Sammanfattning
Säkerhetsuppdatering MS05-019 ändrar hur operativsystemet verifierar ICMP-förfrågningar (Internet Control Message Protocol). Den här säkerhetsuppdateringen förhindrar ICMP-baserade attacker. Under speciella omständigheter kan den den här säkerhetsuppdateringen emellertid göra så att datorns nätverksförbindelse bryts. I den här artikeln beskrivs tre metoder som gör det enklare att förhindra att datorns nätverksförbindelse bryts när säkerhetsuppdatering MS05-019 installeras.
Inledning
I den här artikeln beskrivs rekommenderade TCP/IP-inställningar för WAN-länkar med en MUT-storlek (Maximum Transmission Unit) som är mindre än 576.
Mer Information
Viktigt! Den här artikeln innehåller information om hur du redigerar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Om du vill veta mer om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322756 Säkerhetskopiera, redigera och återställa registret i Windows XP och Windows Server 2003
Säkerhetsuppdatering MS05-019 ändrar hur operativsystemet verifierar ICMP-förfrågningar (Internet Control Message Protocol). Den här säkerhetsuppdateringen begränsar den lägsta MTU-storleken till 576 bytes. MTU-storleken begränsas för att förhindra ICMP-baserade attacker. En ICMP-baserad attack kan minska MTU-storleken till ett mycket lågt värde. En mycket liten MTU-storlek sänker prestandan avsevärt.
En MTU-storlek som begränsas till 576 bytes kan påverka vissa scenarier med globala nätverk, t. ex. satellitlänkar. I dessa scenarier kan MTU-storleken vara mindre än 576. I sådana scenarier kan förbindelsen brytas. Med verktyg som Network Monitor kan du ta reda på om det är ett sådant scenario genom att analysera nätverksspåret. Det är ett sådant scenario om måldatorn som nätverksförbindelsen har brutits till har ICMP-meddelanden om att en måldator inte går att nå, där MTU-värdet för nästa hopp är mindre än 576.
Under dessa speciella omständigheter bör du följa rekommendationerna nedan.
Obs! Du ska inte använda följande rekommendationer om du inte upplever något av dessa scenarier. Följande rekommendationer kan försämra genomströmningen i nätverket.
Metod 1: Aktivera PMTU-upptäckt (Path Maximum Transfer Unit) av svarta hål
Om du aktiverar funktionen PMTU-upptäckt (Path Maximum Transfer Unit) av svarta hål, försöker TCP att skicka segment som inte har biten Don't Fragment (Fragmentera inte) angiven. TCP försöker att skicka dessa segment om flera nya sändningar av ett segment inte bekräftas. Om ett segment bekräftas minskar MSS (Maximum Segment Size) och biten Fragmentera inte anges i framtida paket för anslutningen.
Den här metoden är att föredra eftersom paketstorleken bara minskar för det problematiska segmentet. Identifiering av svarta hål ökar det högsta antalet nya sändningar för ett visst segment.
Så här aktiverar du PMTU-upptäckt av svarta hål:
-
Klicka på Start, Kör, skriv regedit och klicka på OK.
-
Leta reda på följande nyckel i registret:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
-
Peka på Ny/Nytt på Redigera-menyn, och klicka sedan på DWORD-värde.
-
Skriv EnablePMTUBHDetect och tryck på RETUR.
-
Klicka på Ändra på Redigera-menyn.
-
Skriv 1 i rutan Data, och klicka sedan på OK.
-
Avsluta Registereditorn och starta om datorn.
Metod 2: Inaktivera PMTU-upptäckt
Om du inaktiverar PMTU-upptäckt skickar TCP bara paket som har en MTU-storlek på 576 och som inte har biten Fragmentera inte angiven. Då kan routrarna fragmentera paketet och skicka det via nätverken.
Den här metoden påverkar paket som skickas till alla måldatorer. För det mesta blir prestandan godtagbar när paketstorleken är 576. Prestandan minskar emellertid om PMTU-upptäckt har aktiverats och sökvägen stödjer en MTU-storlek som är större än 576.
Så här inaktiverar du PMTU-upptäckt:
-
Klicka på Start, Kör, skriv regedit och klicka på OK.
-
Leta reda på följande nyckel i registret:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
-
Peka på Ny/Nytt på Redigera-menyn, och klicka sedan på DWORD-värde.
-
Skriv EnablePMTUDiscovery och tryck på RETUR.
-
Klicka på Ändra på Redigera-menyn.
-
Skriv 0 i rutan Data, och klicka sedan på OK.
-
Avsluta Registereditorn och starta om datorn.
Metod 3: Ange MTU-storleken för nätverksgränssnittet manuellt
Om du anger MTU-storleken för ett nätverksgränssnitt manuellt, gäller den inställningen framför standard-MTU för nätverksgränssnittet. MTU-storleken är den maximala paketstorleken i byte som överförs via det underliggande nätverket.
Den här metoden påverkar paket som skickas till alla måldatorer och kan påverka prestandan avsevärt, beroende på vilken MTU-storlek som du har angett.
Så här anger du MTU-storlek för nätverksgränssnittet:
-
Klicka på Start, Kör, skriv regedit och klicka på OK.
-
Leta reda på följande nyckel i registret:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<ID for network interface>
-
Peka på Ny/Nytt på Redigera-menyn, och klicka sedan på DWORD-värde.
-
Skriv MTU och tryck på RETUR.
-
Klicka på Ändra på Redigera-menyn.
-
Skriv värdet på MTU-storleken i rutan Data och klicka på OK.
-
Avsluta Registereditorn och starta om datorn.
Referenser
Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
898060 Klienter och servrar kan tappa kontakten efter installation av säkerhetsuppdateringen MS05-019 eller Windows Server 2003 Service Pack 1
Mer information om TCP/IP finns på webbplatsen för Microsoft TechNet:
Översikt över nätverk och TCP/IP
http://technet2.microsoft.com/windowsserver/en/library/be2b68c1-a279-417b-976a-16601b98447a1033.mspx