Cara untuk mengeras TCP/IP stack terhadap denial of service serangan pada Windows 2000

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 315669 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Denial of service serangan adalah serangan jaringan yang ditujukan untuk membuat komputer atau layanan tertentu pada komputer tidak tersedia untuk pengguna jaringan. Denial of service serangan dapat sulit untuk membela melawan. Untuk membantu mencegah denial of service serangan, Anda dapat menggunakan salah satu atau kedua metode berikut:
  • Menjaga komputer Anda diperbarui dengan perbaikan keamanan terbaru. Perbaikan keamanan yang terdapat pada Website Microsoft berikut:
    http://www.Microsoft.com/Security/
  • Mengeras stack protokol kontrol transmisi protokol/Internet Protocol (TCP/IP) pada workstation berbasis Windows 2000 dan server. Konfigurasi default TCP/IP stack disetel untuk menangani lalu lintas normal intranet. Jika Anda menghubungkan komputer langsung ke Internet, dianjurkan bahwa Anda mengeras TCP/IP stack terhadap denial of service serangan.

TCP/IP Registry nilai-nilai yang Harden TCP/IP Stack

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows

Daftar berikut ini menjelaskan TCP/IP-terkait nilai registri yang dapat dikonfigurasi untuk mengeras stack TCP/IP pada komputer yang secara langsung terhubung ke Internet. Semua nilai-nilai ini terletak di bawah kunci registri berikut:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
CATATAN: Semua nilai berada dalam heksadesimal kecuali dinyatakan lain.
  • Nama nilai: SynAttackProtect
    Tombol: Tcpip\Parameters
    Jenis nilai: REG_DWORD
    Batasan valid: 0,1,2
    Default: 0

    Nilai registri ini menyebabkan transmisi Control Protocol (TCP) untuk menyesuaikan retransmission Sin-ACKS. Bila Anda mengkonfigurasi nilai ini, tanggapan waktu koneksi keluar lebih cepat dalam hal terdapat serangan SYN (sejenis denial of service serangan).

    Daftar berikut ini menjelaskan parameter yang dapat Anda gunakan dengan nilai registri ini:
    • 0 (nilai default): mengatur SynAttackProtect untuk 0 untuk khas perlindungan terhadap serangan SYN.
    • 1: Set SynAttackProtect untuk 1 untuk perlindungan yang lebih baik terhadap serangan SYN. Parameter ini menyebabkan TCP untuk menyesuaikan retransmission Sin-ACKS. Ketika Anda mengatur SynAttackProtect untuk 1, waktu tanggapan koneksi keluar lebih cepat jika muncul bahwa ada Sin menyerang berlangsung. Windows menggunakan nilai berikut untuk menentukan jika serangan yang sedang berlangsung:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
      Catatan Kunci registri TcpMaxPortsExhausted usang dalam Windows XP SP2 dan kemudian sistem operasi Windows.
    • 2: Set SynAttackProtect untuk 2 untuk perlindungan terbaik terhadap serangan SYN. Nilai ini menambahkan penundaan tambahan untuk indikasi koneksi, dan koneksi TCP permintaan cepat timeout ketika serangan SYN sedang berlangsung. Parameter ini adalah pengaturan yang disarankan.

      CATATAN: Opsi soket berikut tidak lagi bekerja pada setiap soket ketika Anda mengatur SynAttackProtect nilai untuk 2:
      • Scalable windows
      • Parameter TCP yang dikonfigurasi pada setiap adapter (termasuk ukuran awal RTT dan jendela)
  • Nama nilai: EnableDeadGWDetect
    Tombol:Tcpip\Parameters
    Jenis nilai: REG_DWORD
    Batasan valid: 0, 1 (palsu, benar)
    Default: 1 (True)

