Máy ch? Internet không s?n dùng v? c?a đ?c h?i SYN t?n công

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 142641 - Xem s?n ph?m mà bài này áp d?ng vào.
Bung t?t c? | Thu g?n t?t c?

? Trang này

TRI?U CH?NG

Trên m?t máy tính đang ch?y TCP/IP giao th?c và đó k?t n?i Internet, m?t s? ho?c t?t c? các d?ch v? m?ng đư?c k?t xu?t không có s?n, và thông báo l?i như sau đây xu?t hi?n trên màn h?nh m?ng lư?i khách hàng:
K?t n?i đ? đư?c thi?t l?p l?i b?i máy ch? t? xa.
Tri?u ch?ng này c?a t?t c? các d?ch v? m?ng đư?c th?c hi?n không s?n dùng c?ng có th? x?y ra trên m?t máy tính ch?y h? đi?u hành khác ngoài Windows NT, Ví d?, UNIX.

NGUYÊN NHÂN

V?n đ? này x?y ra khi máy tính đ? tr? thành m?c tiêu c?a m?t cu?c t?n công đ?c h?i c?n đư?c g?i là TCP/IP "syn Flooding" ho?c "SYN t?n công."

Đ?c h?i ngư?i dùng có th? nh?m m?c tiêu m?t toàn b? máy, ho?c m?t d?ch v? TCP c? th? như d?ch v? web. Cu?c t?n công là t?p trung vào giao th?c TCP đư?c s? d?ng b?i t?t c? các máy tính trên các Internet, và không c? th? cho các h? đi?u hành Windows NT.

Cách SYN Flooding ho?t đ?ng

SYN Flooding ho?t đ?ng như sau:
  • M?t yêu c?u k?t n?i TCP (SYN) đư?c g?i đ?n m?c tiêu máy tính. Đ?a ch? IP ngu?n trong gói d? li?u "l?a đ?o", ho?c thay th? b?ng m?t Đ?a ch? đó là không s? d?ng trên Internet, ho?c mà thu?c v? khác máy tính. M?t k? t?n công s? g?i cho nhi?u ngư?i trong s? nh?ng SYNs TCP đ? tie như nhi?u ngư?i tài nguyên càng t?t trên máy tính m?c tiêu.
  • Sau khi nh?n đư?c yêu c?u k?t n?i, máy tính m?c tiêu phân b? ngu?n l?c đ? x? l? và theo d?i các k?t n?i m?i, sau đó ph?n ?ng v?i m?t "SYN-ACK". Trong trư?ng h?p này, các ph?n ?ng đư?c g?i đ?n "spoofed" không t?n t?i Đ?a ch? IP.
  • Không có ph?n ?ng nh?n đư?c đ? SYN-ACK. Một m?c đ?nh c?u h?nh Windows NT 3.5 x ho?c máy tính 4,0 s? retransmit SYN-ACK 5 l?n, tăng g?p đôi giá tr? time-out sau m?i retransmission. Ban đ?u gian ch? giá tr? là ba giây, do đó, retries đang c? g?ng lúc 3, 6, 12, 24, và 48 giây. Sau khi các retransmission cu?i, 96 giây đư?c phép vư?t qua trư?c khi máy tính cho đ?n ngày nh?n đư?c m?t ph?n ?ng, và deallocates các tài nguyên đ? đư?c thi?t l?p trư?c đó sang m?t bên cho k?t n?i. T?ng s? trôi qua th?i gian ngu?n l?c đư?c s? d?ng là 189 giây.

Làm th? nào đ? xác minh r?ng máy tính c?a b?n đang b? m?t SYN t?n công

N?u b?n nghi ng? r?ng máy tính c?a b?n là m?c tiêu c?a m?t SYN t?n công, b?n có th? g? l?nh sau t?i d?u nh?c l?nh đ? xem các k?t n?i trong nhà nư?c "syn_received":
netstat - n -p tcp
L?nh này có th? gây ra văn b?n sau đây đ? xu?t hi?n trên màn h?nh c?a b?n:
Ho?t đ?ng k?t n?i
      Proto  Local Address         Foreign Address       State
      TCP    127.0.0.1:1030        127.0.0.1:1032        ESTABLISHED
      TCP    127.0.0.1:1032        127.0.0.1:1030        ESTABLISHED
      TCP    10.57.8.190:21        10.57.14.154:1256     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1257     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1258     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1259     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1260     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1261     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1262     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1263     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1264     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1265     SYN_RECEIVED
      TCP    10.57.8.190:21        10.57.14.154:1266     SYN_RECEIVED
      TCP    10.57.8.190:4801      10.57.14.221:139      TIME_WAIT
				
