JAK: Wzmocnienie stosu protokołu TCP/IP w systemie Windows 2000 na wypadek ataków polegających na odmowie usługi

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 315669 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Ataki polegające na odmowie usługi są to ataki sieciowe, które mają na celu uniemożliwienie użytkownikom dostępu do konkretnego komputera w sieci lub konkretnej usługi na takim komputerze. Obrona przed atakami tego rodzaju może być trudna. W celu jej usprawnienia można wykorzystać jedną lub obydwie z następujących metod:
  • Należy aktualizować zawartość komputera, tak aby znajdowały się na nim najnowsze poprawki dotyczące zabezpieczeń. Poprawki dotyczące zabezpieczeń znajdują się w następującej witrynie sieci Web firmy Microsoft:
    http://www.microsoft.com/security/
  • Należy wzmocnić stos protokołu TCP/IP (Transmission Control Protocol/Internet Protocol) na stacjach roboczych i serwerach wyposażonych w system Windows 2000. Domyślna konfiguracja protokołu TCP/IP jest dopasowywana do potrzeb obsługi zwykłego przepływu danych w intranecie. Jeśli komputer jest połączony bezpośrednio z Internetem, zaleca się wzmocnienie stosu protokołu TCP/IP na wypadek ataków polegających na odmowie usługi.

Wartości rejestru protokołu TCP/IP, które wzmacniają stos protokołu TCP/IP

OSTRZEŻENIE: Nieprawidłowe wykorzystanie Edytora Rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora Rejestru będzie możliwe. Można używać Edytora Rejestru na własną odpowiedzialność.

Na poniższej liście zestawiono i opisano wartości rejestru związane z protokołem TCP/IP, których skonfigurowanie pozwala wzmocnić stos protokołu TCP/IP na komputerach połączonych bezpośrednio z Internetem. Wszystkie te wartości ustawia się w następującym kluczu rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
UWAGA: O ile tego specjalnie nie zaznaczono, wszystkie wartości mają format szesnastkowy.
  • Nazwa wartości: SynAttackProtect
    Klucz: Tcpip\Parameters
    Typ wartości: REG_DWORD
    Zakres prawidłowych wartości: 0,1,2
    Domyślna wartość: 0

    Ta wartość rejestru powoduje, że protokół TCP dopasowuje retransmisję pakietów SYN-ACK. Gdy użytkownik skonfiguruje tę wartość, to w przypadku ataku znanego jako SYN (pewien rodzaj ataku polegającego na odmowie usługi) będą obowiązywały krótsze limity czasów połączeń.

    Na poniższej liście zestawiono parametry, których można używać z tą wartością rejestru:
    • 0 (wartość domyślna): Ustawienie parametru SynAttackProtect na 0 zapewnia zwykłą ochronę przed atakami typu SYN.
    • 1: Ustawienie parametru SynAttackProtect na 1 zapewnia lepszą ochronę przed atakami typu SYN. Parametr ten powoduje, że protokół TCP dopasowuje retransmisję pakietów SYN-ACK. Jeśli parametr SynAttackProtect ma wartość 1, to w przypadku rozpoznania ataku SYN obowiązują krótsze limity czasu odpowiedzi na żądania połączeń. W celu rozpoznania ataku system Windows wykorzystuje następujące wartości:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried

    • 2: Ustawienie parametru SynAttackProtect na 2 zapewnia najlepszą ochronę przed atakami typu SYN. Wartość ta powoduje wymuszenie dodatkowych opóźnień przy informowaniu o połączeniach, a w wypadku rozpoznania ataku typu SYN, powoduje szybszą realizację żądań połączeń. Jest to ustawienie zalecane.

      UWAGA: Po ustawieniu parametru SynAttackProtect na 2 nie działają następujące opcje gniazd:
      • Skalowalne okna
      • Parametry protokołu TCP skonfigurowane na poszczególnych kartach (w tym początkowa wartość RTT i rozmiar okna)
  • Nazwa wartości: EnableDeadGWDetect
    Klucz: Tcpip\Parameters
    Typ wartości: REG_DWORD
    Zakres prawidłowych wartości: 0, 1 (fałsz, prawda)
    Domyślna wartość: 1 (prawda)

