Αναγν. άρθρου: 324270 - Τελευταία αναθεώρηση: Κυριακή, 29 Μαΐου 2011 - Αναθεώρηση: 5.0

Τρόπος είναι η στοίβα TCP/IP από εισβολές άρνησης εξυπηρέτησης στον Windows Server 2003

Παράλληλη προβολήΠροβολή του πρωτότυπου αγγλικού άρθρου και της ελληνικής μετάφρασης αντικριστά
Μηχανικά μεταφρασμένοΠΡΟΕΙΔΟΠΟΙΗΣΗ: ΑΥΤΟ ΤΟ ΑΡΘΡΟ ΜΕΤΑΦΡΑΣΤΗΚΕ ΜΕ ΜΗΧΑΝΙΚΗ ΜΕΤΑΦΡΑΣΗ
Retired KB ArticleΑποποίηση ευθυνών για περιεχόμενο της Γνωσιακής Βάσης (KB) που έχει αποσυρθεί
Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Συμβουλή συστήματοςΑυτό το άρθρο ισχύει για διαφορετικό λειτουργικό σύστημα από αυτό που χρησιμοποιείτε. Το περιεχόμενο του άρθρου που ενδέχεται να μην σας αφορά έχει απενεργοποιηθεί.

Σε αυτήν τη σελίδα

Ανάπτυξη όλων | Σύμπτυξη όλων

Περίληψη

Άρνηση υπηρεσίας (DoS) επιθέσεις οι επιθέσεις δικτύου που αποσκοπούν στην πραγματοποίηση ενός υπολογιστή ή μια συγκεκριμένη υπηρεσία σε έναν υπολογιστή δεν είναι διαθέσιμη σε χρήστες δικτύου. Μπορεί να είναι δύσκολη η άρνηση εξυπηρέτησης άμυνα έναντι του. Για να αποφύγετε εισβολές άρνησης εξυπηρέτησης, μπορείτε να χρησιμοποιήσετε μία ή δύο από τις ακόλουθες μεθόδους:
  • Διατηρήστε τον υπολογιστή σας ενημερωμένο με τις τελευταίες ενημερώσεις κώδικα ασφαλείας. Ενημερώσεις κώδικα ασφαλείας βρίσκονται στην ακόλουθη τοποθεσία της Microsoft στο Web:
    http://www.Microsoft.com/security (http://www.microsoft.com/security)
  • Είναι η στοίβα πρωτοκόλλου TCP/IP στο διακομιστή των Windows υπολογιστές 2003. Η προεπιλεγμένη ρύθμιση παραμέτρων της στοίβας TCP/IP έχει συντονιστεί χειρισμού η κίνηση τυπική intranet. Εάν συνδέσετε έναν υπολογιστή απευθείας με το Internet Η Microsoft συνιστά να είναι η στοίβα TCP/IP κατά της άρνησης υπηρεσίας επιθέσεις.
Επιστροφή στην αρχή

Οι τιμές μητρώου TCP/IP που Harden τη στοίβα TCP/IP

Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Επομένως, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, αντίγραφο ασφαλείας του μητρώου πριν το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει κάποιο πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows

Η ακόλουθη λίστα επεξηγεί το TCP σχετίζονται τιμές μητρώου που μπορείτε να ρυθμίσετε να είναι η στοίβα TCP/IP σε υπολογιστές που είναι άμεσα συνδεδεμένοι στο Internet. Όλες οι τιμές αυτές θα πρέπει να δημιουργήθηκε το ακόλουθο κλειδί μητρώου, εκτός αν ορίζεται διαφορετικά:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
ΣΗΜΕΊΩΣΗ: Όλες οι τιμές είναι σε δεκαεξαδική μορφή, εκτός αν αναφέρεται διαφορετικά.
  • Όνομα τιμής: SynAttackProtect
    Κλειδί: Tcpip\Parameters
    Τύπος τιμής: REG_DWORD
    Έγκυρη περιοχή: 0,1
    Προεπιλογή: 0

    Αυτό το μητρώο τιμή προκαλεί πρωτοκόλλου TCP (Transmission Control) για να ρυθμίσετε την αναμετάδοση SYN ACKS. Όταν ρυθμίσετε αυτήν την τιμή, η σύνδεση αποκρίσεις χρονικό όριο περισσότερες γρήγορα κατά τη διάρκεια μιας επίθεσης SYN (τύπου άρνησης εξυπηρέτησης).

