Come rafforzamento dello stack TCP/IP contro gli attacchi denial of service in Windows 2000

Traduzione articoli Traduzione articoli
Identificativo articolo: 315669 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Gli attacchi di negazione del servizio sono attacchi di rete che lo scopo sono di rendere un computer o un particolare servizio su un computer non disponibile agli utenti di rete. La protezione rispetto a questo tipo di attacchi pu˛ essere difficile da conseguire. Per tentare di evitarli, utilizzare uno o entrambi i seguenti metodi:
  • Aggiornare costantemente il computer con le correzioni ai problemi di protezione pi¨ recenti. Le correzioni ai problemi di protezione sono disponibili sul seguente sito Web Microsoft:
    http://www.microsoft.com/security/
  • Protezione dello stack protocollo TCP/IP in Windows 2000 Workstation e server. La configurazione predefinita TCP/IP dello stack Ŕ ottimizzata per gestire il traffico di rete intranet normale. Se ci si connette un computer direttamente a Internet, Ŕ consigliabile che si rafforzamento dello stack TCP/IP contro attacchi di tipo denial of service.

Valori di registro TCP/IP in grado di rendere pi¨ forte lo stack TCP/IP

importante Questa sezione, metodo o l'attivitÓ sono contenute procedure viene illustrato come modificare il Registro di sistema. Tuttavia, possono causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi che questa procedura con attenzione. Per maggiore protezione, Ŕ eseguire il backup del Registro di sistema prima di modificarlo. ╚ quindi possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756Come eseguire il backup e il ripristino del Registro di sistema in Windows

Nell'elenco riportato di seguito vengono descritti i relativi a TCP/IP del Registro di sistema valori per il che Ŕ possibile configurare per potenziare lo stack TCP/IP nei computer direttamente connessi a Internet. Tutti questi valori si trovano sotto la seguente chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Nota : tutti i valori sono esadecimale, salvo diversamente.
  • Nome valore: SynAttackProtect
    Chiave: Tcpip\Parameters
    Valore di tipo: REG_DWORD
    Intervallo valido: 0,1,2
    Per impostazione predefinita: 0

    Questo valore di registro fa sý che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Quando lo si configura questo valore, le risposte di connessione scadono pi¨ rapidamente in caso di attacco SYN (un tipo di attacco denial of service).

    Nell'elenco seguente vengono descritti i parametri che Ŕ possibile utilizzare con questo valore del Registro di sistema:
    • 0 (valore predefinito): set SynAttackProtect su 0 per la protezione tipica nei confronti di attacchi SYN.
    • 1 : set SynAttackProtect su 1 per una migliore protezione dagli attacchi SYN. Questo parametro fa sý che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Quando si imposta SynAttackProtect su 1 , risposte di connessione scadono pi¨ rapidamente se viene visualizzato che Ŕ un attacco SYN in corso. Windows utilizza i valori seguenti per determinare se l'attacco Ŕ in corso:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
      Nota La chiave del Registro di sistema di TcpMaxPortsExhausted Ŕ obsoleta in Windows XP SP2 e in sistemi operativi successivi.
    • 2 : set SynAttackProtect su 2 per la protezione migliore nei confronti di attacchi SYN. Questo valore aggiunge ulteriori ritardi a indicazioni di connessione e connessione TCP richiede rapido timeout quando un attacco SYN Ŕ in corso. Questo parametro Ŕ l'impostazione consigliata.

      Nota : le opzioni di socket seguenti non funzionano per qualsiasi socket quando si imposta il valore SynAttackProtect su 2 :
      • Finestre scalabili
      • Parametri TCP configurati su ogni scheda (compresi RTT iniziale e la finestra dimensioni)
  • Nome valore: EnableDeadGWDetect
    Chiave: Tcpip\Parameters
    Valore di tipo: REG_DWORD
    Intervallo valido: 0, 1 (false, true)
    Valore predefinito: 1 (true)

