أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

ملقم إنترنت غير متوفر بسبب من الهجمات الضارة SYN

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية142641
الأعراض
على جهاز كمبيوتر يعمل بنظام التشغيل بروتوكول TCP/IP المتصلة بإنترنت, يتم تقديم بعض أو كافة خدمات شبكة الاتصال غير متوفر ثم تظهر رسائل الخطأ التالية مثل على الشاشة عميل شبكة الاتصال:
تم إعادة تعيين الاتصال بواسطة المضيف البعيد.
قد يحدث هذا العَرض من كافة خدمات الشبكة تقديم غير متوفر أيضًا على كمبيوتر يشغّل نظام تشغيل بخلاف Windows NT أو UNIX على سبيل المثال،.
السبب
تحدث هذه المشكلة عند أصبح الكمبيوتر الهدف من الهجمات الضارة يعرف TCP/IP "Flooding SYN" أو "هجمات SYN."

يمكن استهداف المستخدمين المؤذيين جهاز بأكمله أو خدمة TCP معينة مثل خدمات ويب. الهجوم تركز على بروتوكول TCP المستخدمة من قبل كافة أجهزة الكمبيوتر على الإنترنت ولم يكن خاصة بنظام التشغيل Windows NT.

كيفية عمل Flooding SYN

Flooding SYN يعمل كما يلي:
  • يتم إرسال طلب اتصال TCP (SYN) إلى الكمبيوتر الهدف. عنوان IP المصدر في الحزمة "المخادعة" أو استبدال عنوان ليس قيد الاستخدام على الإنترنت أو الذي ينتمي إلى كمبيوتر آخر. يرسل أحد المهاجمين العديد من هذه SYNs TCP ربط لأعلى العديد من الموارد ممكن على الكمبيوتر الهدف.
  • عند استقبال طلب الاتصال يقوم الكمبيوتر الهدف بتخصيص موارد معالجة وتعقب اتصال جديد ثم يستجيب مع "SYN - ACK". في هذه الحالة، يتم إرسال الاستجابة إلى عنوان IP غير موجود "المُنتحَلة".
  • لم يتم تلقي أية استجابة SYN-ACK. A الافتراضي مكون Windows NT 3.5 x أو 4.0 الكمبيوتر سيقوم بإعادة إرسال 5 SYN-ACK أوقات مضاعفة قيمة المهلة بعد كل إعادة الإرسال. هو قيمة المهلة الأولية ثلاث ثواني ، بحيث يتم محاولة إعادة المحاولات كل 3 أو 6 12 أو 24 والثواني 48. بعد إعادة الإرسال الأخير ثانية 96 مسموح لتمريرها قبل يعطي على تلقي استجابة الكمبيوتر إلغاء تخصيص الموارد التي تم تعيينها جانباً السابقة الاتصال. إجمالي الوقت المنقضي موارد قيد ثانية 189.

كيفية التحقق من جهاز الكمبيوتر الخاص بك ضمن هجوم SYN

إذا كنت تشك في أن يكون الكمبيوتر الهدف الهجوم SYN يمكنك كتابة الأمر التالي في موجه الأوامر لعرض الاتصالات في حالة "SYN_RECEIVED":
netstat tcp -p & - n
قد يؤدي هذا الأمر النص التالي أن تظهر على الشاشة:
الاتصالات النشطة
      Proto  Local Address         Foreign Address       State      TCP    127.0.0.1:1030        127.0.0.1:1032        ESTABLISHED      TCP    127.0.0.1:1032        127.0.0.1:1030        ESTABLISHED      TCP    10.57.8.190:21        10.57.14.154:1256     SYN_RECEIVED      TCP    10.57.8.190:21        10.57.14.154:1257     SYN_RECEIVED      TCP    10.57.8.190:21        10.57.14.154:1258     SYN_RECEIVED      TCP    10.57.8.190:21        10.57.14.154:1259     SYN_RECEIVED      TCP    10.57.8.190:21        10.57.14.154:1260     SYN_RECEIVED      TCP    10.57.8.190:21        10.57.14.154:1261     SYN_RECEIVED      TCP    10.57.8.190:21        10.57.14.154:1262     SYN_RECEIVED      TCP    10.57.8.190:21        10.57.14.154:1263     SYN_RECEIVED      TCP    10.57.8.190:21        10.57.14.154:1264     SYN_RECEIVED      TCP    10.57.8.190:21        10.57.14.154:1265     SYN_RECEIVED      TCP    10.57.8.190:21        10.57.14.154:1266     SYN_RECEIVED      TCP    10.57.8.190:4801      10.57.14.221:139      TIME_WAIT				
إذا كان عدد كبير من الاتصالات في حالة SYN_RECEIVED من الممكن وجود النظام ضمن الهجوم. يمكن استخدام محلل شبكة اتصال لتعقب المشكلة إضافية ثم قد تكون ضرورية اتصل "بموفر خدمة إنترنت" للحصول على مساعدة في محاولة تتبع المصدر.