N?u m?t s? l?n các k?t n?i đang trong các SYN_RECEIVED nhà nư?c, nó có th? là h? th?ng b? t?n công. M?t m?ng lư?i phân tích có th? đư?c s? d?ng đ? theo d?i v?n đ? hơn n?a, và nó có th? là c?n thi?t liên h? v?i nhà cung c?p d?ch v? c?a b?n đ? đư?c tr? giúp trong vi?c water ngu?n.

Các hi?u ?ng c?a ki?u g? lên k?t n?i tài nguyên khác nhau, tùy thu?c vào ngăn x?p TCP/IP và các ?ng d?ng nghe trên c?ng TCP. Cho ngăn x?p h?u h?t, đó là m?t gi?i h?n v? s? lư?ng các k?t n?i có th? trong nh?ng n?a-m? (SYN_RECEIVED) ti?u bang. M?t khi gi?i h?n đ?t đ?n cho m?t c?ng TCP nh?t đ?nh, máy tính m?c tiêu đáp ?ng v?i m?t thi?t l?p l?i t?t c? hơn n?a yêu c?u k?t n?i cho đ?n khi ngu?n tài nguyên đư?c gi?i thoát.

GI?I PHÁP

Có đư?c c?p nh?t sau đây cho Windows NT 3.51 ho?c các m?i nh?t Service Pack cho Windows NT 4.0

Microsoft đư?c cam k?t cung c?p s? b?o v? t?t nh?t có th? ch?ng l?i các cu?c t?n công t? bên trong các H? đi?u hành Windows NT và đ? th?c hi?n m?t s? thay đ?i cho TCP/IP c?a nó các thành ph?n có s?n cho khách hàng đ? đáp ?ng v?i m?i đe d?a này.

Đi?u này toàn c?u phím đ? đư?c thi?t k? đ? b?o v? ch?ng l?i các cu?c t?n công và t?p h?p các phím khác đ? c?p đ?n sau này trong bài vi?t đ? đư?c bi?t có hi?u qu? các giá tr?. Phím này đ? tránh có đoán qu?n tr? v? nh?ng giá tr? s? cung c?p nhi?u nh?t b?o v?. Nó đư?c khuyên r?ng toàn c?u phím sau đây s? d?ng:

SynAttackProtect
Key: Tcpip\Parameters
Lo?i giá tr?: REG_DWORD
Ph?m vi h?p l?: 0, 1, 2
0 (không có b?o v? synattack)
1 (Gi?m retransmission retries và tr? ho?n RCE (tuy?n đư?ng b? nh? cache entry) t?o ra n?u các cài đ?t TcpMaxHalfOpen và TcpMaxHalfOpenRetried là ?n th?a.)
2 (thêm vào 1 m?t d?u hi?u ch?m tr? đ? Winsock đư?c th?c hi?n.)

LƯU ?: Khi h? th?ng th?y chính nó đang b? t?n công các tùy ch?n sau đây vào b?t k? ? c?m có th? không c?n có hi?u l?c: sScalable windows (RFC 1323) và m?i b? đi?u h?p c?u h?nh các tham s? TCP (ban đ?u RTT, kích thư?c c?a s?). Đi?u này là b?i v? khi b?o v? là ho?t đ?ng các tuy?n đư?ng b? nh? cache entry không đư?c truy v?n trư?c khi các SYN-ACK đư?c g?i và Winsock tùy ch?n không có s?n ? giai đo?n này c?a các k?t n?i.