    Nell'elenco seguente vengono descritti i parametri che Ŕ possibile utilizzare con questo valore del Registro di sistema:
    • 1 : quando si imposta EnableDeadGWDetect su 1 , TCP Ŕ consentito eseguire il rilevamento dei gateway inattivi. Quando il rilevamento di gateway inattivi Ŕ abilitato, TCP pu˛ chiedere al protocollo IP (Internet Protocol) di passare a un gateway di backup se per alcune connessioni ci sono dei problemi. I gateway di backup sono definiti nella sezione Avanzate della finestra di dialogo configurazione TCP/IP nel Pannello di controllo rete.
    • 0 : Ŕ consigliabile impostare EnableDeadGWDetect su 0 . Se non si imposta questo valore su 0 , Ŕ possibile che un attacco imporre al server a cambiare gateway per passare a un gateway indesiderato.
  • Nome valore: EnablePMTUDiscovery
    Chiave: Tcpip\Parameters
    Valore di tipo: REG_DWORD
    Intervallo valido: 0, 1 (false, true)
    Valore predefinito: 1 (true)

    Nell'elenco seguente vengono descritti i parametri che Ŕ possibile utilizzare con questo valore del Registro di sistema:
    • 1 : quando si imposta EnablePMTUDiscovery su 1 , TCP tenta di individuare l'unitÓ massima di trasmissione (MTU) oppure dimensione del pacchetto quindi pi¨ grande sul percorso di un host remoto. TCP Ŕ in grado di eliminare la frammentazione sui router lungo il percorso che connette le reti con MTU diversi rilevando il MTU di percorso e limitando i segmenti TCP a questa dimensione. La frammentazione influisce negativamente sulla velocitÓ effettiva del protocollo TCP.
    • 0 : Ŕ consigliabile impostare EnablePMTUDiscovery su 0 . Quando si esegue questa operazione, viene utilizzata una MTU di 576 byte per tutte le connessioni non sono host sulla subnet locale. Se non si imposta questo valore su 0 , un utente malintenzionato potrebbe imporre un valore molto basso il valore MTU e sovraccaricare lo stack.

      importante Impostando EnablePMTUDiscovery su 0 negativamente riguarda la prestazioni TCP/IP e la velocitÓ di trasmissione. Anche se Microsoft consiglia di questa impostazione, non deve essere utilizzato se non si Ŕ pienamente consapevoli di questa perdita di prestazioni.
  • Nome valore: KeepAliveTime
    Chiave: Tcpip\Parameters
    Tipo valore: REG_DWORD-tempo in millisecondi
    Intervallo valido: 1-0xFFFFFFFF.
    Valore predefinito: 7,200,000 (due ore)

    Questo valore controlla la frequenza con cui TCP tenta di verificare che una connessione inattiva Ŕ ancora intatta inviando un pacchetto keep-alive. Se il sistema remoto Ŕ ancora raggiungibile, riconosce il pacchetto keepalive. I pacchetti keepalive non vengono inviati per impostazione predefinita. Per configurare questo valore per una connessione, utilizzare un apposito programma. L'impostazione di valore consigliato Ŕ 300.000 (5 minuti).
  • Nome valore: NoNameReleaseOnDemand
    Chiave: Netbt\Parameters
    Valore di tipo: REG_DWORD
    Intervallo valido: 0, 1 (false, true)
    Per impostazione predefinita: 0 (false)

    Questo valore determina se il computer rivela il nome NetBIOS quando riceve una richiesta in tal senso. Questo valore Ŕ stato aggiunto per consentire all'amministratore di proteggere il computer da attacchi di rilascio dei nomi. ╚ consigliabile impostare il valore NoNameReleaseOnDemand su 1 (valore predefinito).

    Nota : ╚ necessario essere utilizza Windows 2000 Service Pack 2 (SP2) o versione successiva per utilizzare il valore NoNameReleaseOnDemand .

Risoluzione dei problemi

Quando si modificano i valori del Registro di sistema di TCP/IP, Ŕ possibile che venga influenzati programmi e servizi che sono in esecuzione sul computer basato su Windows 2000. Si consiglia di verificare queste impostazioni su workstation non di produzione e server per verificare che siano compatibili con l'ambiente aziendale.






ProprietÓ

Identificativo articolo: 315669 - Ultima modifica: giovedý 27 marzo 2008 - Revisione: 5.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Chiavi:á
kbmt kbhowtomaster KB315669 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 315669
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com