Como proteger a pilha do TCP/IP contra ataques de negação de serviço no Windows Server 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 324270 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Negação de serviço (DoS) são ataques à rede com o objetivo de fazer com que um computador ou um serviço específico não esteja disponível para usuários da rede. Ataques negação de serviço pode ser difícil se Defender. Para ajudar a impedir ataques negação de serviço, você pode usar um ou ambos dos seguintes métodos:
  • Mantenha seu computador atualizado com as últimas correções de segurança. Correções de segurança estão localizadas no seguinte site da Microsoft:
    http://www.microsoft.com/Security
  • Fortalecer a pilha de protocolos TCP/IP nos computadores Windows Server 2003. A configuração da pilha TCP/IP padrão é ajustada para lidar com o tráfego padrão da intranet. Se você conectar um computador diretamente à Internet, a Microsoft recomenda que você proteger a pilha de TCP/IP contra ataques de negação de serviço.

Valores de registro TCP/IP que o TCP/IP Stack Harden

ImportanteNesta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, podem ocorrer problemas graves se modificar o Registro incorretamente. Portanto, certifique-se de que você execute essas etapas com cuidado. Para maior proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registo no Windows

A lista a seguir explica os relacionados a TCP/IP-valores do registro que podem ser configuradas para fortalecer a pilha do TCP/IP em computadores que estão diretamente conectados à Internet. Todos esses valores devem ser criados sob a seguinte chave do registro, salvo indicação em contrário:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
OBSERVAÇÃO:: Todos os valores estão em hexadecimal, salvo indicação em contrário.
  • Nome do valor:SynAttackProtect
    Chave:Tcpip\Parameters
    Tipo de valor:REG_DWORD
    Intervalo válido: 0,1
    Padrão: 0

    Esse valor do registro faz com que o TCP (Transmission Control Protocol) para o ajuste a retransmissão de SYN-ACKS. Quando você configura esse valor, o tempo limite da conexão respostas mais rapidamente, durante um ataque de SYN (um tipo de negação de ataque de serviço).

    Os parâmetros a seguir podem ser usados com esse valor do registro:
    • 0(valor padrão): proteção contra ataque de SYN não
    • 1: O conjuntoSynAttackProtectpara1Para maior proteção contra ataques SYN. Esse parâmetro faz com que o TCP ajuste a retransmissão de SYN-ACKS. Quando você definirSynAttackProtectpara1, respostas de conexão de tempo limite mais rapidamente se o sistema detecta que um ataque SYN está em andamento. Para determinar se um ataque está em andamento, o Windows usa os seguintes valores:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
    Observação:No Windows Server 2003 Service Pack 1 ou posterior, o valor padrão para entrada do registro SynAttackProtect é 1.

    Observação:A chave de registro TcpMaxPortsExhausted é obsoleta no Windows XP SP2 e em versões posteriores dos sistemas operacionais Windows.
  • Nome do valor:EnableDeadGWDetect(Aplica-se para o Windows 2003 apenas)
    Chave:Tcpip\Parameters
    Tipo de valor:REG_DWORD
    O intervalo válido: 0, 1 (verdadeiro, FALSO)
    Padrão: 1 (VERDADEIRO)

    A lista a seguir explica os parâmetros que podem ser usados com esse valor do registro:
    • 1: Quando você definirEnableDeadGWDetectpara1O TCP é permitido para executar a detecção de gateway inativo. Quando a detecção de gateway inativo é ativada, o TCP poderá solicitar o IP (Internet Protocol) para alterar para um gateway de backup, se um número de conexões está tendo dificuldades em. Os gateways de backup são definidos na seção Avançado dasConfiguração de TCP/IPdialog box in the Network tool in Control Panel.
    • 0: Microsoft recommends that you set theEnableDeadGWDetectvalue to0. If you do not set this value to 0, an attack may force the server to switch gateways and cause it to switch to an unintended gateway.
  • Value name:EnablePMTUDiscovery
    Key:Tcpip\Parameters
    Value Type:REG_DWORD
    Valid Range: 0, 1 (False, True)
    Default: 1 (True)

    The following list explains the parameters that you can use with this registry value:
    • 1: When you setEnablePMTUDiscoverypara1, TCP tries to discover either the maximum transmission unit (MTU) or the largest packet size over the path to a remote host. TCP can remove fragmentation at routers along the path that connect networks with different MTUs by discovering the path MTU and limiting TCP segments to this size. Fragmentation adversely affects TCP throughput.
    • 0: Microsoft recommends that you setEnablePMTUDiscoverypara0. When you do so, an MTU of 576 bytes is used for all connections that are not hosts on the local subnet. If you do not set this value to0, an attacker may force the MTU value to a very small value and overwork the stack.

      ImportanteSettingEnablePMTUDiscoverypara0negatively affects TCP/IP performance and throughput. Even though Microsoft recommends this setting, it should not be used unless you are fully aware of this performance loss.
  • Value name:KeepAliveTime
    Key:Tcpip\Parameters
    Value Type:REG_DWORD-Time in milliseconds
    Valid Range: 1-0xFFFFFFFF
    Default: 7,200,000 (two hours)

    This value controls how frequently TCP tries to verify that an idle connection is still intact by sending a keep-alive packet. If the remote computer is still reachable, it acknowledges the keep-alive packet. Keep-alive packets are not sent by default. You can use a program to configure this value on a connection. The recommended value setting is300,000(5 minutes).
  • Value name:NoNameReleaseOnDemand
    Key:Netbt\Parameters
    Value Type:REG_DWORD
    Valid Range: 0, 1 (False, True)
    Default: 0 (False)

    This value determines whether the computer releases its NetBIOS name when it receives a name-release request. This value was added to permit the administrator to protect the computer against malicious name-release attacks. Microsoft recommends that you set theNoNameReleaseOnDemandvalue to1.

Troubleshooting

When you change the TCP/IP registry values, you may affect programs and services that are running on the Windows Server 2003-based computer. Microsoft recommends that you test these settings on nonproduction workstations and servers to confirm that they are compatible with your business environment.

Propriedades

ID do artigo: 324270 - Última revisão: quinta-feira, 13 de janeiro de 2011 - Revisão: 1.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Palavras-chave: 
kbhowtomaster kbmt KB324270 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 324270
Aviso de Isenção de Responsabilidade sobre Conteúdo do KB Aposentado
Este artigo trata de produtos para os quais a Microsoft não mais oferece suporte. Por esta razão, este artigo é oferecido "como está" e não será mais atualizado.

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com