Útoky jak stupňovat odolnost proti odmítnutí služby zásobník protokolu TCP/IP v systému Windows 2000

Překlady článku Překlady článku
ID článku: 315669 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Útoku přetížením systému jsou síťových útoků, které jsou cílem počítač nebo určitou službu v počítači k dispozici uživatelům sítě. Útoku přetížením systému může být obtížné hájit proti. Chcete-li zabránit útoku přetížením systému, můžete použít jeden nebo oba z následujících metod:
  • Aktualizace počítače s nejnovější opravy zabezpečení. Opravy zabezpečení jsou umístěny na následujícím webu společnosti Microsoft:
    http://www.microsoft.com/security/
  • Stupňovat odolnost zásobník protokolu TCP/IP (Transmission Control Protocol/Internet Protocol) na servery a pracovní stanice se systémem Windows 2000. Výchozí konfigurace TCP/IP zásobník je naladěn na intranetu normální provoz. Pokud připojíte počítač přímo k Internetu, je vhodné stupňovat odolnost proti útoku přetížením systému zásobník protokolu TCP/IP.

Hodnoty registru TCP/IP, že Harden zásobník protokolu TCP/IP

Důležité Tento oddíl, metoda nebo úkol obsahuje kroky, které informace o úpravě registru. Však mohou nastat závažné problémy při nesprávných úpravách registru. Proto se ujistěte, opatrně postupujte takto. Pro zvýšení ochrany před úpravami je nutné zálohujte registr. Můžete pak obnovení registru v případě, že dojde k potížím. Další informace o zálohování a obnovení registru získáte článku znalostní báze Microsoft Knowledge Base:
322756 Postup při zálohování a obnovení registru v systému Windows

Následující seznam popisuje hodnoty registru TCP, IP-souvisejících, které lze nakonfigurovat stupňovat odolnost zásobník protokolu TCP/IP v počítačích, které jsou přímo připojeny k Internetu. Všechny tyto hodnoty jsou umístěny v následujícím klíči registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
POZNÁMKA:: Pokud není uvedeno jinak, jsou všechny hodnoty v šestnáctkové soustavě.
  • Název hodnoty: SynAttackProtect
    Klíč: Tcpip\Parameters
    Typ hodnoty: REG_DWORD
    Platný rozsah: 0,1,2
    Výchozí: 0

    Tato hodnota registru způsobí TCP (Transmission Control Protocol) nastavte opakování přenosu SYN pořadovým. Nakonfigurujete-li tato hodnota časového limitu připojení odpovědi rychleji v případě, že útok typu SYN (typ útoku přetížením systému).

    Následující seznam popisuje parametry, které můžete použít tuto hodnotu registru:
    • 0 (výchozí hodnota): nastavení SynAttackProtect k 0 Typické ochranu proti útokům typu SYN.
    • 1: Nastavit SynAttackProtect k 1 pro lepší ochranu před útoky SYN. Tento parametr způsobí TCP nastavit opakování přenosu SYN pořadovým. Po nastavení SynAttackProtect k 1, časový limit odpovědi pro připojení více rychle, pokud se zdá, že je SYN útoku v průběhu. Systém Windows používá zjistit útok je v průběhu následujících hodnot:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
      Poznámka: Klíč registru TcpMaxPortsExhausted je zastaralá, v systému Windows XP SP2 a v novějších operačních systémů Windows.
    • 2: Nastavit SynAttackProtect k 2 nejlepší ochranu proti útokům typu SYN. Tato hodnota přidá další zpoždění připojení označení a připojení TCP požadavky rychle časového limitu při útoku typu SYN probíhá. Tento parametr je doporučené nastavení.

