Como proteger a pilha TCP/IP contra ataques de serviço no Windows 2000 de negação de

Traduções deste artigo Traduções deste artigo
ID do artigo: 315669 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Ataques de negação de serviço são ataques à rede com o objetivo de fazer com que um computador ou um serviço específico não está disponível para os usuários da rede. Ataques de negação de serviço podem ser difícil se defender contra. Para ajudar a evitar ataques de negação de serviço, você pode usar um dos seguintes métodos ou ambos:
  • Manter seu computador atualizado com as mais recentes correções de segurança. Correções de segurança estão localizadas no site da Microsoft:
    http://www.microsoft.com/security/
  • Fortalecer a pilha de protocolo TCP/IP (Transmission Control Protocol/Internet Protocol) em estações de trabalho baseados no Windows 2000 e servidores. A configuração padrão da pilha TCP/IP é ajustada para lidar tráfego normal da intranet com o. Se você conectar um computador diretamente à Internet, é recomendável que você proteger a pilha TCP/IP contra ataques de negação de serviço.

Valores de Registro TCP/IP que Harden a pilha TCP/IP

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registro no Windows

A lista a seguir descreve os valores do registro relacionados a TCP/IP que você pode configurar para proteger a pilha TCP/IP em computadores conectados diretamente à Internet. Todas desses valores estão localizados sob a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Observação : todos os valores estão em hexadecimal, salvo indicação em contrário.
  • Nome do valor: SynAttackProtect
    Chave: Tcpip\Parameters
    Valor de tipo: REG_DWORD
    Intervalo válido: 0,1,2
    Padrão: 0

    Este valor do registro faz com que TCP (Transmission Control Protocol) para ajustar a retransmissão de SYN-ACKS. Quando você configura esse valor, o tempo limite de respostas de conexão mais rapidamente no caso de um ataque de SYN (um tipo de negação de ataque de serviço).

    A lista a seguir descreve os parâmetros que você pode usar com esse valor do Registro:
    • 0 (valor padrão): conjunto SynAttackProtect como 0 para típica de proteção contra ataques de SYN.
    • 1 : conjunto SynAttackProtect como 1 para melhor proteção contra ataques de SYN. Esse parâmetro faz o TCP ajuste a retransmissão de SYN-ACKS. Quando você define SynAttackProtect como 1 , conexão respostas tempo limite mais rapidamente se houver um ataque de SYN em andamento. O Windows usa os seguintes valores para determinar se um ataque está em andamento:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
      Observação A chave de registro TcpMaxPortsExhausted é obsoleta no Windows XP SP2 e em sistemas operacionais do Windows posteriores.
    • 2 : conjunto SynAttackProtect como 2 para a melhor proteção contra ataques SYN. Esse valor adiciona atrasos adicionais a indicações de conexão e conexão TCP rapidamente solicita tempo limite quando um ataque de SYN está em andamento. Este parâmetro é a configuração recomendada.

      Observação : as seguintes opções de soquete não funcionam em qualquer soquete quando você define o valor SynAttackProtect como 2 :
      • Dimensionamento de janelas
      • Parâmetros TCP que são configurados em cada adaptador (inclusive RTT inicial e a janela tamanho)
  • Nome do valor: EnableDeadGWDetect
    Chave: Tcpip\Parameters
    Valor de tipo: REG_DWORD
    Intervalo válido: 0, 1 (False, True)
    Padrão: 1 (VERDADEIRO)

    A lista a seguir descreve os parâmetros que você pode usar com esse valor do Registro:
    • 1 : quando você define EnableDeadGWDetect como 1 , TCP tem permissão para executar a detecção de gateway a fila de inatividade. Quando a detecção de gateway a fila de inatividade é habilitada, TCP pode pedir que o protocolo de Internet (IP) para alterar para um gateway de backup se um número de conexões estiver tendo dificuldades. Gateways de backup são definidas na seção avançada da caixa de diálogo configuração de TCP/IP em rede no painel de controle.
    • 0 : é recomendável que você defina EnableDeadGWDetect para 0 . Se você não definir esse valor como 0 , um ataque pode forçar o servidor a alternar gateways e causar nele para mudar para um gateway não intencionais.
  • Nome do valor: EnablePMTUDiscovery
    Chave: Tcpip\Parameters
    Valor de tipo: REG_DWORD
    Intervalo válido: 0, 1 (False, True)
    Padrão: 1 (VERDADEIRO)

    A lista a seguir descreve os parâmetros que você pode usar com esse valor do Registro:
    • 1 : quando você define EnablePMTUDiscovery como 1 , o TCP tenta descobrir a unidade máxima de transmissão (MTU) ou o maior, em seguida, tamanho de pacote no caminho para um host remoto. TCP pode eliminar a fragmentação em roteadores ao longo do caminho que conecta redes com MTUs diferentes descobrindo a MTU do caminho e limitando segmentos TCP a esse tamanho. Fragmentação afeta negativamente a taxa de transferência de TCP.
    • 0 : é recomendável que você defina EnablePMTUDiscovery como 0 . Quando você fizer isso, uma MTU de 576 bytes é usada para todas as conexões que não são hosts na sub-rede local. Se você não definir esse valor como 0 , um invasor pode forçar o valor da MTU para um valor muito pequeno e sobrecarregar a pilha.

      importante A configuração de EnablePMTUDiscovery como 0 negativamente afeta o desempenho de TCP/IP e a taxa de transferência. Embora a Microsoft recomenda essa configuração, ele não deve ser usado, a menos que esteja totalmente ciente essa perda de desempenho.
  • Nome do valor: KeepAliveTime
    Chave: Tcpip\Parameters
    Tipo de valor: REG_DWORD-tempo em milissegundos
    Intervalo válido: 1-0xFFFFFFFF
    Padrão: 7.200.000 (duas horas)

    Esse valor controla com que freqüência TCP tenta verificar se uma conexão ociosa ainda está intacta enviando um pacote de keep-alive. Se o computador remoto for ainda acessível, ele confirma o pacote keep-alive. Keep-alive pacotes não são enviados por padrão. Você pode usar um programa para configurar esse valor em uma conexão. A configuração de valor recomendado é 300.000 (5 minutos).
  • Nome do valor: NoNameReleaseOnDemand
    Chave: Netbt\Parameters
    Valor de tipo: REG_DWORD
    Intervalo válido: 0, 1 (False, True)
    Padrão: 0 (FALSO)

    Esse valor determina se o computador libera seu nome de NetBIOS quando recebe uma solicitação de liberação de nome. Esse valor foi adicionado para permitir que o administrador proteger o computador contra ataques mal-intencionados de liberação de nome. É recomendável que você defina o valor NoNameReleaseOnDemand como 1 (o valor padrão).

    Observação : você deve estar usando o Windows 2000 Service Pack 2 (SP2) ou posterior para usar o valor NoNameReleaseOnDemand .

Solução de problemas

Quando você altera os valores de Registro TCP/IP, você pode afetar programas e serviços que estão em execução no computador com Windows 2000. É recomendável que você teste essas configurações em servidores e estações de trabalho que não seja de produção para confirmar se eles são compatíveis com seu ambiente de negócios.






Propriedades

ID do artigo: 315669 - Última revisão: quinta-feira, 27 de março de 2008 - Revisão: 5.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbmt kbhowtomaster KB315669 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 315669

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com