يختلف تأثير تجربة لأعلى الموارد اتصال استناداً إلى مكدس TCP/IP وتطبيقات الاستماع على منفذ TCP. بالنسبة لمعظم مكدسات هناك حد على عدد الاتصالات التي يمكن أن يكون في حالة فتح نصف (SYN_RECEIVED). بمجرد الوصول إلى الحد الأقصى منفذ TCP محددة, الكمبيوتر الهدف يستجيب مع إعادة تعيين إضافية كافة طلبات الاتصال حتى يتم تحرير الموارد.
الحل
الحصول على تحديث التالية لـ Windows NT 3.51 أو في أحدث الخدمة Pack لـ Windows NT 4.0

تلتزم لتوفير الحماية الممكنة أفضل من هذه الهجمات من داخل نظام التشغيل Windows NT Microsoft و قام بها عدد من التغييرات الخاصة به TCP/IP المكونات المتوفرة إلى العملاء في استجابة هذا التهديد.

تم تصميم الحماية من هجمات هذا المفتاح العمومي ويقوم بتعيين مفاتيح الأخرى الواردة في المقالة إلى قيم الفعالة المعروفة لاحقاً. تجنب هذا المفتاح الحاجة guess المسؤول قيم تقدم حماية معظم المتعلقة بها. من المستحسن جداً أن يتم استخدام المفاتيح العمومية التالية:

SynAttackProtect
مفتاح: Tcpip\Parameters
قيمة نوع: REG_DWORD
نطاق صالح: 0 أو 1 أو 2
0 (لا يوجد الحماية synattack)
1 (تقليل إعادة محاولات إعادة الإرسال تأخير إنشاء RCE (توجيه إدخال ذاكرة التخزين المؤقت) إذا كان يتم توفيرها TcpMaxHalfOpen وإعدادات TcpMaxHalfOpenRetried.)
2 (بالإضافة إلى 1 إجراء إشارة مؤجل إلى Winsock.)

ملاحظة: عندما النظام عن نفسه ضمن الهجوم الخيارات التالية على مأخذ توصيل أي لم يعد تمكين: الإطارات sScalable (RFC 1323) لكل محول تكوين معلمات TCP (الأولية RTT ، حجم الإطار). وهذا لأن عندما يعمل الحماية من يطالب إدخال ذاكرة التخزين المؤقت التوجيه لا قبل إرسال SYN-ACK خيارات Winsock غير متوفرة في هذه المرحلة من الاتصال.

الافتراضي: 0 (False)
توصية: 2
وصف: تتضمن حماية Synattack مما يؤدي إلى إنقاص مقدار عمليات إعادة إرسال من أجل SYN-ACKS ، الذي سيتم تقليل الوقت التي لها موارد يبقى المخصصة. تم تأجيل تخصيص موارد إدخال ذاكرة التخزين المؤقت توجيه حتى يتم إجراء اتصال. إذا كان synattackprotect = 2، ثم يتم تأخيرها الاتصال على إشارة إلى AFD حتى يتم إكمال تبادل الإشارات طريقة ثلاثة. لاحظ أيضاً أن الإجراءات التي تستخدمها تقنية حماية تحدث فقط إذا تم تجاوز TcpMaxHalfOpen وإعدادات TcpMaxHalfOpenRetried.