      POZNÁMKA:: Soket možností fungovat na jakýkoliv soket nastavíte SynAttackProtect hodnota 2:
      • Škálovatelné windows
      • Parametry protokolu TCP, které jsou nakonfigurovány u všech adaptérů (včetně počátečního času RTT a velikosti okna)
  • Název hodnoty: EnableDeadGWDetect
    Klíč:Tcpip\Parameters
    Typ hodnoty: REG_DWORD
    Platný rozsah: 0, 1 (NEPRAVDA, PRAVDA)
    Výchozí hodnota: 1 (PRAVDA)

    Následující seznam popisuje parametry, které můžete použít tuto hodnotu registru:
    • 1: Při nastavování EnableDeadGWDetect k 1Protokol TCP je oprávněn provést rozpoznávání mrtvé brány. Po povolení rozpoznávání mrtvé brány protokolu TCP může požádat IP (Internet Protocol) můžete změnit o záložní bránu, pokud počet připojení jsou potíže. Záložní brány jsou definovány v rozšířené části Konfigurace protokolu TCP/IP Dialogové okno v ovládacím panelu Síť.
    • 0: Je vhodné nastavit EnableDeadGWDetect k 0. Pokud tato hodnota není nastaven 0, útok mohl vynutit serveru brány a způsobit, že přepnete do nakonfigurovaného bránu.
  • Název hodnoty: EnablePMTUDiscovery
    Klíč: Tcpip\Parameters
    Typ hodnoty: REG_DWORD
    Platný rozsah: 0, 1 (NEPRAVDA, PRAVDA)
    Výchozí hodnota: 1 (PRAVDA)

    Následující seznam popisuje parametry, které můžete použít tuto hodnotu registru:
    • 1: Při nastavování EnablePMTUDiscovery k 1Protokol TCP se pokusí zjistit maximální přenosové jednotky (MTU) nebo pak největší velikost paketu v průběhu cesty ke vzdálenému hostiteli. Dokáže protokol TCP eliminovat fragmentaci na směrovačích cestě spojující sítě s různými MTU zjišťování cesty MTU a omezením segmentů TCP na tuto velikost. Fragmentace nepříznivě ovlivňuje propustnost protokolu TCP.
    • 0: Je vhodné nastavit EnablePMTUDiscovery k 0. Pokud tak učiníte, jednotkou MTU o velikosti 576 bajtů, se používá pro všechna připojení, které nejsou hostiteli v místní podsíti. Pokud tato hodnota není nastaven 0, útočník by mohl vynutit velmi nízkou hodnotu jednotky MTU a přetížit tak zásobník.

      Důležité Nastavení EnablePMTUDiscovery k 0 negativně ovlivňuje výkon TCP/IP a propustnost. Přestože společnost Microsoft doporučuje toto nastavení, není vhodné použít, pokud si nejste plně vědomi této ztráty výkonu.
  • Název hodnoty: KeepAliveTime
    Klíč: Tcpip\Parameters
    Typ hodnoty: REG_DWORD – čas v milisekundách
    Platný rozsah: 1-0xFFFFFFFF.
    Výchozí hodnota: 7,200,000 (dvě hodiny)

    Tato hodnota řídí, jak často se protokol TCP pokouší ověřit, že nečinné připojení je stále funkční odesláním paketu keep alive. Pokud je vzdálený počítač stále dosažitelný, uznává paketu keep alive. Ve výchozím nastavení nejsou odeslány pakety Keep alive. Program můžete použít ke konfiguraci této hodnoty na připojení. Je Doporučená hodnota nastavení 300 000 (5 minut).
  • Název hodnoty: NoNameReleaseOnDemand
    Klíč: Netbt\Parameters
    Typ hodnoty: REG_DWORD
    Platný rozsah: 0, 1 (NEPRAVDA, PRAVDA)
    Výchozí: 0 (NEPRAVDA)

    Tato hodnota určuje, zda počítač uvolní svého názvu NetBIOS, jakmile obdrží požadavek na uvolnění názvu. Tato hodnota byla přidána povolit správce k ochraně počítače před škodlivými útoky uvolnění názvu. Je doporučeno, abyste nastavili NoNameReleaseOnDemand hodnota 1 (výchozí hodnota).

    POZNÁMKA:: Musíte používat systém Windows 2000 Service Pack 2 (SP2) nebo novější NoNameReleaseOnDemand hodnota.

Poradce při potížích

Při změně hodnoty registru TCP/IP může ovlivnit programy a služby, které jsou spuštěny v počítači se systémem Windows 2000. Je vhodné otestovat nastavení testovacích pracovních stanic a serverů k potvrzení, že jsou slučitelné s obchodním prostředí.






Vlastnosti

ID článku: 315669 - Poslední aktualizace: 18. května 2011 - Revize: 7.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Klíčová slova: 
kbhowtomaster kbmt KB315669 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:315669

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com