Cómo proteger la pila TCP/IP frente a ataques por denegación de servicio en Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 315669 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E315669
Expandir todo | Contraer todo

En esta página

Resumen

Los ataques por denegación de servicio (DoS) son ataques de red que pretenden conseguir que un equipo o un determinado servicio de un equipo no esté disponible para los usuarios de la red. Puede ser difícil protegerse frente a los ataques por denegación de servicio. Puede utilizar uno de los métodos siguientes, o ambos, para ayudar a protegerse de estos ataques:
  • Mantenga el equipo actualizado con las revisiones de seguridad más recientes. Las revisiones de seguridad se encuentran en el siguiente sitio Web de Microsoft:
    http://www.microsoft.com/security
  • Proteger la pila de Protocolo de control de transmisión/Protocolo de Internet (TCP/IP) en estaciones de trabajo y servidores basados en Windows 2000. La configuración predeterminada de la pila TCP/IP está ajustada para tratar el tráfico normal de la intranet. Si conecta un equipo directamente a Internet, se recomienda que proteja la pila TCP/IP frente a ataques por denegación de servicio.

Valores del Registro de TCP/IP que protegen la pila TCP/IP

ADVERTENCIA
Si utiliza incorrectamente el Editor del Registro puede tener serios problemas que tal vez requieran volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar los problemas resultantes del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.

En la lista siguiente se describen los valores del Registro relacionados con TCP/IP que puede configurar para proteger la pila TCP/IP en los equipos que están conectados directamente a Internet. Todos estos valores se encuentran en la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
NOTA
Todos los valores son hexadecimales, a menos que se indique lo contrario.
  • Nombre de valor: SynAttackProtect
    Clave: Tcpip\Parameters
    Tipo del valor: REG_DWORD
    Intervalo válido: 0,1,2
    Valor predeterminado: 0

    Este valor del Registro hace que el Protocolo de control de transmisión (TCP) ajuste la retransmisión de SYN-ACKS. Cuando configura este valor, las respuestas de conexión superan el tiempo de espera rápidamente en el caso de que se produzca un ataque SYN (un tipo de ataque por denegación de servicio).

    En la lista siguiente se describen los parámetros que puede utilizar con este valor del Registro:
    • 0 (valor predeterminado): configure SynAttackProtect como 0 para obtener la protección normal frente a ataques SYN.
    • 1: configure SynAttackProtect como 1 para obtener una mejor protección frente a ataques SYN. Este parámetro hace que TCP ajuste la retransmisión de SYN-ACKS. Cuando configura SynAttackProtect como 1, las respuestas de conexión superan el tiempo de espera rápidamente si parece que hay un ataque SYN en curso. Windows utiliza los valores siguientes para determinar si hay un ataque en curso:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried

    • 2: configure SynAttackProtect como 2 para obtener una protección óptima frente a ataques SYN. Este valor agrega retardos adicionales a las indicaciones de conexión y las solicitudes de conexión TCP superan el tiempo de espera rápidamente cuando hay un ataque SYN en curso. Este parámetro es la configuración recomendada.

      NOTA
      Las opciones de socket siguientes no funcionan en ningún socket cuando se configura el valor SynAttackProtect como 2:
      • Ventanas escalables
      • Parámetros de TCP configurados en cada adaptador (incluidos RTT inicial y tamaño de ventana)
  • Nombre de valor: EnableDeadGWDetect
    Clave: Tcpip\Parameters
    Tipo del valor: REG_DWORD
    Intervalo válido: 0, 1 (falso, verdadero)
    Valor predeterminado: 1 (verdadero)

    En la lista siguiente se describen los parámetros que puede utilizar con este valor del Registro:
    • 1: cuando configura EnableDeadGWDetect como 1, se permite a TCP realizar una detección de puertas de enlace inactivas. Cuando la detección de puertas de enlace inactivas está habilitada, TCP puede pedir al Protocolo de Internet (IP) que cambie a una puerta de enlace de reserva si hay varias conexiones que tienen dificultades. Las puertas de enlace de reserva se definen en la sección Avanzadas del cuadro de diálogo Configuración de TCP/IP en la herramienta Red del Panel de control.
    • 0: se recomienda configurar EnableDeadGWDetect como 0. Si no establece este valor como 0, un ataque podría forzar al servidor a cambiar de puerta de enlace y lograr que se utilizara una puerta de enlace no deseada.
  • Nombre de valor: EnablePMTUDiscovery
    Clave: Tcpip\Parameters
    Tipo del valor: REG_DWORD
    Intervalo válido: 0, 1 (falso, verdadero)
    Valor predeterminado: 1 (verdadero)

    En la lista siguiente se describen los parámetros que puede utilizar con este valor del Registro:
    • 1: cuando configura EnablePMTUDiscovery como 1, TCP intenta descubrir la unidad de transmisión máxima (MTU) o el mayor tamaño de paquete en la ruta a un host remoto. Al descubrir la ruta de acceso MTU y limitar los segmentos TCP a este tamaño, TCP puede eliminar la fragmentación en los enrutadores situados a lo largo de la ruta que conecta redes con MTU diferentes. La fragmentación afecta negativamente al rendimiento de TCP.
    • 0: se recomienda configurar EnablePMTUDiscovery como 0. Si lo hace, se utilizará una MTU de 576 bytes para todas las conexiones que no sean hosts en la subred local. Si no configura este valor como 0, un atacante podría forzar que el valor MTU fuera muy pequeño y sobrecargar la pila.

      Importante
      La configuración de EnablePMTUDiscovery como 0 afecta negativamente al rendimiento de TCP/IP. Aunque Microsoft recomienda esta configuración, no debe utilizarse a menos que sea totalmente consciente de esta pérdida de rendimiento.
  • Nombre de valor: KeepAliveTime
    Clave: Tcpip\Parameters
    Tipo del valor: REG_DWORD (tiempo en milisegundos)
    Intervalo válido: 1-0xFFFFFFFF
    Valor predeterminado: 7.200.000 (dos horas)

    Este valor controla la frecuencia con la que TCP intenta comprobar si una conexión inactiva sigue intacta enviando un paquete KeepAlive. Si el equipo remoto sigue siendo accesible, confirmará el paquete KeepAlive. Los paquetes KeepAlive no se envían de manera predeterminada. Puede utilizar un programa para configurar este valor en una conexión. La configuración recomendada para este valor es 300.000 (5 minutos).
  • Nombre de valor: NoNameReleaseOnDemand
    Clave: Netbt\Parameters
    Tipo del valor: REG_DWORD
    Intervalo válido: 0, 1 (falso, verdadero)
    Valor predeterminado: 0 (falso)

    Este valor determina si el equipo libera su nombre NetBIOS cuando recibe una solicitud de liberación de nombre. Se agregó este valor para permitir a los administradores proteger el equipo frente a ataques malintencionados de liberación de nombre. Se recomienda configurar el valor NoNameReleaseOnDemand como 1 (valor predeterminado).

    NOTA
    Para poder utilizar el valor NoNameReleaseOnDemand tiene que utilizar Windows 2000 Service Pack 2 (SP2) o posterior.

Solución de problemas

Los cambios en los valores del Registro relacionados con TCP/IP pueden afectar a los programas y los servicios que se ejecutan en el equipo con Windows 2000. Se recomienda probar estos valores en estaciones de trabajo y servidores que no estén en un entorno de producción para confirmar que son compatibles con su entorno empresarial.






Propiedades

Id. de artículo: 315669 - Última revisión: miércoles, 24 de enero de 2007 - Versión: 4.2
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Palabras clave: 
kbhowtomaster KB315669

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com