ملاحظة: مفاتيح التالية يجب فقط يتم تبديل إذا قام proven المفتاح العمومي أعلاه عدم فاعلية أو إصابة حدود مورد محدد.

يتم هنا سرد التغييرات:
********************************************************************  1. Tcpip.sys times out half-open connections faster            ********************************************************************				
إصدار جديد من Tcpip.sys قد تم إنتاج يسمح سوف يتم إعادة إرسال التحكم في عدد مرات طلب استجابة اتصال TCP (SYN-ACK). تتم معالجة عنصر التحكم من خلال معلمة تسجيل جديدة:
  HKEY_LOCAL_MACHINE  \SYSTEM   \CurrentControlSet    \Services     \Tcpip      \Parameters       \TcpMaxConnectResponseRetransmissions           Value Type: REG_DWORD           Valid Range: 0-0xFFFFFFFF           Default: 2				
الآن هو القيمة الافتراضية لهذه المعلمة 3. يعرض الجدول التالي سلوك Windows NT 4.0 TCP/IP قيم متنوعة هذه المعلمة:
Value  Retransmission Times  Elapsed Time  Comments3      3, 6, and 12 seconds  45 seconds    Cleanup 24 secs after last retx2      3, and 6 seconds      21 seconds    Cleanup 12 secs after last retx1      3 seconds             9  seconds    Cleanup 6  secs after last retx				
هذه التغييرات المعلمة الوقت الافتراضي التي تأخذ لتنظيف اتصال TCP نصف فتح من الثواني 189 إلى 45 ثانية ثم توفر تحكم أكثر المحبب إلى المسؤول. قد موقع تحت الهجوم كثيف بتعيين القيمة منخفضة إلى حد مثل "1". قيمة "0" أيضاً صالح; ومع إذا تم تعيين هذه المعلمة إلى 0، SYN-ACKs سوف لا يتم إعادة إرسال في كافة ثم سيقوم المهلة في 3 ثوان. قد تفشل محاولات الاتصال شرعية من عملاء بعيد مع قيمة منخفضة هذه.
********************************************************************  2. NetBT has a Higher, Configurable Backlog                    ********************************************************************				
NetBT (NetBIOS عبر TCP/IP) يستخدم منفذ TCP 139 و يُستخدم بواسطة "خدمات الشبكة" مثل مشاركة الطباعة والملفات. يحتوي الإصدار 3.51 و 4.0 NetBT "backlog" الاتصال كتل المتوفرة التي هو بالإضافة ثنائي إلى رقم تزايدي استناداً إلى عملاء NetBT (مثل معيد التوجيه الملقم و أية تطبيقات NetBIOS قيد التشغيل). على ملقم نموذجية يكون هذا الرقم 7-11. إصدار جديد من NetBT قد تم إنتاج التي يخصصها تلقائياً من كتل الاتصال حسب الحاجة, بطريقة للتكوين.

