i. Synattackprotect �� y�nl� el s�k��ma i�lemi tamamlan�ncaya kadar AFD bir g�sterge �zerinde ba�lant� ertelendi�i sonra = 2. Ayr�ca, TcpMaxHalfOpen ve TcpMaxHalfOpenRetried ayarlar�n� a�t� koruma mekanizmas� taraf�ndan ger�ekle�tirilen eylemler yaln�zca ortaya oldu�unu unutmay�n.

Not: a�a��daki anahtarlar� yaln�zca etkisiz olarak yukar�daki genel anahtar kan�tlanm�� veya �zel kaynak s�n�rlar� isabet de�i�tirilmesi.

De�i�iklikler a�a��da listelenmektedir:

*******************************************************************
*  1. Tcpip.sys times out half-open connections faster            *
*******************************************************************

Tcpip.sys yeni BIR s�r�m� denetimini bir TCP ba�lant�s� i�in bir yan�t iste (SYN-ACK) ka� kez yeniden aktar�lan sa�layan �retildi�ini. Denetimi yeni bir kay�t defteri parametresi ger�ekle�tirilir:

  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \Tcpip
      \Parameters
       \TcpMaxConnectResponseRetransmissions
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 2

bu parametrenin varsay�lan de�eri 3 sunulmu�tur. A�a��daki tabloda, bu parametrenin �e�itli de�erler i�in Windows NT 4.0 TCP/IP davran�� g�sterilmektedir:

Value  Retransmission Times  Elapsed Time  Comments
3      3, 6, and 12 seconds  45 seconds    Cleanup 24 secs after last retx
2      3, and 6 seconds      21 seconds    Cleanup 12 secs after last retx
1      3 seconds             9  seconds    Cleanup 6  secs after last retx

bu parametre de�i�iklikler varsay�lan s�re bu BT 45 saniye 189 saniye aras�nda yar� a��k TCP ba�lant� temizlemek i�in gereken ve y�neticiye daha par�al� bir denetim sa�lar. Yo�un bir sald�r� alt�nda olan BIR site en d��k "1" de�erini ayarlayabilirsiniz. "0" De�eri de ge�erlidir; ancak bu parametreyi 0 olarak ayarlarsan�z, SYN ACKs yeniden hi� aktar�lan. ve 3 saniye olarak zaman a��m�na olur. De�er bu d��k uzaktaki istemcilerden me�ru ba�lant� giri�imleri ba�ar�s�z olabilir.

*******************************************************************
*  2. NetBT has a Higher, Configurable Backlog                    *
*******************************************************************

(TCP/�p �zerinde Netb�os'u) NetBT ve dosya ve yaz�c� payla��m� gibi Microsoft A� Hizmetleri taraf�ndan kullan�lan TCP ba�lant� noktas� 139 kullan�r. S�r�m 3.51 ve 4.0 NetBT bloklar� kullan�labilir iki art� art�ml� bir say� NetBT istemcileri (�rne�in, yeniden y�nlendirici, sunucu ve Netb�os uygulamalar� �al��t�ran) ba�l� olan bir "bekleme listesi" ba�lant� var. Tipik bir sunucuda, bu numara, 7-11 olacakt�r. NetBT yeni BIR s�r�m� otomatik olarak gerekti�inde, yap�land�r�labilir bir �ekilde daha fazla ba�lant� bloklar� ay�rd�� retildi�ini.

Bir ba�lant� olay�, �imdi bo� blok say�s� 2'�n alt�nda "Art�r" bir blok say�s� ekler, burada "Art�r" g�rmek i�in a?a??da g�sterildi?i gibi kay�t defterinde Konfig�re edilebilir denetleme:

  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \BacklogIncrement
           Value Type: REG_DWORD
           Valid Range: 1-0x14  (1-20 decimal)
           Default: 3

her ba�lant� blo�u 78 bayt bellek t�ketir. NetBT taraf�ndan ayr�lan ba�lant� blok say�s� da olan kay�t defteri yap�land�r�labilir:

  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \MaxConnBackLog
           Value Type: REG_DWORD
           Valid Range: 1-0x9c40 (1-40,000 decimal)
           Default: 1000

MaxConnBackLog 1000 i�in varsay�lan olarak kullan�l�r, ancak 40.000 y�ksek olarak ayarlanm�� olabilir. Ba�lant� bloklar� "ya�land�rma" veya, ne zaman geri d�n��t�r�l�yor SYN ACK yeniden iletim S�re�l�erinin s�resi ve TCP ba�lant� giri�imi ba�ar�s�z.

