文章編號: 315669 - 上次校閱: 2008年3月27日 - 版次: 5.0

如何以強化 TCP/IP 堆疊對抗拒絕服務攻擊,Windows 2000 中

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

拒絕服務攻擊是瞄準讓電腦或特定服務的電腦上無法使用網路使用者的網路攻擊。拒絕服務攻擊很難防禦。若要協助防止拒絕服務攻擊,您可以使用一或多個下列方法:
  • 讓您以最新的安全性修正程式更新的電腦。安全性修正程式位於下列 Microsoft 網站:
    http://www.microsoft.com/security/ (http://www.microsoft.com/security/)
  • 強化傳輸控制通訊協定/網際網路通訊協定 (TCP/IP) 通訊協定堆疊在 Windows 2000 為基礎的工作站及伺服器上。預設的 TCP/IP 堆疊組態被調整處理標準內部網路的流量。如果您的電腦直接連線到網際網路,建議強化 TCP/IP 堆疊對抗拒絕服務攻擊。
回此頁最上方

以強化 TCP/IP 堆疊的 TCP/IP 登錄值

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756? (http://support.microsoft.com/kb/322756/ ) 如何備份和還原在 Windows 登錄

下列清單說明 [TCP/IP 相關的登錄值,您可以設定以強化 TCP/IP 堆疊直接連線到網際網路的電腦上。所有這些值位於下列登錄機碼下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
注意: 除非另有註明,否則所有的值是以十六進位方式。
  • 數值名稱: SynAttackProtect
    索引鍵: Tcpip\Parameters
    值類型: REG_DWORD
    有效範圍: 0,1,2
    預設值: 0

    此登錄值會使傳輸控制通訊協定 (TCP) 來調整重新傳輸 SYN 認可。 當您設定該值連線回應逾時更快速的事件中 SYN 攻擊 (一種拒絕服務攻擊)。

    下列清單說明您可以使用此登錄值的參數:
    • 0 (預設值): Set SynAttackProtect0 為典型的防護來 SYN 攻擊。
    • 1: 組 SynAttackProtect1 的更佳的防護,以對抗 SYN 攻擊。這個參數會使 TCP 重新傳輸 SYN 認可的調整。當您設定 SynAttackProtect1,更多的連線回應逾時快速如果它出現在進行中沒有 SYN 攻擊。Windows 會用來判斷攻擊是否正在進行中的下列值:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
      附註TcpMaxPortsExhausted 登錄機碼是在 Windows XP SP2 和更新版本的 Windows 作業系統中已過時。
    • 2: 組 SynAttackProtect2 則表示 SYN 攻擊最佳防護。這個值新增連線指示額外的延遲,TCP 連線快速逾時,會要求 SYN 攻擊正在進行中。這個參數是建議使用的設定。

      注意: 以下的通訊端選項無法使用任何通訊端 (Socket) 上當您將 SynAttackProtect 值設定為 2
      • 可調整的視窗
      • (包括初始 RTT] 和 [視窗大小) 每個介面卡設定的 TCP 參數
  • 數值名稱: EnableDeadGWDetect
    索引鍵: Tcpip\Parameters
    值類型: REG_DWORD
    有效範圍: 0、 1 為 False (True)
    預設值: 1 (true)

    下列清單說明您可以使用此登錄值的參數:
    • 1: 當您將 EnableDeadGWDetect 設定 1 TCP 會允許執行無法投遞閘道偵測。當啟用無效閘道偵測 TCP 可能會要求 [網際網路通訊協定 (IP) 變更為一個備份閘道,如果連線的數目有困難。網路控制台中的 [TCP/IP 設定] 對話方塊中的 [進階] 區段中定義備份閘道。
    • 0: 建議您將 EnableDeadGWDetect 設為 0。如果您不設定這個值為 0,攻擊可以強制切換閘道,並且導致它切換至非預期的閘道伺服器。
  • 數值名稱: EnablePMTUDiscovery
    索引鍵: Tcpip\Parameters
    值類型: REG_DWORD
    有效範圍: 0、 1 為 False (True)
    預設值: 1 (true)

    下列清單說明您可以使用此登錄值的參數:
    • 1: 當您將 EnablePMTUDiscovery 設定 1 TCP 嘗試在連到遠端主機的路徑上,找出最大傳輸單位 (MTU)] 或 [然後最大的封包大小。TCP 可以消除在連接網路與不同 MTU 探索路徑 MTU,並且限制 TCP 區段為這個大小沿著路徑路由器的分散程度。分散程度對於 TCP 輸出量有不利的影響。
    • 0: 建議您將 EnablePMTUDiscovery 設為 0。當您執行這項操作時,不是是本機子網路上的主機的所有連線使用 576 位元組的 MTU。如果您不設定這個值為 0,攻擊,可以強制 MTU 值至非常小的值,overwork 堆疊。

      重要負面 EnablePMTUDiscovery 設定為 0,會影響 TCP/IP 效能和產量。即使 Microsoft 建議這項設定,它不應使用除非您完全瞭解這個效能會遺失。
  • 數值名稱: KeepAliveTime
    索引鍵: Tcpip\Parameters
    值型別: REG_DWORD-時間 (以毫秒為單位)
    有效範圍: 1 0xFFFFFFFF
    預設值: 7,200,000 (兩個小時)

    這個值會控制 TCP 嘗試確認閒置的連線藉由傳送持續作用封包仍然原封不動頻率。如果遠端電腦是仍可執行到,它會認可持續作用封包。依預設不傳送持續作用的封包。您可以使用程式在連線上設定此值。建議的值設定為 300,000 (5 分鐘)。
  • 數值名稱: NoNameReleaseOnDemand
    索引鍵: Netbt\Parameters
    值類型: REG_DWORD
    有效範圍: 0、 1 為 False (True)
    預設值: 0 (假)

    這個值會決定電腦是否在收到名稱釋放要求時釋放它的 NetBIOS 名稱。這個值已加入可以讓系統管理員防止電腦遭受惡意的名稱釋放攻擊。建議您將 NoNameReleaseOnDemand 值設定為 1 (預設值)。

    注意: 您必須使用 Windows 2000 Service Pack 2 (SP2) 或稍後使用 NoNameReleaseOnDemand 值。

回此頁最上方

疑難排解

當您變更 TCP/IP 登錄值時,您可能會影響程式和 Windows 2000 電腦執行的服務。建議您測試在非實際執行工作站及伺服器上這些設定,以確認它們與您的商務環境相容。






回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
回此頁最上方
關鍵字:?
kbmt kbhowtomaster KB315669 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:315669? (http://support.microsoft.com/kb/315669/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。