M?c đ?nh: 0 (sai)
Khuy?n ngh?: 2
Mô t?: Synattack b?o v? liên quan đ?n vi?c gi?m s? lư?ng retransmissions cho SYN-ACKS, s? gi?m th?i gian mà tài nguyên có th? v?n c?n đư?c phân b?. Vi?c phân b? các tuy?n đư?ng b? nh? cache entry tài nguyên là b? tr? ho?n cho đ?n khi k?t n?i đư?c th?c hi?n. N?u synattackprotect = 2, sau đó k?t n?i vào d?u hi?u đ? AFD là b? tr? ho?n cho đ?n khi b?t tay ba chi?u là hoàn thành. C?ng lưu ? r?ng hành đ?ng th?c hi?n b?i cơ ch? b?o v? ch? x?y ra n?u cài đ?t TcpMaxHalfOpen và TcpMaxHalfOpenRetried vư?t quá.

LƯU ?: Các phím sau đây ch? nên đư?c thay đ?i n?u các bên trên toàn c?u phím đ? ch?ng minh là không hi?u qu? ho?c gi?i h?n tài nguyên c? th? đang đư?c nh?n.

Nh?ng thay đ?i đư?c li?t kê dư?i đây:
*******************************************************************
*  1. Tcpip.sys times out half-open connections faster            *
*******************************************************************
				
M?t phiên b?n m?i c?a Tcpip.sys đ? s?n xu?t mà cho phép ki?m soát s? l?n m?t đáp ?ng m?t yêu c?u k?t n?i TCP (SYN-ACK) s? đư?c retransmitted. Ki?m soát đư?c x? l? thông qua m?t cơ quan đăng k? m?i tham s?:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \Tcpip
      \Parameters
       \TcpMaxConnectResponseRetransmissions
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 2
				
Giá tr? m?c đ?nh cho tham s? này bây gi? là 3. Các b?ng dư?i đây cho th?y hành vi c?a Windows NT 4.0 TCP/IP cho các giá tr? khác nhau v? đi?u này tham s?:
Value  Retransmission Times  Elapsed Time  Comments
3      3, 6, and 12 seconds  45 seconds    Cleanup 24 secs after last retx
2      3, and 6 seconds      21 seconds    Cleanup 12 secs after last retx
1      3 seconds             9  seconds    Cleanup 6  secs after last retx
				
Tham s? này thay đ?i th?i gian m?c đ?nh mà ph?i m?t đ? làm s?ch lên m?t k?t n?i TCP n?a-m? t? 189 giây đ?n 45 giây, và cung c?p hơn h?t ki?m soát cho các qu?n tr? viên. M?t trang web mà là dư?i n?ng cu?c t?n công có th? thi?t l?p giá tr? nh? nh?t là "1". M?t giá tr? c?a "0" c?ng là h?p l?; Tuy nhiên N?u tham s? này đư?c đ?t thành 0, SYN-ACKs s? không đư?c retransmitted ? t?t c?, và s? th?i gian ra trong 3 giây. V?i giá tr? này th?p, h?p pháp k?t n?i n? l?c t? xa xôi khách hàng có th? không.
*******************************************************************
*  2. NetBT has a Higher, Configurable Backlog                    *
*******************************************************************
				
NetBT (NetBIOS trên TCP/IP) s? d?ng c?ng TCP 139 và là đư?c s? d?ng b?i Microsoft m?ng d?ch v? như t?p tin và in chia s?. Phiên b?n 3.51 và 4,0 NetBT có m?t backlog"" k?t n?i kh?i có s?n mà là hai c?ng v?i m?t s? gia tăng tùy thu?c vào khách hàng NetBT (ch?ng h?n như redirector, h? ph?c v?, và b?t k? ?ng d?ng NetBIOS ch?y). Trên máy ph?c v? đi?n h?nh, con s? này s? có 7-11. M?t phiên b?n m?i c?a NetBT đ? đư?c s?n xu?t mà t? đ?ng phân b? nhi?u k?t n?i kh?i khi c?n thi?t, m?t cách c?u h?nh.