حدث اتصال تشغيل الآن فحصه لرؤية ما إذا كان عدد الكتل الحرة أقل من 2 ويضيف إذا كان الأمر كذلك، "زيادة" عدد كتل, حيث "زيادة" قابل للتكوين في التسجيل كما هو موضح هنا:
  HKEY_LOCAL_MACHINE  \SYSTEM   \CurrentControlSet    \Services     \NetBt      \Parameters       \BacklogIncrement           Value Type: REG_DWORD           Valid Range: 1-0x14  (1-20 decimal)           Default: 3				
يستهلك كل كتلة اتصال 78 بايت من الذاكرة. إجمالي عدد الكتل الاتصال التي يمكن تخصيصها بواسطة NetBT أيضاً التسجيل للتكوين:
  HKEY_LOCAL_MACHINE  \SYSTEM   \CurrentControlSet    \Services     \NetBt      \Parameters       \MaxConnBackLog           Value Type: REG_DWORD           Valid Range: 1-0x9c40 (1-40,000 decimal)           Default: 1000				
MaxConnBackLog الافتراضي إلى 1000 ولكن يمكن أن يكون تعيين كبيرة مثل 40.000. يتم الاتصال كتل "مسح" أو إعادة استخدامها, عندما SYN-ACK انتهاء صلاحية جهاز ضبط وقت إعادة الإرسال ويفشل TCP محاولة الاتصال.
********************************************************************  3. Afd.sys has been modified to withstand large numbers of     **     "half-open" connections efficiently                         ********************************************************************				
تطبيقات Windows Sockets مثل ftp وملقمات ويب لها محاولات الاتصال بهم تمت معالجتها بواسطة Afd.sys. تم تعديل Afd.sys لدعم عدد كبير من الاتصالات في حالة "نصف - فتح" دون رفض الوصول إلى عملاء شرعية. ويتم تحقيق ذلك بواسطة السماح المسؤول لتكوين backlog حيوية.

يدعم الإصدار الجديد من Afd.sys أربعة معلمات التسجيل الجديدة التي يمكن استخدامها للتحكم في سلوك backlog الحيوية.

EnableDynamicBacklog تبديل عمومي لتمكين أو تعطيل backlog الحيوية. الافتراضي 0 (إيقاف) ويوفر هذا الإعداد أي تغيير من الإصدارات الموجودة. تعيين إلى 1 إلى تمكين ميزة backlog الحيوية الجديدة.
  HKEY_LOCAL_MACHINE  \SYSTEM   \CurrentControlSet    \Services     \AFD      \Parameters       \EnableDynamicBacklog           Value Type: REG_DWORD           Valid Range: 0,1           Default: 0           Suggested value for a system under heavy attack: 1				
MinimumDynamicBacklog يتحكم أقل عدد ممكن من الاتصالات الحرة المسموح بها على نقطة نهاية للإصغاء. إذا عدد الاتصالات الحرة "أقل من هذه القيمة ثم يتم بقائمة الانتظار مؤشر ترابط لإنشاء اتصالات حرة إضافية. هذه القيمة يجب أن لا يتم إجراء كبير جداً, كما engages رمز backlog الحيوية كلما عدد الاتصالات الحرة يقع أسفل هذه القيمة. كبير جداً قيمة قد يؤدي إلى تقليل أداء.
  HKEY_LOCAL_MACHINE  \SYSTEM   \CurrentControlSet    \Services     \AFD      \Parameters       \MinimumDynamicBacklog           Value Type: REG_DWORD           Valid Range: 0-0xFFFFFFFF           Default: 0           Suggested value for a system under heavy attack: 20				
MaximumDynamicBacklog التحكم في الحد الأقصى لعدد الاتصالات "quasi-free" المسموح بها على نقطة نهاية للإصغاء. تتضمن اتصالات "quasi-free" عدد الاتصالات الحرة بالإضافة إلى تلك الاتصالات في حالة نصف - متصل (SYN_RECEIVED). يتم إجراء أية محاولة إنشاء اتصالات حرة إضافية إذا كان ذلك يؤدي إلى تجاوز هذه القيمة.
  HKEY_LOCAL_MACHINE  \SYSTEM   \CurrentControlSet    \Services     \AFD      \Parameters       \MaximumDynamicBacklog           Value Type: REG_DWORD           Valid Range: 0-0xFFFFFFFF           Default: 0           Suggested value for a system under heavy attack: Memory           dependent. We recommend that this value does not exceed 20000 (decimal). This prevents exhaustion of the non-paged pool when under attack. 				
DynamicBacklogGrowthDelta يتحكم عدد الاتصالات الحرة لإنشاء عند الضرورية اتصالات إضافية. كن حذراً مع هذه القيمة كما قد يؤدي قيمة كبيرة إلى عمليات تخصيص اتصال الحرة تفجيري.
  HKEY_LOCAL_MACHINE  \SYSTEM   \CurrentControlSet    \Services     \AFD      \Parameters       \DynamicBacklogGrowthDelta           Value Type: REG_DWORD           Valid Range: 0-0xFFFFFFFF           Default: 0           Suggested value for a system under heavy attack: 10 (0xa)				
MaximumDynamicBacklog ،
للاستفادة من التغييرات إلى Afd.sys ، يجب على تطبيقات Windows Sockets بشكل خاص طلب backlog أكبر من قيمة تكوين MinimumDynamicBacklog عندما يقومون بإصدار استدعاء listen() الخاصة بهم. تطبيقات Microsoft مثل "ملقم معلومات إنترنت" (الذي له backlog افتراضي من 25) قابلة للتكوين. تتوفر التفاصيل الخاصة بالتطبيق من قاعدة المعارف لـ Microsoft في: تتوفر برامج تشغيل تم تعديلها من أجل Windows NT 3.51 وإرشادات حول تثبيت عليها من القنوات دعم Microsoft أو من موقع إنترنت التالية:
ftp://ftp.microsoft.com/bussys/winnt /winnt-public/fixes/usa/nt351/hotfixes-postsp5/syn-attack
تصريح