    Daftar berikut ini menjelaskan parameter yang dapat Anda gunakan dengan nilai registri ini:
    • 1: Ketika Anda mengatur EnableDeadGWDetect untuk 1TCP diperbolehkan untuk melakukan deteksi mati-gateway. Ketika mati-gateway deteksi diaktifkan, TCP mungkin bertanya protokol Internet (IP) untuk mengubah ke gateway cadangan jika jumlah koneksi mengalami kesulitan. Gateway cadangan yang ditetapkan dalam bagian lanjutan Konfigurasi TCP/IP kotak dialog di jaringan Control Panel.
    • 0: Dianjurkan bahwa Anda mengatur EnableDeadGWDetect untuk 0. Jika Anda tidak menetapkan nilai ini 0, serangan bisa memaksa server untuk beralih Gateway dan menyebabkan untuk beralih ke gateway yang tidak diinginkan.
  • Nama nilai: EnablePMTUDiscovery
    Tombol: Tcpip\Parameters
    Jenis nilai: REG_DWORD
    Batasan valid: 0, 1 (palsu, benar)
    Default: 1 (True)

    Daftar berikut ini menjelaskan parameter yang dapat Anda gunakan dengan nilai registri ini:
    • 1: Ketika Anda mengatur EnablePMTUDiscovery untuk 1TCP upaya untuk menemukan unit transmisi maksimum (MTU) atau ukuran paket kemudian terbesar atas path ke remote host. TCP dapat menghilangkan fragmentasi pada router sepanjang jalan yang menghubungkan jaringan dengan MTU berbeda oleh menemukan jalan MTU dan membatasi segmen TCP ukuran ini. Fragmentasi negatif mempengaruhi TCP throughput.
    • 0: Dianjurkan bahwa Anda mengatur EnablePMTUDiscovery untuk 0. Ketika Anda melakukannya, MTU 576 byte digunakan untuk semua sambungan yang tidak host pada subnet lokal. Jika Anda tidak menetapkan nilai ini 0, seorang penyerang dapat memaksa MTU nilai untuk nilai yang sangat kecil dan terlalu banyak pekerjaan tumpukan.

      Penting Pengaturan EnablePMTUDiscovery untuk 0 negatif mempengaruhi kinerja TCP/IP dan throughput. Meskipun Microsoft menyarankan pengaturan ini, itu tidak boleh digunakan kecuali Anda sepenuhnya menyadari kinerja ini kehilangan.
  • Nama nilai: KeepAliveTime
    Tombol: Tcpip\Parameters
    Tipe nilai: REG_DWORD-waktu dalam milidetik
    Batasan valid: 1-0xFFFFFFFF
    Default: 7,200,000 (dua jam)

    Nilai ini mengontrol seberapa sering TCP mencoba untuk memverifikasi bahwa sambungan siaga masih utuh dengan mengirimkan paket tetap-menyala. Jika komputer jauh masih terjangkau, mengakui paket tetap-menyala. Tetap-menyala paket yang tidak dikirim secara default. Anda dapat menggunakan program untuk mengkonfigurasi nilai ini pada sambungan. Pengaturan nilai fitur ini 300.000 (5 menit).
  • Nama nilai: NoNameReleaseOnDemand
    Tombol: Netbt\Parameters
    Jenis nilai: REG_DWORD
    Batasan valid: 0, 1 (palsu, benar)
    Default: 0 (palsu)

    Nilai ini menentukan apakah komputer rilis nama NetBIOS sewaktu menerima permintaan nama-rilis. Nilai ini ditambahkan untuk memungkinkan administrator untuk melindungi komputer terhadap serangan nama-rilis berbahaya. Dianjurkan bahwa Anda mengatur NoNameReleaseOnDemand nilai untuk 1 (nilai default).

    CATATAN: Anda harus menggunakan Windows 2000 Paket Layanan 2 (SP2) atau kemudian untuk menggunakan NoNameReleaseOnDemand nilai.

Pemecahan Masalah

Ketika Anda mengubah nilai registri TCP/IP, Anda dapat mempengaruhi program dan layanan yang berjalan pada komputer berbasis Windows 2000. Dianjurkan bahwa Anda menguji pengaturan ini pada non-produksi workstation dan server untuk mengkonfirmasi bahwa mereka kompatibel dengan lingkungan bisnis Anda.






Properti

ID Artikel: 315669 - Kajian Terakhir: 24 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Kata kunci: 
kbhowtomaster kbmt KB315669 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:315669

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com