Evitar los ataques de denegación de servicio distribuidos que utilizan el servicio Universal Plug-and-Play

Seleccione idioma Seleccione idioma
Id. de artículo: 315056 - Ver los productos a los que se aplica este artículo
IMPORTANTE: este artículo contiene información acerca de cómo modificar el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad y de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información acerca de cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Resumen

La revisión que se proporciona en el boletín de seguridad de Microsoft MS01-059 introduce nuevas funciones para limitar la posibilidad de que un equipo capaz de utilizar Universal Plug and Play se emplee en ataques de denegación de servicio distribuidos. El propósito de este artículo es enumerar las nuevas funciones y describir cómo usarlas de forma más efectiva.

NOTA: la información de este artículo es válida para equipos basados en Windows 98 o Windows 98 Segunda edición si tienen instalado el cliente de Conexión compartida a Internet de Windows XP.

Más información

ADVERTENCIA: si utiliza incorrectamente el Editor del Registro puede tener serios problemas que tal vez requieran volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar problemas que resulten del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.

Regular las descargas de la descripción de los dispositivos en función del ámbito de red

La revisión aporta la capacidad de limitar la longitud a la que el servicio Universal Plug and Play (UPnP) puede llegar para descargar la descripción de un dispositivo. Un administrador puede usar esta funcionalidad para hacer que un equipo con la revisión intente descargar la descripción de un dispositivo sólo si reside en una ubicación predeterminada de la red. Para habilitar esta funcionalidad:
  1. Inicie el Editor del Registro (Regedt32.exe).
  2. Busque la clave siguiente en el Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\UPnP Control Point
  3. En el menú Edición, haga clic en Agregar valor y a continuación agregue el siguiente valor del Registro:
    Nombre del valor: DownloadScope
    Tipo de datos: REG_DWORD
    Información del valor:
    0 - en la misma subred
    1 - en la misma subred o en una dirección privada
    2 - en la misma subred, en una dirección privada o en cuatro saltos
    3 - en cualquier parte
  4. Salga del Editor del Registro.
Si el destino está más allá del ámbito configurado, no se intenta la descarga. De forma predeterminada (cuando no se ha establecido ningún valor en el Registro), Windows sólo descarga la descripción de dispositivos desde hosts de la misma subred o en la red privada.

Regular las descargas de la descripción de los dispositivos en función de los saltos del enrutador

Puede usar una capacidad actual para limitar dónde descargará el servicio UPnP la descripción de los dispositivos en función del número de saltos del enrutador. Para alterar esta opción (que funciona independientemente de la opción de punto de control de UPnP):
  1. Inicie el Editor del Registro (Regedt32.exe).
  2. Busque la clave siguiente en el Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSDPSRV\Parameters
  3. En el menú Edición, haga clic en Agregar valor y a continuación agregue el siguiente valor del Registro:
    Nombre del valor: TTL
    Tipo de datos: REG_DWORD
    Información del valor: número máximo de saltos de enrutador entre el equipo y el host de la descripción del dispositivo
  4. Salga del Editor del Registro.
Si el destino está separado del equipo local un número de saltos de enrutador mayor del especificado, no se intenta la descarga. De forma predeterminada (no se ha establecido un valor en el Registro), el servicio UPnP atraviesa hasta cuatro saltos de enrutador en busca de la descripción de un dispositivo.

Restricciones de los puertos para las descargas de descripciones de dispositivo

La revisión introduce restricciones en los puertos que pueden especificarse para descargar la descripción de dispositivos. Los equipos con la revisión no intentan descargar los historiales de los dispositivos desde ningún puerto por debajo del 1024, excepto en el 80.

Mecanismo de retardo

La revisión también incluye un mecanismo de retardo que no puede configurarse y que impide que un equipo intente de forma repetida y continuada descargar la descripción de un dispositivo, particularmente si el host se halla en una red remota.

Cuando inicia una nueva descarga, un equipo en el que se haya instalado la revisión consulta dos tablas. La primera contiene un retardo máximo que se basa en el número de intentos de descarga fallidos desde el host actual y si el host se encuentra en la red local o en una externa. Cuantos más intentos fallidos y cuanto más lejos se encuentre el host, mayor será el retardo máximo, con un límite de cuatro minutos. La segunda tabla proporciona un retardo máximo que se basa en el número de descargas que ya están en curso. Cuantas más descargas se estén realizando, mayor será el retardo máximo, con un límite de un minuto.

El sistema suma los dos valores de retardo que se indican en las tablas y genera un número al azar entre cero y la suma. A continuación aplica ese número de segundos de retardo antes de intentar la descarga.

Boletín de seguridad de Microsoft MS01-014

Si desea ver este boletín de seguridad, visite el siguiente sitio Web de Microsoft: http://www.microsoft.com/technet/security/bulletin/MS01-059.asp

Propiedades

Id. de artículo: 315056 - Última revisión: jueves, 30 de diciembre de 2004 - Versión: 1.2
La información de este artículo se refiere a:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
Palabras clave: 
kbenv kbfix kbinfo kbnetwork KB315056

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com