Trên m?t s? ki?n k?t n?i, nó bây gi? ki?m tra đ? xem n?u s? lư?ng mi?n phí kh?i dư?i đây là 2, và n?u như v?y, cho bi?t thêm m?t s? "tăng" kh?i, nơi "tăng" là c?u h?nh trong registry như đư?c hi?n th? ? đây:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \BacklogIncrement
           Value Type: REG_DWORD
           Valid Range: 1-0x14  (1-20 decimal)
           Default: 3
				
M?i kh?i k?t n?i tiêu th? 78 byte b? nh?. Các T?ng s? k?t n?i kh?i mà có th? đư?c c?p phát b?i NetBT là c?ng đăng k? c?u h?nh:
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \NetBt
      \Parameters
       \MaxConnBackLog
           Value Type: REG_DWORD
           Valid Range: 1-0x9c40 (1-40,000 decimal)
           Default: 1000
				
MaxConnBackLog m?c đ?nh đ? 1000, nhưng có th? là đ?t là cao như 40.000. K?t n?i kh?i "scavenged", ho?c tái ch?, khi SYN-ACK retransmission b? đ?m th?i gian h?t h?n và TCP không c? g?ng k?t n?i.
*******************************************************************
*  3. Afd.sys has been modified to withstand large numbers of     *
*     "half-open" connections efficiently                         *
*******************************************************************
				
Các ?ng d?ng Windows Sockets ch?ng h?n như các máy ch? ftp và các máy ch? web có n? l?c k?t n?i c?a h? x? l? b?i Afd.sys. AFD.SYS đ? c?i ti?n đ? h? tr? m?t s? lư?ng l?n các k?t n?i trong tr?ng thái "n?a-m?" N?u không có t? ch?i truy c?p cho khách hàng h?p pháp. Đi?u này đư?c th?c hi?n b?ng cách cho phép ngư?i qu?n tr? ph?i c?u h?nh m?t backlog năng đ?ng.

Phiên b?n m?i c?a AFD.sys h? tr? b?n tham s? s? đăng k? m?i có th? s? d?ng đ? ki?m soát các năng đ?ng backlog hành vi.

EnableDynamicBacklog là m?t chuy?n đ?i toàn c?u đ? b?t ho?c vô hi?u hóa năng đ?ng backlog. Nó m?c đ?nh đ? 0 (ra), và cài đ?t này cung c?p không có thay đ?i t? các phiên b?n hi?n t?i. Thi?t l?p nó đ? 1 cho phép m?i tính năng đ?ng backlog.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \EnableDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0,1
           Default: 0
           Suggested value for a system under heavy attack: 1
				
MinimumDynamicBacklog ki?m soát s? lư?ng t?i thi?u mi?n phí các k?t n?i đư?c phép trên m?t đi?m cu?i nghe. N?u s? lư?ng mi?n phí các k?t n?i gi?m xu?ng dư?i giá tr? này, sau đó m?t s?i x?p hàng đ?i đ? t?o ra các k?t n?i mi?n phí b? sung. Giá tr? này không nên đư?c th?c hi?n quá l?n, như các năng đ?ng backlog m? tham gia b?t c? khi nào s? lư?ng k?t n?i mi?n phí té ng? dư?i đây giá tr? này. Quá l?n m?t giá tr? có th? d?n đ?n m?t s? gi?m hi?u su?t.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MinimumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 20
				
MaximumDynamicBacklog ki?m soát s? lư?ng t?i đa "quasi-free" các k?t n?i đư?c phép trên m?t đi?m cu?i nghe. "Quasi-free" các k?t n?i bao g?m s? lư?ng các k?t n?i mi?n phí c?ng v?i nh?ng k?t n?i trong m?t n?a - liên bang (SYN_RECEIVED). C? g?ng không đư?c th?c hi?n đ? t?o b? sung các k?t n?i mi?n phí n?u làm như v?y s? vư?t quá giá tr? này.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \MaximumDynamicBacklog
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: Memory
           dependent. We recommend that this value does not exceed 20000 (decimal). This prevents exhaustion of the non-paged pool when under attack. 
				
DynamicBacklogGrowthDelta ki?m soát s? lư?ng mi?n phí các k?t n?i đ? t?o ra khi các k?t n?i b? sung là c?n thi?t. C?n th?n v?i giá tr? này, như là m?t giá tr? l?n có th? d?n t?i n? k?t n?i mi?n phí phân b?.
  HKEY_LOCAL_MACHINE
  \SYSTEM
   \CurrentControlSet
    \Services
     \AFD
      \Parameters
       \DynamicBacklogGrowthDelta
           Value Type: REG_DWORD
           Valid Range: 0-0xFFFFFFFF
           Default: 0
           Suggested value for a system under heavy attack: 10 (0xa)
				