Windows NT 4.0

تم تصحيح هذه المشكلة في أحدث Microsoft Windows NT الأمريكية الخدمة Pack لـ Windows NT 4.0. للحصول على معلومات حول كيفية الحصول على "حزمة الخدمات" الاستعلام الكلمة التالية في "قاعدة المعارف لـ Microsoft:
servpack

Windows NT 3.51

أقرت Microsoft قد تنتج هذه المشكلة في بعض درجة من مشكلة عدم حصانة الأمان في Windows NT الإصدار 3.51. إصلاح دعماً كاملاً متوفر الآن إلا أنه لم يتم بشكل كامل اختبار الانحدار و يجب تطبيقه فقط على أنظمة لتكون في خطر الهجوم. الرجاء تقييم النظام الخاص بك الوصول الفعلي "و" الشبكة "and" الاتصال بالإنترنت "و" العوامل الأخرى لتحديد درجة المخاطرة إلى النظام. إذا كان النظام الخاص بك بشكل كاف للخطر ، توصي Microsoft بتطبيق هذا الإصلاح. وإلا، ينتظر Windows NT حزمة الخدمة التالية ، التي تحتوي على هذا الإصلاح. الرجاء الاتصال بالدعم الفني لـ Microsoft للحصول على مزيد من المعلومات.
معلومات أخرى
إضافة هذه التغييرات على التسجيل قد تؤثر معاكس على الكتلة Exchange Microsoft.

يبدأ Microsoft Exchange الكتلة (Exres.dll) بشكل متكرر اتصالات بالمنافذ SMTP و IMAP POP3 و HTTP لاختبار الإتاحة. تشبه الاختبارات جلسة telnet إلى المنفذ 25 أو 143 110 أو 80.

في حالة نجاح هذه الاختبارات، يعرف الكتلة تتوفر للمستخدمين الخدمات و علامات كـ "Alive". في حالة عدم نجاح الاختبارات مسؤول الكتلة علامة المورد كما هو دون اتصال في "مسؤول الكتلة" ويقوم بتسجيل حدث في سجل التطبيق. الحدث:

نوع الحدث: خطأ
مصدر الحدث: MSExchangeCluster
فئة الحدث: خدمات
معرّف الحدث: 2074
التاريخ: date
الوقت: time
المستخدم: N/A
جهاز الكمبيوتر: computer name
وصف: SMTP "الظاهري Server مثيل"-(125-VS2-NAME): فشلت "خدمة الكتلة" isalive التحقق من المورد.

CERT يتسلل فيض برفض خدمة المتطفلين الهجوم على الكمبيوتر

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 142641 - آخر مراجعة: 02/20/2007 23:11:31 - المراجعة: 5.3

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 3.51, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86)

  • kbmt kbnetwork KB142641 KbMtar
تعليقات
/html>&t=">script type="text/javascript" src="https://c.microsoft.com/ms.js">