    Το ακολουθεί παραμέτρους μπορεί να χρησιμοποιηθεί με αυτήν την τιμή μητρώου:
    • 0 (προεπιλεγμένη τιμή): προστασία από επίθεση όχι SYN
    • 1: Σύνολο SynAttackProtect Για να 1 Για καλύτερη προστασία από επιθέσεις SYN. Αυτή η παράμετρος αναγκάζει TCP για να προσαρμόσετε την αναμετάδοση SYN ACKS. Όταν ορίζετε SynAttackProtect Για να 1, σύνδεση αποκρίσεις χρονικό όριο πιο γρήγορα εάν το σύστημα εντοπίζει ότι μια επίθεση SYN βρίσκεται σε εξέλιξη. Τα Windows χρησιμοποιούν τις παρακάτω τιμές Εξακριβώστε αν μια εισβολή είναι σε εξέλιξη:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
    ΣημείωσηΣτο Windows Server 2003 Service Pack 1 ή νεότερη έκδοση, η προεπιλεγμένη τιμή για την καταχώρηση μητρώου SynAttackProtect είναι 1.

    Σημείωση Το κλειδί μητρώου TcpMaxPortsExhausted δεν ισχύει πλέον στο Windows XP SP2 και σε νεότερες εκδόσεις λειτουργικών συστημάτων των Windows.
  • Όνομα τιμής: EnableDeadGWDetect (Ισχύει μόνο για τα Windows 2003)
    Κλειδί: Tcpip\Parameters
    Τύπος τιμής: REG_DWORD
    Έγκυρη περιοχή: 0, 1 (False, True)
    Προεπιλογή: 1 (True)

    Η παρακάτω λίστα περιγράφει τις παραμέτρους που μπορείτε να χρησιμοποιήσετε με αυτήν την τιμή μητρώου:
    • 1: Όταν ορίζετε EnableDeadGWDetect Για να 1TCP επιτρέπεται να εκτελεί νεκρά πύλη ανίχνευσης. Όταν νεκρά πύλη ανίχνευσης είναι ενεργοποιημένη, TCP μπορεί να ζητήσει από το πρωτόκολλο Internet (IP), για να Αλλαγή σε μια εφεδρική πύλη, εάν αντιμετωπίζετε έναν αριθμό συνδέσεων δυσκολία. Πύλες αντιγράφων ασφαλείας που ορίζονται στην ενότητα Advanced της το Ρύθμιση παραμέτρων TCP/IP παράθυρο διαλόγου στο εργαλείο "δίκτυο" του πίνακα ελέγχου.
    • 0: Η Microsoft συνιστά να ορίσετε το EnableDeadGWDetect τιμή 0. Εάν δεν ορίσετε αυτήν την τιμή 0, επίθεση μπορεί να αναγκάσει το διακομιστής για να μεταβείτε πύλες και να μεταβείτε σε μια ακούσια πύλη.
  • Όνομα τιμής: EnablePMTUDiscovery
    Κλειδί: Tcpip\Parameters
    Τύπος τιμής: REG_DWORD
    Έγκυρη περιοχή: 0, 1 (False, True)
    Προεπιλογή: 1 (True)

    Η παρακάτω λίστα περιγράφει τις παραμέτρους που μπορείτε να χρησιμοποιήσετε με αυτήν την τιμή μητρώου:
    • 1: Όταν ορίζετε EnablePMTUDiscovery Για να 1TCP προσπαθεί να ανακαλύψει είτε τη μέγιστη μονάδα μετάδοσης (MTU) ή το μεγαλύτερο μέγεθος πακέτου στη διαδρομή ενός απομακρυσμένου κεντρικού υπολογιστή. Να καταργήσετε TCP κατακερματισμό σε δρομολογητές στη διαδρομή που συνδέει δίκτυα με διαφορετικές MTU Ανακαλύπτοντας διαδρομής MTU και περιορίζοντας τα τμήματα TCP σε αυτό το μέγεθος. Ο κατακερματισμός επηρεάζει αρνητικά την ταχύτητα μεταγωγής του TCP.
    • 0: Η Microsoft συνιστά να ορίσετε EnablePMTUDiscovery Για να 0. Όταν γίνει αυτό, χρησιμοποιείται ενός MTU 576 byte για όλες τις συνδέσεις που δεν υπάρχουν κεντρικοί υπολογιστές στο τοπικό υποδίκτυο. Εάν δεν ορίσετε αυτήν την τιμή σε 0, ένας εισβολέας μπορεί να αναγκάσει τιμή MTU σε πολύ μικρή τιμή και overwork τη στοίβα.