MaximumDynamicBacklog,
Đ? t?n d?ng l?i th? c?a nh?ng thay đ?i đ? Afd.sys, Các ?ng d?ng Windows Sockets ph?i c? th? yêu c?u m?t backlog l?n hơn giá tr? c?u h?nh cho MinimumDynamicBacklog khi h? phát hành c?a h? listen() cu?c g?i. Các ?ng d?ng c?a Microsoft như Internet thông tin máy ch? (trong đó có m?t m?c đ?nh backlog c?a 25) đư?c c?u h?nh. ?ng d?ng c? th? chi ti?t có s?n t? cơ s? ki?n th?c Microsoft t?i:
http://support.microsoft.com
S?a đ?i tr?nh đi?u khi?n cho Windows NT 3.51 và hư?ng d?n đ? cài đ?t chúng có s?n t? các kênh h? tr? Microsoft ho?c t? v? trí Internet sau:
FTP://FTP.Microsoft.com/bussys/WINNT /winnt-public/fixes/usa/nt351/hotfixes-postsp5/syn-attack

T?NH TR?NG

Windows NT 4.0

V?n đ? này đ? đư?c s?a ch?a t?i m?i nh?t c?a Microsoft Windows NT Hoa K? gói d?ch v? dành cho Windows NT 4.0. Thông tin v? vi?c thu th?p các D?ch v? gói, truy v?n sau đây t? trong cơ s? ki?n th?c Microsoft:
SERVPACK

Windows NT 3.51

Microsoft đ? xác nh?n v?n đ? này có th? d?n đ?n m?t s? m?c đ? l? h?ng b?o m?t trong Windows NT Phiên b?n 3,51. M?t s?a ch?a hoàn toàn đư?c h? tr? là bây gi? có s?n, nhưng nó đ? không hoàn toàn h?i qui đư?c th? nghi?m và ch? nên áp d?ng cho h? th?ng xác đ?nh r?i ro b? t?n công. Xin vui l?ng đánh giá c?a b?n h? th?ng c?a kh? năng truy c?p v?t l?, m?ng và k?t n?i Internet và khác y?u t? đ? xác đ?nh m?c đ? r?i ro cho h? th?ng c?a b?n. N?u h? th?ng c?a b?n đ? nguy cơ, Microsoft khuy?n cáo b?n áp d?ng s?a ch?a. N?u không, ch? đ?i cho t?i gói d?ch v? Windows NT, mà s? bao g?m s?a ch?a. Vui l?ng liên h? v?i h? tr? k? thu?t c?a Microsoft đ? bi?t thêm thông tin.

THÔNG TIN THÊM

Thêm nh?ng thay đ?i này đăng k? có th? có ?nh hư?ng b?t l?i v? m?t c?m Microsoft Exchange.

Microsoft Exchange c?m (Exres.dll) thư?ng xuyên kh?i t?o k?t n?i đ?n các c?ng SMTP, IMAP, POP3 và HTTP đ? th? nghi?m t?nh tr?ng s?n có. Các xét nghi?m đư?c tương t? như m?t phiên telnet đ? c?ng 25, 143, 110, ho?c 80.

N?u các xét nghi?m này thành công, c?m sao bi?t r?ng các d?ch v? có s?n cho ngư?i dùng và đánh d?u chúng như là "Alive". N?u các cu?c th? nghi?m không thành công, các qu?n tr? viên Cluster đánh d?u các ngu?n tài nguyên như offline trong c?m Qu?n tr? viên, và các b?n ghi m?t s? ki?n vào Nh?t k? ?ng d?ng. S? ki?n này là:

Lo?i s? ki?n: l?i
S? ki?n ngu?n: MSExchangeCluster
Th? lo?i s? ki?n: d?ch v?
T? ch?c s? ki?n ID: 2074
Ngày: ngày
Thời gian: thời gian
Ngư?i dùng: N/A
Máy tính: tên máy tính
Mô t?: SMTP máy ch? ?o Ví d?-(125-VS2-tên): d?ch v? c?m không isalive ki?m tra cho các tài nguyên.

Thu?c tính

ID c?a bài: 142641 - L?n xem xét sau cùng: 18 Tháng Tám 2011 - Xem xét l?i: 2.0
Áp d?ng
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
T? khóa: 
kbnetwork kbmt KB142641 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này:142641

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com