    Na poniższej liście zestawiono parametry, których można używać z tą wartością rejestru:
    • 1: Ustawienie parametru EnableDeadGWDetect na 1 powoduje, że protokół TCP zezwala na wykrywanie bram nieaktywnych. Gdy wykrywanie bram nieaktywnych jest włączone, a w przypadku wielu połączeń występują trudności, protokół TCP może zwrócić się do protokołu internetowego (IP) o zmianę bramy zapasowej. Bramy zapasowe można zdefiniować w sekcji Zaawansowane okna dialogowego konfiguracji protokołu TCP/IP w aplecie Sieć w Panelu sterowania.
    • 0: Zaleca się ustawienie parametru EnableDeadGWDetect na 0. Jeśli parametr ten nie będzie miał wartości 0, atak może zmusić serwer do przełączenia bram, a w szczególności do uaktywnienia bramy niepożądanej.
  • Nazwa wartości: EnablePMTUDiscovery
    Klucz: Tcpip\Parameters
    Typ wartości: REG_DWORD
    Zakres prawidłowych wartości: 0, 1 (fałsz, prawda)
    Domyślna wartość: 1 (prawda)

    Na poniższej liście zestawiono parametry, których można używać z tą wartością rejestru:
    • 1: Ustawienie parametru EnablePMTUDiscovery na 1 powoduje, że protokół TCP próbuje wykryć na ścieżce do hosta zdalnego maksymalną jednostkę transmisji (MTU) albo największy rozmiar pakietu. Wykrywając jednostkę MTU na ścieżce i ograniczając do jej wielkości rozmiary własnych segmentów, protokół TCP może wyeliminować fragmentację na routerach wzdłuż ścieżki łączącej sieci o różnych jednostkach MTU. Fragmentacja ma negatywny wpływ na przepływność protokołu TCP.
    • 0: Zaleca się ustawienie parametru EnablePMTUDiscovery na 0. W takim wypadku dla wszystkich połączeń, które nie są nawiązywane przez hosty w lokalnej podsieci jest używana jednostka MTU o wielkości 576 bajtów. Jeśli zostanie wybrana inna wartość niż 0, atakujący będzie mógł posłużyć się bardzo małą wartością jednostki MTU i przepełnić stos.
  • Nazwa wartości: KeepAliveTime
    Klucz: Tcpip\Parameters
    Typ wartości: REG_DWORD - czas w milisekundach
    Zakres prawidłowych wartości: 1 - 0xFFFFFFFF
    Domyślna wartość: 7 200 000 (dwie godziny)

    Parametr ten określa, jak często protokół TCP usiłuje sprawdzić, czy bezczynne połączenie jest wciąż aktywne, wysyłając pakiet utrzymania aktywności. Jeśli komputer zdalny jest wciąż osiągalny, potwierdza pakiet utrzymania aktywności. Pakiety utrzymania aktywności nie są wysyłane domyślnie. Skonfigurowanie tego parametru dla danego połączenia można powierzyć programowi. Ustawieniem zalecanym jest 300 000 (5 minut).
  • Nazwa wartości: NoNameReleaseOnDemand
    Klucz: Netbt\Parameters
    Typ wartości: REG_DWORD
    Zakres prawidłowych wartości: 0, 1 (fałsz, prawda)
    Domyślna wartość: 0 (fałsz)

    Wartość tego parametru określa, czy po otrzymaniu żądania zwolnienia nazwy komputer ma zwolnić swoją nazwę NetBIOS. Parametr ten wprowadzono po to, aby umożliwić administratorowi ochronę komputera przed złośliwymi atakami polegającymi na wysyłaniu żądań zwolnienia nazw. Zaleca się ustawienie parametru NoNameReleaseOnDemand na 1 (wartość domyślna).

    UWAGA: Aby móc skorzystać z parametru NoNameReleaseOnDemand, należy zainstalować na komputerze dodatek Windows 2000 Service Pack 2 (SP2) lub nowszy.

Rozwiązywanie problemów

Zmiana wartości rejestru związanych z protokołem TCP/IP może wpłynąć na działanie programów i usług w systemie Windows 2000. W celu sprawdzenia zgodności opisanych ustawień ze środowiskiem firmowym zaleca się wcześniejsze przetestowanie opisanych ustawień na stacjach roboczych i serwerach, których funkcjonowanie nie ma wpływu na działalność firmy.






Właściwości

Numer ID artykułu: 315669 - Ostatnia weryfikacja: 24 października 2005 - Weryfikacja: 4.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Słowa kluczowe: 
kbhowtomaster KB315669

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com