أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

كيفية harden مكدس TCP/IP ضد هجمات رفض الخدمة في Windows Server 2003

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية324270
إخلاء مسؤولية من محتوى قديم في قاعدة المعارف
عن تقديم الدعم التقني لهاو لذلك تظهر هذه المقالة كما هي و لن يتم تحديثها Microsoft تمت كتابة هذه المقالة بخصوص منتجات توقفت
الحصول على إصدار نظام التشغيل Windows 2000 من هذه المقالة، راجع315669.

في هذه المهمة

الموجز
هجمات رفض الخدمة (DoS) هي هجمات الشبكة تهدف جعل جهاز كمبيوتر أو خدمة معينة على جهاز كمبيوتر غير متوفر لمستخدمي شبكة الاتصال. يمكن أن يكون من الصعب على الدفاع عنها ضد هجمات رفض الخدمة. للمساعدة في منع هجمات رفض الخدمة، يمكنك استخدام أحد أو كلا الطريقتين التاليتين:
  • الحفاظ على الكمبيوتر الخاص بك وتحديثه باستخدام أحدث تصحيحات الأمان. تصحيحات الأمان الموجودة على موقع Microsoft التالي على الويب:
  • harden رصة بروتوكول TCP/IP على أجهزة كمبيوتر Windows Server 2003. يتم توليف تكوين مكدس TCP/IP الافتراضية لمعالجة حركة مرور إنترانت القياسية. إذا اتصلت كمبيوتر مباشرة بالإنترنت، توصي Microsoft بأن تقوم harden مكدس TCP/IP ضد هجمات رفض الخدمة.

قيم التسجيل TCP/IP Harden ذلك مكدس TCP/IP

هامهذا المقطع أسلوب أو المهمة على الخطوات التي إخبارك عن كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة في حالة تعديل السجل بطريقة غير صحيحة. ولذلك، تأكد من اتباع هذه الخطوات بعناية. للحصول على الحماية الإضافية، النسخ الاحتياطي للسجل قبل تعديله. وبعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. للحصول على مزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالي لعرض المقالة في قاعدة معارف Microsoft:
322756كيفية عمل نسخة احتياطية من السجل واستعادته في Windows

توضح القائمة التالية TCP/IP-المتعلقة قيم التسجيل التي يمكنك تكوينها ل harden مكدس TCP/IP على أجهزة الكمبيوتر المتصلة مباشرة بالإنترنت. كافة هذه القيم ينبغي إنشاء تحت مفتاح التسجيل التالي، إلا إذا ذكر خلاف ذلك:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
ملاحظة: كافة القيم بالنظام الست عشري ما لم يتم ذكر خلاف ذلك.
  • اسم القيمة:SynAttackProtect
    المفتاح:Tcpip\Parameters
    نوع القيمة:reg_dword
    نطاق صالح: بين 0 و 1
    الافتراضي: 0

    قيمة التسجيل هذه يتسبب بروتوكول تحكم الإرسال (TCP) لضبط إعادة الإرسال من SYN-ACKS. عندما تقوم بتكوين هذه القيمة، اتصال استجابات مهلة أثناء إحدى هجمات SYN (نوع هجوم رفض الخدمة) بسرعة أكبر.

    يمكن استخدام المعلمات التالية مع قيمة التسجيل هذه:
    • 0(القيمة الافتراضية): الحماية من هجمات SYN لا
    • 1: مجموعةSynAttackProtectإلى1لحماية أفضل ضد هجمات SYN. تؤدي هذه المعلمة لضبط إعادة الإرسال من ACKS SYN TCP. عندما تقوم بتعيينSynAttackProtectإلى1، اتصال استجابات مهلة أكثر سرعة في حالة اكتشاف النظام أن هجوم SYN قيد التقدم. يستخدم Windows القيم التالية لتحديد ما إذا كان هجوم قيد التقدم:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
    ملاحظةفي Windows Server 2003 Service Pack 1 أو الأحدث، هو القيمة الافتراضية لإدخال التسجيل SynAttackProtect 1.