      Σημαντικό Ρύθμιση EnablePMTUDiscovery Για να 0 να επηρεάζει αρνητικά TCP/IP επιδόσεις και την ταχύτητα μετάδοσης. Παρόλο που η Microsoft συνιστά αυτήν τη ρύθμιση, αυτό δεν πρέπει να χρησιμοποιείται εκτός αν γνωρίζετε πλήρως αυτή η απώλεια επιδόσεων.
  • Όνομα τιμής: KeepAliveTime
    Κλειδί: Tcpip\Parameters
    Τύπος τιμής: REG_DWORD-Χρόνος σε χιλιοστά του δευτερολέπτου
    Έγκυρη περιοχή: 1-0xFFFFFFFF
    Προεπιλογή: 7.200.000 (δύο ώρες)

    Αυτή η τιμή ελέγχει το πόσο συχνά το TCP προσπαθεί να επιβεβαιώσετε ότι ένα αδρανής σύνδεση είναι ακόμα ανέπαφη, αποστέλλοντας ένα πακέτο διατήρησης εν ενεργεία. Εάν το τηλεχειριστήριο ο υπολογιστής είναι ακόμη δυνατή, αναγνωρίζει το πακέτο διατήρησης εν ενεργεία. Διατήρησης εν ενεργεία δεν αποστέλλονται τα πακέτα από προεπιλογή. Μπορείτε να χρησιμοποιήσετε ένα πρόγραμμα για να ρυθμίσετε αυτήν την τιμή σε μια σύνδεση. Η ρύθμιση συνιστώμενη τιμή είναι 300.000 (5 λεπτά).
  • Όνομα τιμής: NoNameReleaseOnDemand
    Κλειδί: Netbt\Parameters
    Τύπος τιμής: REG_DWORD
    Έγκυρη περιοχή: 0, 1 (False, True)
    Προεπιλογή: 0 (False)

    Αυτή η τιμή καθορίζει εάν ο υπολογιστής εκδίδει την Το όνομα NetBIOS όταν λαμβάνει μια αίτηση έκδοσης ονομάτων. Αυτή η τιμή προστέθηκε επιτρέπουν διαχειριστή για την προστασία του υπολογιστή από κακόβουλο έκδοσης ονομάτων επιθέσεις. Η Microsoft συνιστά να ορίσετε το NoNameReleaseOnDemand τιμή 1.
Επιστροφή στην αρχή

Αντιμετώπιση προβλημάτων

Όταν αλλάξετε τις τιμές μητρώου TCP/IP, ενδέχεται να επηρεάσει προγράμματα και υπηρεσίες που εκτελούνται από το διακομιστή με Windows 2003 υπολογιστής. Η Microsoft συνιστά να ελέγξετε αυτές τις ρυθμίσεις σε παραγωγικά σταθμοί εργασίας και διακομιστές, για να επιβεβαιώσετε ότι είναι συμβατά με την επιχείρησή σας περιβάλλον.

Επιστροφή στην αρχή
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Επιστροφή στην αρχή
Λέξεις-κλειδιά: 
kbhowtomaster kbmt KB324270 KbMtel
Επιστροφή στην αρχή
Μηχανικά μεταφρασμένοΜηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:324270  (http://support.microsoft.com/kb/324270/en-us/ )
Επιστροφή στην αρχή
Retired KB ArticleΑποποίηση ευθυνών για περιεχόμενο της Γνωσιακής Βάσης (KB) που έχει αποσυρθεί
This article was written about products for which Microsoft no longer offers support. Therefore, this article is offered "as is" and will no longer be updated.
Επιστροφή στην αρχή