Защите против атак на службу в Windows Server 2003 стек протокола TCP/IP

Переводы статьи Переводы статьи
Код статьи: 324270 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Отказ в обслуживании (DoS) атаки являются сетевых атак, направлены на предоставление компьютера или конкретной службы на компьютере недоступными для пользователей сети. Отказ в обслуживании может быть трудно Если защитить. Чтобы предотвратить подобные атаки, можно использовать один или оба из следующих способов:
  • Устанавливать на компьютер последние исправления безопасности. Исправления для системы безопасности, находятся на веб-узле корпорации Майкрософт:
    http://www.Microsoft.com/Security
  • Усилить защиту стека протокола TCP/IP в Windows Server компьютеры, 2003. Настройки стека TCP/IP по умолчанию настроены для обработки трафик стандартной внутренней сети. Если подключение компьютера к Интернету, Корпорация Майкрософт рекомендует, защищающую стека TCP/IP от отказа в обслуживании атаки.

Стек TCP/IP, Harden значений реестра TCP/IP

Важные Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Тем не менее при неправильном изменении реестра, могут возникнуть серьезные проблемы. Таким образом Убедитесь, что внимательно выполните следующие действия. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра Windows

В следующем списке описаны TCP/IP-связанных значения реестра, которые можно настроить укрепить безопасность стек TCP/IP на компьютерах который непосредственно подключен к Интернету. Все эти значения должны быть создан в следующем разделе реестра, если не указано иное.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
ПРИМЕЧАНИЕВсе значения являются в шестнадцатеричном формате, если не указано иное.
  • Имя параметра: SynAttackProtect
    Ключ: Tcpip\Parameters
    Тип значения: REG_DWORD
    Допустимый диапазон: 0,1
    По умолчанию: 0

    Данный реестр значение приводит к протоколу TCP (Transmission Control) для настройки перед повторной SYN-ПОДТВЕРЖДЕНИЯ. При настройке этого значения ответов время ожидания соединения нескольких быстро во время атаки SYN (тип атаки отказа в обслуживании).

    В следующие параметры могут использоваться с помощью этого параметра реестра:
    • 0 (значение по умолчанию): защита от атак SYN нет
    • 1: Набор SynAttackProtect Кому 1 для лучшей защиты от атак SYN. Этот параметр вызывает Настройка передач Подтверждения SYN TCP. При установке SynAttackProtect Кому 1, ответы на время ожидания соединения быстрее, если система обнаруживает что атака SYN уже выполняется. Windows использует следующие значения Определите, является ли атака выполняется:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
    ПримечаниеВ Windows Server 2003 с пакетом обновления 1 или более поздней значение по умолчанию параметра реестра SynAttackProtect равен 1.

    Примечание В разделе реестра TcpMaxPortsExhausted является устаревшим в Windows XP с пакетом обновления 2 и более поздних версиях операционных систем Windows.
  • Имя параметра: EnableDeadGWDetect (Применяется только к Windows 2003)
    Ключ: Tcpip\Parameters
    Тип значения: REG_DWORD
    Допустимый диапазон значений: 0, 1 (False, True)
    По умолчанию: 1 (ИСТИНА)

    В следующем списке описаны параметры, которые можно использовать с помощью этого значения реестра:
    • 1: Во время установки EnableDeadGWDetect Кому 1TCP разрешено выполнять dead шлюзов. Когда включена функция обнаружения шлюза Dead, TCP может попросить протокола Интернета (IP) для Измените резервный шлюз, если число подключений уровень сложности. Резервные шлюзы определяются в разделе "Дополнительно" из Настройка TCP/IP диалоговое окно «Сеть» панели управления.
    • 0: Корпорация Майкрософт рекомендует устанавливать EnableDeadGWDetect значение для 0. Если это значение не задано равным 0, атака может принудительно сервер для переключения шлюзов и вызвать его, чтобы переключиться на непредвиденные шлюз.
  • Имя параметра: EnablePMTUDiscovery
    Ключ: Tcpip\Parameters
    Тип значения: REG_DWORD
    Допустимый диапазон значений: 0, 1 (False, True)
    По умолчанию: 1 (ИСТИНА)

    В следующем списке описаны параметры, которые можно использовать с помощью этого значения реестра:
    • 1: Во время установки EnablePMTUDiscovery Кому 1TCP пытается обнаружить либо максимальный блок данных (MTU) или максимальный размер пакета каналу, ведущему к удаленному узлу. Можно удалить TCP фрагментацию на пути, соединяющем сети с другой Обнаружив путь MTU и ограничив сегменты TCP этим размером MTU. Фрагментация отрицательно сказывается на пропускной способности TCP.
    • 0: Корпорация Майкрософт рекомендует устанавливать EnablePMTUDiscovery Кому 0. При этом размера MTU до 576 байт используется для всех подключений которые не являются узлами локальной подсети. Если это значение не задано 0, злоумышленник может заставить значение MTU для очень маленьких значение и заниженное стека.

      Важные Параметр EnablePMTUDiscovery Кому 0 негативно влияет на пропускную способность и производительность TCP/IP. Несмотря на то, что корпорация Майкрософт рекомендует этот параметр, его не следует использовать только полностью учитывать эти потери производительности.
  • Имя параметра: KeepAliveTime
    Ключ: Tcpip\Parameters
    Тип значения: REG_DWORD-время в миллисекундах
    Допустимый диапазон значений: 1-0xFFFFFFFF
    По умолчанию: 7,200,000 (два часов)

    Это значение определяет количество попыток протокола TCP проверить, время простоя соединения могут быть получены с помощью отправки пакета проверки активности. Если удаленный компьютер по-прежнему доступен, он подтверждает пакета проверки активности. Активный по умолчанию пакеты не отправляются. Программу можно использовать для настройки этого параметра для подключения. Рекомендуемое значение параметра — 300 000 (5 минут).
  • Имя параметра: NoNameReleaseOnDemand
    Ключ: Netbt\Parameters
    Тип значения: REG_DWORD
    Допустимый диапазон значений: 0, 1 (False, True)
    По умолчанию: 0 (ЛОЖЬ)

    Это значение определяет, будет ли компьютер освобождает его Имя NetBIOS при получении запроса на освобождение имени. Это значение было добавлено позволяет администратору, чтобы защитить компьютер от вредоносных освобождение имени атаки. Корпорация Майкрософт рекомендует устанавливать NoNameReleaseOnDemand значение для 1.

Устранение неполадок

При изменении значений реестра TCP/IP могут повлиять на программы и службы, запущенные на основе Windows Server 2003 компьютер. Корпорация Майкрософт рекомендует проверить эти настройки на Непроизводственные рабочие станции и серверы, чтобы убедиться, что они совместимы с вашим бизнесом среда.

Свойства

Код статьи: 324270 - Последний отзыв: 8 июня 2011 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Ключевые слова: 
kbhowtomaster kbmt KB324270 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:324270
Заявление об отказе относительно содержимого статьи о продуктах, поддержка которых прекращена
Эта статья содержит сведения о продуктах, поддержка которых корпорацией Майкрософт прекращена. Поэтому она предлагается как есть и обновляться не будет.

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com