Potenziamento dello stack TCP/IP contro gli attacchi di tipo Denial of Service in Windows Server 2003

Traduzione articoli Traduzione articoli
Identificativo articolo: 324270 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Gli attacchi di tipo Denial of Service (DoS), ovvero quelli che determinano il rifiuto del servizio, sono atti di aggressione eseguiti in rete che mirano a rendere indisponibile un computer o un determinato servizio di un computer agli utenti della rete. La protezione da questi attacchi pu˛ essere difficile da realizzare. Per tentare di evitarli, utilizzare uno o entrambi i seguenti metodi:
  • Aggiornare costantemente il computer con le correzioni ai problemi di protezione pi¨ recenti. Le correzioni ai problemi di protezione sono disponibili sul seguente sito Web Microsoft:
    http://www.microsoft.com/italy/security
  • Potenziare lo stack del protocollo TCP/IP nei computer con Windows Server 2003. La configurazione predefinita dello stack TCP/IP gestisce il traffico standard delle reti Intranet. Se si connette il computer direttamente a Internet, si consiglia di potenziare lo stack TCP/IP contro gli attacchi di tipo Denial of Service.

Valori TCP/IP del Registro di sistema in grado di potenziare lo stack TCP/IP

Avviso L'errata modifica del Registro di sistema tramite l'editor o un altro metodo pu˛ causare seri problemi, che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non Ŕ in grado di garantire la soluzione di problemi derivanti dall'errato utilizzo dell'editor del Registro di sistema. La modifica del Registro di sistema Ŕ a rischio e pericolo dell'utente.
Nell'elenco seguente sono citati i valori del Registro di sistema relativi a TCP/IP che Ŕ possibile configurare per potenziare lo stack TCP/IP nei computer connessi direttamente a Internet. Tutti questi valori devono essere creati nella seguente chiave del Registro di sistema, a meno che non venga diversamente specificato:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
NOTA: se non altrimenti specificato, tutti i valori sono espressi nel formato esadecimale.
  • Nome valore: SynAttackProtect
    Chiave: Tcpip\Parameters
    Tipo valore: REG_DWORD
    Intervallo valido: 0,1
    Predefinito: 0

    Questo valore del Registro di sistema fa sý che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Quando lo si configura, le risposte di connessione scadono pi¨ rapidamente durante un attacco SYN (un tipo di attacco "Denial of Service").

    I seguenti parametri possono essere utilizzati con questo valore del Registro di sistema:
    • 0 (valore predefinito): nessuna protezione dagli attacchi SYN
    • 1: impostare SynAttackProtect su 1 per una migliore protezione dagli attacchi SYN. Questo parametro fa sý che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Se si imposta SynAttackProtect su 1, il timeout delle risposte di connessione Ŕ pi¨ veloce qualora il sistema rilevi un attacco SYN in corso. Per determinare se Ŕ in corso un attacco, Windows utilizza i valori seguenti:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried

    Nota In Windows Server 2003 Service Pack 1, il valore predefinito per la voce del Registro di sistema SynAttackProtect Ŕ 1.
  • Nome valore: EnableDeadGWDetect
    Chiave: Tcpip\Parameters
    Tipo valore: REG_DWORD
    Intervallo valido: 0, 1 (False, True)
    Predefinito: 1 (True)

    Nell'elenco seguente sono indicati i parametri che possono essere utilizzati con questo valore del Registro di sistema:
    • 1: se si imposta EnableDeadGWDetect su 1, il protocollo TCP pu˛ rilevare i gateway inattivi. Quando il rilevamento dei gateway inattivi Ŕ abilitato, TCP pu˛ chiedere al protocollo IP (Internet Protocol) di passare a un gateway di backup se per alcune connessioni ci sono dei problemi. I gateway di backup possono essere definiti nella sezione Avanzate della finestra di dialogo di configurazione del protocollo TCP/IP tramite lo strumento Rete nel Pannello di controllo.
    • 0: Ŕ consigliabile impostare il valore di EnableDeadGWDetect su 0. In caso contrario un eventuale attacco potrebbe obbligare il server a cambiare gateway imponendogli di passare a un gateway indesiderato.
  • Nome valore: EnablePMTUDiscovery
    Chiave: Tcpip\Parameters
    Tipo valore: REG_DWORD
    Intervallo valido: 0, 1 (False, True)
    Predefinito: 1 (True)

    Nell'elenco seguente sono indicati i parametri che possono essere utilizzati con questo valore del Registro di sistema:
    • 1: se si imposta EnablePMTUDiscovery su 1, il protocollo TCP cerca di individuare l'unitÓ massima di trasmissione (MTU) o il pacchetto pi¨ grande nel percorso verso un host remoto. Rilevando il valore MTU del percorso e limitando i segmenti TCP a questa dimensione, TCP Ŕ in grado di eliminare la frammentazione sui router lungo il percorso che connette le reti con diversi valori MTU. La frammentazione influisce negativamente sulla velocitÓ effettiva del protocollo TCP.
    • 0: Ŕ consigliabile impostare il valore di EnablePMTUDiscovery su 0. In tal caso un'unitÓ MTU di 576 byte verrÓ utilizzata per tutte le connessioni che non siano host della subnet locale. Se non si imposta questo valore su 0, un utente malintenzionato pu˛ forzare il valore MTU impostandolo su un valore molto piccolo e affaticare lo stack.

      Importante L'impostazione di EnablePMTUDiscovery su 0 incide negativamente sulle prestazioni e sulla velocitÓ del protocollo TCP/IP. Sebbene tale impostazione venga consigliata, non dovrebbe essere utilizzata se non si Ŕ pienamente consapevoli di tale calo nelle prestazioni.
  • Nome valore: KeepAliveTime
    Chiave: Tcpip\Parameters
    Tipo valore: REG_DWORD - Tempo in millisecondi
    Intervallo valido: 1-0xFFFFFFFF
    Predefinito: 7.200.000 (due ore)

    Questo valore controlla la frequenza con cui il protocollo TCP tenta di verificare se una connessione inattiva Ŕ ancora intatta inviando un pacchetto keepalive. Se il sistema remoto Ŕ ancora raggiungibile, riconosce il pacchetto keepalive. Per impostazione predefinita, i pacchetti keepalive non vengono inviati. Per configurare questo valore per una connessione, Ŕ possibile utilizzare un apposito programma. L'impostazione consigliata per questo valore Ŕ 300.000 (5 minuti).
  • Nome valore: NoNameReleaseOnDemand
    Chiave: Netbt\Parameters
    Tipo valore: REG_DWORD
    Intervallo valido: 0, 1 (False, True)
    Predefinito: 0 (False)

    Questo valore determina se il computer rivela il proprio nome NetBIOS quando riceve una richiesta in tal senso. ╚ stato aggiunto per consentire all'amministratore di proteggere il computer da attacchi mirati a scoprire il nome del computer. ╚ consigliabile impostare il valore di NoNameReleaseOnDemand su 1.

Risoluzione dei problemi

Quando si modificano i valori del Registro di sistema relativi a TCP/IP, Ŕ possibile che vengano influenzati programmi e servizi eseguiti nel computer basato su Windows Server 2003. Microsoft consiglia di verificare queste impostazioni in workstation e server non destinati alla produzione per avere la certezza che siano compatibili con l'ambiente aziendale.

ProprietÓ

Identificativo articolo: 324270 - Ultima modifica: mercoledý 5 gennaio 2011 - Revisione: 2.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Chiavi:á
kbhowtomaster KB324270
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com