*******************************************************************
*  3. Afd.sys has been modified to withstand large numbers of     *
*     "half-open" connections efficiently                         *
*******************************************************************

Afd.sys taraf�ndan i�lenen, ba�lant� giri�imleri ftp sunucular� ve web sunucular� gibi Windows Sockets uygulamalar� gerekir. AFD.sys me�ru istemcilerine eri�im engellendi olmadan "Yar�m a�ma" durumunda en b�y�k say�da ba�lant� desteklemek i�in de�i�tirildi. Bu ayar, dinamik bir bekleme listesi yap�land�rmak y�netici vererek ger�ekle�tirilir.

AFD.sys yeni s�r�m�n� dinamik bekleme listesi davran��n� denetlemek i�in kullan�lan d�rt yeni kay�t defteri parametreleri destekler.

EnableDynamicBacklog etkinle�tirmek veya dinamik bekleme listesi devre d�� b�rakmak i�in genel bir anahtard�r. Varsay�lan olarak 0 (kapal�) atar ve bu ayar, varolan s�r�mlerinden herhangi bir de�i�iklik sa�lar. 1 Olarak ayarlamak, yeni dinamik bekleme listesi �zelli�ini etkinle�tirir.

  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \EnableDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0,1
           Default: 0
           Suggested value for a system under heavy attack: 1

MinimumDynamicBacklog en az bir dinleme noktadaki'� izin verilen bo� ba�lant� say�s�n� denetler. Bo� ba�lant� say�s�n�, bu de�erin d��erse, ard�ndan bir i� par�ac�� ek bir bo� ba�lant� olu�turmak i�in s�raya. Bo� ba�lant� say�s�n� bu de�erin d��t��nde, her dinamik bekleme listesi kod yap�land�r�lmak olarak bu de�er �ok b�y�k yap�lmas� gerekir. �ok b�y�k bir de�er i�in bir performans biraz d��ebilir neden olabilir.

  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MinimumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 20

MaximumDynamicBacklog "quasi-free" ba�lant�lar� dinleyen bir son nokta �zerindeki izin verilen en fazla say�s�n� denetler. "Quasi-free" ba�lant�, bir yar� ba�l�-(SYN_RECEIVED) durumda bo� ba�lant�lar� ve bu ba�lant�lar�n say�s�n� i�erir. Bu de�eri a�acak, ek bir bo� ba�lant� olu�turmak i�in giri�imde bulunulmaz.

  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MaximumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: Memory
           dependent. We recommend that this value does not exceed 20000 (decimal). This prevents exhaustion of the non-paged pool when under attack.

DynamicBacklogGrowthDelta gerekli olan ek ba�lant�lar olu�turmak i�in bo� ba�lant� say�s�n� denetler. Bu de�er, b�y�k bir de�ere yap�lan explosive bo� ba�lant� tahsisat� a�abilecek �ekilde dikkat.

  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \DynamicBacklogGrowthDelta
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 10 (0xa)

MaximumDynamicBacklog,

�ste

AFD.sys i�in de�i�iklikleri yararlanmak i�in <a0></a0>, Windows Sockets uygulamalar� �zellikle bekleme listesi, kendi listen() �a�r� kesilirken MinimumDynamicBacklog i�in yap�land�r�lm�� olan de�erden b�y�k istemesi gerekir. Microsoft �nternet �nformation Server (25, bir varsay�lan bekleme listesi olan) gibi yap�land�r�labilir uygulamalard�r. Uygulamaya �zg� Ayr�nt�lar adresindeki Microsoft Knowledge Base'den kullan�labilir:

http://support.microsoft.com (http://support.microsoft.com/)

De�i�tirilen s�r�c�ler i�in Windows NT 3.51 ve bunlar� y�klemek i�in y�nergeleri a�a��daki �nternet konumunu veya Microsoft Destek kanallar� kullan�labilir:

FTP://FTP.Microsoft.com/bussys/Winnt /winnt-public/fixes/usa/nt351/hotfixes-postsp5/syn-attack

�ste

Durum

Windows NT 4.0

En son Microsoft Windows NT ABD hizmet paketi i�in Windows NT 4.0 i�inde bu sorun giderilmi�tir. Hizmet paketini elde etme hakk�nda daha fazla bilgi i�in Microsoft Knowledge Base'de a�a��daki s�zc�k sorgu:

servpack

�ste

Windows NT 3.51

Microsoft, bu sorun, baz� bir �l��de g�venlik a��na Windows NT s�r�m 3.51 sonu�lanabilir onaylam��t�r. Tam olarak desteklenen bir d�zeltme yay�mlam��t�r, ancak onu tam regresyon s�nanm�� ve yaln�zca sald�r� riski olarak sistemlere uygulanmas� gereken edilmemi�tir. Sistem, fiziksel eri�ilebilirli�ini, a� ve �nternet ba�lant�s� ve sisteminiz risk d�zeyini belirlerken, di�er etkenler de�erlendirin. Sisteminizde belirli bir d�zeyde risk alt�ndaysa, Microsoft bu d�zeltmeyi uygulaman�z� �nerir. Aksi halde, bu d�zeltmeyi i�eren sonraki Windows NT hizmet paketini, bekleyin. Daha fazla bilgi i�in Microsoft Teknik Destek'le temasa ge�in.

