Windows Server 2003 で DoS 攻撃に対して TCP/IP スタックを強化する方法

文書翻訳 文書翻訳
文書番号: 324270 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

サービス拒否 (Denial Of Service) 攻撃とは、コンピュータまたはコンピュータ上の特定のサービスをネットワーク ユーザーが利用できないようにすることを目的としたネットワーク攻撃です。サービス拒否攻撃は防御が困難な場合がありますが、次のいずれかまたは両方の対策を行うと、攻撃を防ぐのに役立ちます。
  • 使用しているコンピュータを、常に最新のセキュリティ修正プログラムで更新された状態に保ちます。セキュリティ修正プログラムは、以下のマイクロソフト Web サイトにあります。
    http://www.microsoft.com/japan/security/
  • Windows Server 2003 コンピュータの TCP/IP プロトコル スタックを強化します。デフォルトの TCP/IP スタックの構成は、標準のイントラネット トラフィックを処理するように調整されています。インターネットに直接コンピュータを接続する場合、マイクロソフトでは、サービス拒否攻撃に対して TCP/IP スタックを強化することを推奨します。

TCP/IP スタックを強化する TCP/IP のレジストリ値

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。
以下に記載する TCP/IP 関連のレジストリ値を構成して、インターネットに直接接続しているコンピュータの TCP/IP スタックを強化できます。特に指定のない限り、これらの値はすべて以下に示すレジストリ キーの下で作成してください。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
: 特に指定のない限り、値はすべて 16 進です。
  • 値の名前 : SynAttackProtect
    キー : Tcpip\Parameters
    値の種類 : REG_DWORD
    有効な範囲 : 0、1
    デフォルト値 : 0

    このレジストリ値を設定すると、TCP (Transmission Control Protocol) は SYN-ACK の再転送を調節します。この値を構成すると、SYN 攻撃 (サービス拒否攻撃の一種) を受けている間、接続応答のタイムアウト時間が短くなります。

    このレジストリ値に使用できるパラメータは以下のとおりです。
    • 0 (デフォルト値) : SYN 攻撃に対する保護なし
    • 1 : SYN 攻撃に対する保護を強化する場合は、SynAttackProtect 値を 1 に設定します。このパラメータを設定すると、TCP は SYN-ACK の再転送を調整します。SynAttackProtect 値を 1 に設定した場合、SYN 攻撃が行われていることをシステムが検出すると、接続応答のタイムアウト時間が短くなります。Windows では以下の値を使用して、攻撃が行われているかどうかを判断します。
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried

    : Windows Server 2003 Service Pack 1 では、SynAttackProtect レジストリ エントリのデフォルト値は 1 です。
  • 値の名前 : EnableDeadGWDetect
    キー : Tcpip\Parameters
    値の種類 : REG_DWORD
    有効な範囲 : 0、1 (False、True)
    デフォルト値 : 1 (True)

    このレジストリ値に使用できるパラメータは以下のとおりです。
    • 1 : EnableDeadGWDetect 値を 1 に設定した場合、TCP は停止しているゲートウェイの検出を実行できます。停止しているゲートウェイの検出が有効になっていると、多数の接続で障害が発生している場合、TCP は、IP (インターネット プロトコル) に対してバックアップ ゲートウェイへの切り替えを要求できます。バックアップ ゲートウェイは、[コントロール パネル] の [ネットワーク接続] ツールにある [インターネット プロトコル (TCP/IP)のプロパティ] ダイアログ ボックスの [詳細設定] で定義されています。
    • 0 : マイクロソフトでは、EnableDeadGWDetect 値を 0 に設定することを推奨します。この値を 0 に設定しない場合、攻撃によって、サーバーのゲートウェイが強制的に変更され、意図しないゲートウェイに切り替えられることがあります。
  • 値の名前 : EnablePMTUDiscovery
    キー : Tcpip\Parameters
    値の種類 : REG_DWORD
    有効な範囲 : 0、1 (False、True)
    デフォルト値 : 1 (True)

    このレジストリ値に使用できるパラメータは以下のとおりです。
    • 1 : EnablePMTUDiscovery 値を 1 に設定した場合、TCP では、リモート ホストへのパス上の MTU (Maximum Transmission Unit) または最大パケット サイズのいずれかの検出を試みます。パスの MTU を検出して TCP セグメントをこのサイズに制限することによって、パス上にある、MTU の異なるネットワークを接続しているルーターで断片化が発生することを防止できます。断片化は、TCP のスループットに悪影響を及ぼします。
    • 0 : マイクロソフトでは、EnablePMTUDiscovery 値を 0 に設定することを推奨します。この値を 0 に設定した場合、ローカル サブネット上のホスト以外のすべての接続に対して 576 バイトの MTU が使用されます。この値を 0 に設定しない場合、攻撃者によって MTU の値が強制的に非常に小さな値に設定され、スタックに過度の負荷がかかることがあります。

      重要 : EnablePMTUDiscovery 値を 0 に設定すると、TCP/IP のパフォーマンスとスループットに影響が出ます。マイクロソフトではこの設定をお勧めしますが、このパフォーマンスの損失について十分理解しない限りこの設定を使用しないようにしてください。
  • 値の名前 : KeepAliveTime
    キー : Tcpip\Parameters
    値の種類 : REG_DWORD (ミリ秒単位の時間)
    有効な範囲 : 1 〜 0xFFFFFFFF
    デフォルト値 : 7,200,000 (2 時間)

    この値は、TCP が keep-alive パケットを送信して、アイドル状態の接続が維持されていることを確認する頻度を制御します。リモート コンピュータへの接続が維持されている場合、リモート コンピュータは keep-alive パケットの受信確認応答を行います。keep-alive パケットはデフォルトでは送信されません。接続にこの値を構成するには、プログラムを使用します。推奨値は 300,000 (5 分) です。
  • 値の名前 : NoNameReleaseOnDemand
    キー : Netbt\Parameters
    値の種類 : REG_DWORD
    有効な範囲 : 0、1 (False、True)
    デフォルト値 : 0 (False)

    この値では、コンピュータが名前解放要求を受信したときに、NetBIOS 名を解放するかどうかを指定します。この値は、管理者が、悪質な名前解放攻撃からコンピュータを保護できるようにするために追加されました。マイクロソフトでは、NoNameReleaseOnDemand 値を 1 に設定することを推奨します。

トラブルシューティング

TCP/IP のレジストリ値を変更すると、Windows Server 2003 ベースのコンピュータで実行中のプログラムおよびサービスに影響を及ぼすことがあります。マイクロソフトでは、運用中でないワークステーションおよびサーバーでこれらの設定をテストし、ユーザーの実際の運用環境と互換性があることを確認することをお勧めします。

プロパティ

文書番号: 324270 - 最終更新日: 2011年1月5日 - リビジョン: 2.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
キーワード:?
kbhowtomaster KB324270
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com