Como proteger a pilha do TCP/IP contra ataques de negação de serviço no Windows Server 2003

Negação de serviço (DoS) são ataques à rede com o objetivo de fazer com que um computador ou um serviço específico não esteja disponível para usuários da rede. Ataques negação de serviço pode ser difícil se Defender. Para ajudar a impedir ataques negação de serviço, você pode usar um ou ambos dos seguintes métodos:

• Mantenha seu computador atualizado com as últimas correções de segurança. Correções de segurança estão localizadas no seguinte site da Microsoft:
  http://www.microsoft.com/Security (http://www.microsoft.com/security)
• Fortalecer a pilha de protocolos TCP/IP nos computadores Windows Server 2003. A configuração da pilha TCP/IP padrão é ajustada para lidar com o tráfego padrão da intranet. Se você conectar um computador diretamente à Internet, a Microsoft recomenda que você proteger a pilha de TCP/IP contra ataques de negação de serviço.

Valores de registro TCP/IP que o TCP/IP Stack Harden

ImportanteNesta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, podem ocorrer problemas graves se modificar o Registro incorretamente. Portanto, certifique-se de que você execute essas etapas com cuidado. Para maior proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
A lista a seguir explica os relacionados a TCP/IP-valores do registro que podem ser configuradas para fortalecer a pilha do TCP/IP em computadores que estão diretamente conectados à Internet. Todos esses valores devem ser criados sob a seguinte chave do registro, salvo indicação em contrário:

OBSERVAÇÃO:: Todos os valores estão em hexadecimal, salvo indicação em contrário.

• Nome do valor:SynAttackProtect
  Chave:Tcpip\Parameters
  Tipo de valor:REG_DWORD
  Intervalo válido: 0,1
  Padrão: 0
  
  Esse valor do registro faz com que o TCP (Transmission Control Protocol) para o ajuste a retransmissão de SYN-ACKS. Quando você configura esse valor, o tempo limite da conexão respostas mais rapidamente, durante um ataque de SYN (um tipo de negação de ataque de serviço).
  
  Os parâmetros a seguir podem ser usados com esse valor do registro:
  • 0(valor padrão): proteção contra ataque de SYN não
  • 1: O conjuntoSynAttackProtectpara1Para maior proteção contra ataques SYN. Esse parâmetro faz com que o TCP ajuste a retransmissão de SYN-ACKS. Quando você definirSynAttackProtectpara1, respostas de conexão de tempo limite mais rapidamente se o sistema detecta que um ataque SYN está em andamento. Para determinar se um ataque está em andamento, o Windows usa os seguintes valores:
    • TcpMaxPortsExhausted
    • TCPMaxHalfOpen
    • TCPMaxHalfOpenRetried
  Observação:No Windows Server 2003 Service Pack 1 ou posterior, o valor padrão para entrada do registro SynAttackProtect é 1.
  
  Observação:A chave de registro TcpMaxPortsExhausted é obsoleta no Windows XP SP2 e em versões posteriores dos sistemas operacionais Windows.
• Nome do valor:EnableDeadGWDetect(Aplica-se para o Windows 2003 apenas)
  Chave:Tcpip\Parameters
  Tipo de valor:REG_DWORD
  O intervalo válido: 0, 1 (verdadeiro, FALSO)
  Padrão: 1 (VERDADEIRO)
  
  A lista a seguir explica os parâmetros que podem ser usados com esse valor do registro:
  • 1: Quando você definirEnableDeadGWDetectpara1O TCP é permitido para executar a detecção de gateway inativo. Quando a detecção de gateway inativo é ativada, o TCP poderá solicitar o IP (Internet Protocol) para alterar para um gateway de backup, se um número de conexões está tendo dificuldades em. Os gateways de backup são definidos na seção Avançado dasConfiguração de TCP/IPdialog box in the Network tool in Control Panel.
  • 0: Microsoft recommends that you set theEnableDeadGWDetectvalue to0. If you do not set this value to 0, an attack may force the server to switch gateways and cause it to switch to an unintended gateway.
• Value name:EnablePMTUDiscovery
  Key:Tcpip\Parameters
  Value Type:REG_DWORD
  Valid Range: 0, 1 (False, True)
  Default: 1 (True)
  
  The following list explains the parameters that you can use with this registry value:
  • 1: When you setEnablePMTUDiscoverypara1, TCP tries to discover either the maximum transmission unit (MTU) or the largest packet size over the path to a remote host. TCP can remove fragmentation at routers along the path that connect networks with different MTUs by discovering the path MTU and limiting TCP segments to this size. Fragmentation adversely affects TCP throughput.
  • 0: Microsoft recommends that you setEnablePMTUDiscoverypara0. When you do so, an MTU of 576 bytes is used for all connections that are not hosts on the local subnet. If you do not set this value to0, an attacker may force the MTU value to a very small value and overwork the stack.
    
    ImportanteSettingEnablePMTUDiscoverypara0negatively affects TCP/IP performance and throughput. Even though Microsoft recommends this setting, it should not be used unless you are fully aware of this performance loss.
• Value name:KeepAliveTime
  Key:Tcpip\Parameters
  Value Type:REG_DWORD-Time in milliseconds
  Valid Range: 1-0xFFFFFFFF
  Default: 7,200,000 (two hours)
  
  This value controls how frequently TCP tries to verify that an idle connection is still intact by sending a keep-alive packet. If the remote computer is still reachable, it acknowledges the keep-alive packet. Keep-alive packets are not sent by default. You can use a program to configure this value on a connection. The recommended value setting is300,000(5 minutes).
• Value name:NoNameReleaseOnDemand
  Key:Netbt\Parameters
  Value Type:REG_DWORD
  Valid Range: 0, 1 (False, True)
  Default: 0 (False)
  
  This value determines whether the computer releases its NetBIOS name when it receives a name-release request. This value was added to permit the administrator to protect the computer against malicious name-release attacks. Microsoft recommends that you set theNoNameReleaseOnDemandvalue to1.

Troubleshooting

When you change the TCP/IP registry values, you may affect programs and services that are running on the Windows Server 2003-based computer. Microsoft recommends that you test these settings on nonproduction workstations and servers to confirm that they are compatible with your business environment.