�ste

Daha fazla bilgi

Bu kay�t defteri de�i�iklikleri ekleme, bir Microsoft Exchange k�me �zerinde olumsuz bir etkisi olabilir.

Microsoft Exchange Cluster (Exres.dll) s�k kullan�labilirli�i'ni s�namak i�in SMTP, IMAP, POP3 ve HTTP ba�lant� noktas� ba�lant�lar� ba�lat�r. S�namalar, 25, 143, 110 veya 80 numaral� ba�lant� noktas�na bir telnet oturumu benzer.

S�namalar� ba�ar�l� olursa, K�me Hizmetleri kullan�c�lar taraf�ndan kullan�labilir ve bunlar� "Canl� gibi" i�aretler bilir. S�namalar� ba�ar�l� olmazsa, K�me Y�neticisi kayna�� K�me Y�neticisi'nde �evrimd�� olarak i�aretler ve uygulama g�nl��ne bir olay kaydeder. Olay ��yledir:

Olay t�r�: hata
Olay kayna��: MSExchangeCluster
Olay kategorisi: Hizmetleri
Olay KIMLI�I: 2074
Tarihi: date
S�re: time
Kullan�.: Yok
Bilgisayar: computer name
A��klama: SMTP sanal sunucu �rne�i-(125 VS2 AD�): K�me hizmeti kaynak i�in denetimi isalive ba�ar�s�z oldu.

�ste

Bu makaledeki bilginin uyguland�� durum:

Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional Edition
Microsoft Windows NT Server 3.51
Microsoft Windows NT Server 4.0 Standard Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition

�ste

kbmt kbnetwork KB142641 KbMttr

�ste

Otomatik Terc�me

�NEML�: Bu makale, bir ki�i taraf�ndan �evrilmek yerine, Microsoft makine-�evirisi yaz�l�m� ile �evrilmi�tir. Microsoft size hem ki�iler taraf�ndan �evrilmi�, hem de makine-�evrisi ile �evrilmi� makaleler sunar. B�ylelikle, bilgi bankam�zdaki t�m makalelere, kendi dilinizde ula�m�� olursunuz. Bununla birlikte, makine taraf�ndan �evrilmi� makaleler m�kemmel de�ildir. Bir yabanc�n�n sizin dilinizde konu�urken yapabilece�i hatalar gibi, makale; kelime da�arc��, s�z dizim kurallar� veya dil bilgisi a��s�ndan yanl��lar i�erebilir. Microsoft, i�eri�in yanl�� evrimi veya onun m��teri taraf�ndan kullan�m�ndan do�an; kusur, hata veya zarardan sorumlu de�ildir. Microsoft ayr�ca makine �evirisi yaz�l�m�n� s�k�a g�ncellemektedir.

Makalenin �ngilizcesi a�a��daki gibidir:142641� (http://support.microsoft.com/kb/142641/en-us/ )

�ste

This site in other countries/regions:

Sunucu'� SYN sald�r�lara nedeniyle kullan�lam�yor

Bu Sayfada

Belirtiler

Neden

SYN ta�mas�n� nas�l �al��r?

Nas�l yap�l�r: bilgisayar�n�zda SYN bir sald�r� alt�nda oldu�undan emin olun

��z�m

Durum

Windows NT 4.0

Windows NT 3.51

Daha fazla bilgi

Bu makaledeki bilginin uyguland�� durum:

Anahtar Kelimeler:�

Di�er Destek Siteleri

Topluluk

Hemen Yard�m Al

Makale �evirileri

�lgili Destek Merkezleri

This site in other countries/regions:

Sunucu'� SYN sald�r�lara nedeniyle kullan�lam�yor

Bu Sayfada

Belirtiler

Neden

SYN ta�mas�n� nas�l �al���r?

Nas�l yap�l�r: bilgisayar�n�zda SYN bir sald�r� alt�nda oldu�undan emin olun

��z�m

Durum

Windows NT 4.0

Windows NT 3.51

Daha fazla bilgi

Bu makaledeki bilginin uyguland��� durum:

Anahtar Kelimeler:�

Di�er Destek Siteleri

Topluluk

Hemen Yard�m Al

Makale �evirileri

�lgili Destek Merkezleri

SYN ta�mas�n� nas�l �al��r?

Bu makaledeki bilginin uyguland�� durum: