Windows Server 2003 hizmet saldırılarını geri çevirme karşı TCP/IP yığını sağlamlaştırmak için

Makale çevirileri Makale çevirileri
Makale numarası: 324270 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Olan bir bilgisayar veya belirli bir hizmete bir bilgisayarda kullanılamaz ağ kullanıcılarının yapma sırasında hedef alan ağ saldırısı (DoS) hizmet reddi saldırılarına. Hizmet reddi saldırılarına karşı savunmak zor olabilir. Hizmet reddi saldırılarını önlemek için aşağıdakilerden bir veya her ikisi de aşağıdaki yöntemlerden birini kullanabilirsiniz:
  • Bilgisayarınızın en son güvenlik düzeltmelerini ile güncel kalmasını sağlayın. Güvenlik düzeltmeleri, aşağıdaki Microsoft Web sitesinde bulunur:
    http://www.Microsoft.com/security
  • Bilgisayarınızı Windows Server 2003 bilgisayarlarda TCP/IP iletişim kuralı yığını sağlamlaştırmak. TCP/IP yığını varsayılan yapılandırması, standart intranet trafiği işlemek için ayarlanan. Bir bilgisayar doğrudan Internet'e bağlarsanız, Microsoft TCP/IP yığını hizmet reddi saldırılarına karşı sağlamlaştırmak önerir.

TCP/IP kayıt defteri kısımlarına Harden TCP/IP yığını değerler

Önemli:Bu bölüm, yöntem veya görev kayıt defterini değiştirme hakkında bilgi adımları içerir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir.. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun.. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın.. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz.. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın::
322756Windows'da kayıt defterini yedekleme ve geri yükleme

Aşağıdaki liste TCP/IP-ilgili açıklayan kayıt defteri değeri, doğrudan Internet'e bağlı bilgisayarlarda TCP/IP yığını sağlamlaştırmak için yapılandırabilirsiniz. Tüm bu değerleri aşağıdaki kayıt defteri anahtarında, aksi belirtilmedikçe oluşturulmalıdır:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
NOT:: Tüm onaltılık olarak aksi belirtilmediği sürece değerlerdir.
  • Değer Adı:SynAttackProtect
    Anahtar::Tcpip\Parameters
    Değer türü:REG_DWORD:
    Geçerli aralık: 0,1
    Varsayılan: 0

    Bu kayıt defteri değerini yeniden iletim SYN-ACKS olarak ayarlamak için İletim Denetimi Protokolü (TCP) neden olur. Ne zaman bu değeri, bağlantı yanıt zaman aşımı (bir hizmet reddi saldırısı türü) SYN saldırısı sırasında daha hızlı bir şekilde yapılandırın.

    Bu kayıt defteri değeri ile aşağıdaki parametreler kullanılabilir:
    • 0(varsayılan değer): Hayır SYN saldırı koruması
    • 1: AyarlayınSynAttackProtectKime:1SYN saldırılara karşı daha iyi koruma için. Bu parametre, TCP SYN-ACKS, yeniden aktarım yapmak neden olur. AyarladığınızdaSynAttackProtectKime:1, bağlantı yanıt zaman aşımı hızlı sistem SYN saldırısı sürüyor olduğunu algılarsa daha fazla. Windows, saldırının sürmekte olup olmadığını belirlemek için aşağıdaki değerleri kullanır:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
    NOT:Windows Server 2003 Service Pack 1 ve sonraki sürümlerinde <a0>SynAttackProtect</a0> kayıt defteri girdisinin varsayılan değeri 1'dir.

    NOT:Windows XP SP2 ve Windows işletim sisteminin sonraki sürümlerinde TcpMaxPortsExhausted kayıt defteri anahtarı geçersiz.
  • Değer Adı:EnableDeadGWDetect(Yalnızca Windows 2003 için geçerlidir)
    Anahtar::Tcpip\Parameters
    Değer türü:REG_DWORD:
    Geçerli aralık: 0, 1 (yanlış, doğru)
    Varsayılan: 1 (doğru)

    Aşağıdaki liste, bu kayıt defteri değeri ile kullanabileceğiniz parametreleri açıklanır:
    • 1: AyarladığınızdaEnableDeadGWDetectKime:1TCP Ölü Ağ geçidi algılaması gerçekleştirmek için izin verilir. TCP, Ölü Ağ geçidi algılaması etkinleştirildiğinde, Internet İletişim Kuralı (yedek bir ağ geçidi bağlantı sayısını zorluk yaşıyorsanız, değiştirmek için IP) isteyebilir. Gelişmiş bölümünde tanımlanan yedek ağ geçitleriTCP/IP yapılandırmasıDenetim Masası'ndaki Ağ aracı iletişim kutusunda.
    • 0: Microsoft, ayarlamanızı önerirEnableDeadGWDetectdeğer0. Bu değer 0'a ayarlamazsanız, saldırının sunucunun ağ geçitleri geçiş ve istenmeyen bir ağ geçidine geçiş yapmak neden zorunlu.
  • Değer Adı:EnablePMTUDiscovery
    Anahtar::Tcpip\Parameters
    Değer türü:REG_DWORD:
    Geçerli aralık: 0, 1 (yanlış, doğru)
    Varsayılan: 1 (doğru)

    Aşağıdaki liste, bu kayıt defteri değeri ile kullanabileceğiniz parametreleri açıklanır:
    • 1: AyarladığınızdaEnablePMTUDiscoveryKime:1TCP bir uzak ana bilgisayar yolu üzerinde en fazla iletim birimi (MTU) ya da en büyük paket boyutunu bulmaya çalışır. TCP hedefin yol MTU keşfetme ve TCP kesimlerinin boyutu Bu sınırlama, farklı MTU değerleri ağları bağlayan yönlendiricilerde yol boyunca parçalanma kaldırabilirsiniz. Parçalanma, TCP çıkışını olumsuz etkiler.
    • 0: Microsoft ayarlamanızı önerir.EnablePMTUDiscoveryKime:0. Bunu yaptığınızda, ana bilgisayar yerel alt ağda bulunan tüm bağlantılar için 576 bayt MTU kullanılır. Varsa, bu değeri ayarlayın.0, bir saldırganın MTU değeri çok küçük bir değere zorlaması ve yığını overwork.

      Önemli:AyarEnablePMTUDiscoveryKime:0TCP/IP performans ve işleme hızı olumsuz yönde etkiler. Even though Microsoft recommends this setting, it should not be used unless you are fully aware of this performance loss.
  • Value name:KeepAliveTime
    Key:Tcpip\Parameters
    Value Type:REG_DWORD-Time in milliseconds
    Valid Range: 1-0xFFFFFFFF
    Default: 7,200,000 (two hours)

    This value controls how frequently TCP tries to verify that an idle connection is still intact by sending a keep-alive packet. If the remote computer is still reachable, it acknowledges the keep-alive packet. Keep-alive packets are not sent by default. You can use a program to configure this value on a connection. The recommended value setting is300,000(5 minutes).
  • Value name:NoNameReleaseOnDemand
    Key:Netbt\Parameters
    Value Type:REG_DWORD
    Valid Range: 0, 1 (False, True)
    Default: 0 (False)

    This value determines whether the computer releases its NetBIOS name when it receives a name-release request. This value was added to permit the administrator to protect the computer against malicious name-release attacks. Microsoft recommends that you set theNoNameReleaseOnDemandvalue to1.

Troubleshooting

When you change the TCP/IP registry values, you may affect programs and services that are running on the Windows Server 2003-based computer. Microsoft recommends that you test these settings on nonproduction workstations and servers to confirm that they are compatible with your business environment.

Özellikler

Makale numarası: 324270 - Last Review: 13 Ocak 2011 Perşembe - Gözden geçirme: 1.1
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Anahtar Kelimeler: 
kbhowtomaster kbmt KB324270 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:324270
Kullanım Dışı Bilgi Bankası İçeriği Yasal Uyarı
Bu makale, Microsoft'un artık destek sağlamadığı ürünler ile ilgili olarak yazılmıştır. Bu nedenle, bu makale "olduğu gibi" sağlanmıştır ve bundan sonra güncelleştirilmeyecektir.

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com