    ملاحظةقديم مفتاح التسجيل TcpMaxPortsExhausted في Windows XP SP2 والإصدارات الأحدث من أنظمة تشغيل Windows.
  • اسم القيمة:EnableDeadGWDetect(يطبق على Windows 2003 فقط)
    المفتاح:Tcpip\Parameters
    نوع القيمة:reg_dword
    نطاق صالح: 0، 1 (False, True)
    الافتراضي: 1 (صواب)

    توضح القائمة التالية المعلمات التي يمكنك استخدامها مع قيمة التسجيل هذه:
    • 1: عند تعيينEnableDeadGWDetectإلى1، TCP يسمح بإجراء الكشف dead عبارة. عند تمكين الكشف عبارة dead، قد تطلب TCP بروتوكول إنترنت (IP) لتغيير عبارة النسخ احتياطي إذا واجه صعوبة في عدد من الاتصالات. يتم تعريف العبارات النسخ الاحتياطي في المقطع خيارات متقدمةتكوين TCP/IPمربع الحوار في أداة الشبكة في "لوحة التحكم".
    • 0: Microsoft توصي بأن تقوم بتعيينEnableDeadGWDetectالقيمة إلى0. في حالة عدم تعيين هذه القيمة إلى 0، قد فرض هجوم الملقم للتبديل بين العبارات، مما يؤدي إلى التبديل إلى عبارة غير مقصودة.
  • اسم القيمة:EnablePMTUDiscovery
    المفتاح:Tcpip\Parameters
    نوع القيمة:reg_dword
    نطاق صالح: 0، 1 (False, True)
    الافتراضي: 1 (صواب)

    توضح القائمة التالية المعلمات التي يمكنك استخدامها مع قيمة التسجيل هذه:
    • 1: عند تعيينEnablePMTUDiscoveryإلى1، يحاول TCP اكتشاف وحدة الإرسال القصوى (MTU) أو أكبر حجم الحزمة عبر المسار إلى مضيف بعيد. يمكن إزالة TCP التجزئة في أجهزة التوجيه طول المسار والتي تقوم بتوصيل الشبكات MTUs مختلفة عن طريق اكتشاف وحدة الإرسال الكبرى للمسار، والحد من قطع TCP بهذا الحجم. ويؤثر تجزئة يؤثر بشكل سلبي على سرعة نقل البيانات TCP.
    • 0: توصي Microsoft تعيينEnablePMTUDiscoveryto0. When you do so, an MTU of 576 bytes is used for all connections that are not hosts on the local subnet. If you do not set this value to0, an attacker may force the MTU value to a very small value and overwork the stack.

      هامSettingEnablePMTUDiscoveryto0negatively affects TCP/IP performance and throughput. Even though Microsoft recommends this setting, it should not be used unless you are fully aware of this performance loss.
  • Value name:KeepAliveTime
    Key:Tcpip\Parameters
    Value Type:REG_DWORD-Time in milliseconds
    Valid Range: 1-0xFFFFFFFF
    Default: 7,200,000 (two hours)

    This value controls how frequently TCP tries to verify that an idle connection is still intact by sending a keep-alive packet. If the remote computer is still reachable, it acknowledges the keep-alive packet. Keep-alive packets are not sent by default. You can use a program to configure this value on a connection. The recommended value setting is300,000(5 minutes).
  • Value name:NoNameReleaseOnDemand
    Key:Netbt\Parameters
    Value Type:REG_DWORD
    Valid Range: 0, 1 (False, True)
    Default: 0 (False)

    This value determines whether the computer releases its NetBIOS name when it receives a name-release request. This value was added to permit the administrator to protect the computer against malicious name-release attacks. Microsoft recommends that you set theNoNameReleaseOnDemandvalue to1.

Troubleshooting

When you change the TCP/IP registry values, you may affect programs and services that are running on the Windows Server 2003-based computer. Microsoft recommends that you test these settings on nonproduction workstations and servers to confirm that they are compatible with your business environment.

kbsecurity

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 324270 - آخر مراجعة: 01/13/2011 20:27:00 - المراجعة: 1.1

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition

  • kbhowtomaster kbmt KB324270 KbMtar
تعليقات
/html>ype="text/JavaScript" async=""> var varAutoFirePV = 1; var varClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write(" >