Wie Sie TCP/IP-Stacks gegen DoS-Angriffe in Windows Server 2003

Veralteter Haftungsausschluss für KB-Inhalte

Dieser Artikel wurde für Produkte geschrieben, für die Microsoft keinen Support mehr anbietet. Deshalb wird dieser Artikel im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.

Ein Windows 2000-Version dieses Artikels finden Sie unter 315669 .

Zusammenfassung

Dienstverweigerungsangriffen (DoS) sind Netzwerkangriffe Nichtverfügbar machen einen Computer oder einen bestimmten Dienst auf einem Computer für Netzwerkbenutzer sollen. DOS-Angriffe schwierig abzuwehren. Um Dienstverweigerungsangriffe zu vermeiden, können Sie eine oder beide der folgenden Methoden verwenden:
  • Halten Sie Ihren Computer mit den neuesten Sicherheitsupdates aktualisiert. Sicherheitsupdates befinden sich auf der folgenden Microsoft-Website:
  • Sichern Sie TCP/IP-Protokollstapel auf Windows Server 2003-Computer. Die standardmäßige TCP/IP-Konfiguration abgestimmt standard Intranetdatenverkehr verarbeiten. Wenn Sie einen Computer direkt mit dem Internet verbinden, empfiehlt Microsoft, TCP/IP-Stapel gegen DoS-Attacken sichern.

TCP/IP-Registrierungswerte die Absicherung der DLL

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 zum Sichern und Wiederherstellen der Registrierung in Windows

Die folgende Liste erläutert die TCP/IP-bezogenen Registrierungswerte, die Sie konfigurieren können, um TCP/IP-Stack auf Computern abzusichern, die direkt mit dem Internet verbunden sind. Diese Werte sollten unter dem folgenden Registrierungsschlüssel erstellt werden, sofern nicht anders angegeben:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Hinweis: alle Werte sind Hexadezimalzahlen, sofern nicht anders angegeben.
  • Wertname: SynAttackProtect
    Schlüssel: Tcpip\Parameters
    Typ: REG_DWORD
    Gültiger Bereich: 0,1
    Standardwert: 0

    Dieser Registrierungswert zwingt Protokoll TCP (Transmission Control) Weiterverbreitung von SYN-ACKS anpassen. Wenn dieser Wert der Timeout schneller in einen SYN-Angriff (ein Dienstverweigerungsangriff) konfigurieren.

    Mit diesem Registrierungswert können die folgenden Parameter verwendet werden:
    • 0 (Standardwert): No SYN-Angriffsschutzes
    • 1: Set SynAttackProtect auf 1 für verbesserten Schutz vor SYN-Angriffen. Dieser Parameter wird TCP SYN-ACKS Übertragung anpassen. Wenn Sie SynAttackProtect auf 1Timeout schneller festlegen erkennt das System wird ein SYN-Angriff ausgeführt. Windows verwendet die folgenden Werte bestimmt, ob ein Angriff durchgeführt wird:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
    Hinweis In Windows Server 2003 Service Pack 1 und höher ist der Standardwert für den Registrierungseintrag SynAttackProtect 1.

    Hinweis Der Registrierungsschlüssel TcpMaxPortsExhausted ist veraltet in Windows XP SP2 und späteren Versionen von Windows-Betriebssystemen.
  • Wertname: EnableDeadGWDetect (gilt für Windows 2003)

    Schlüssel: Tcpip\Parameters
    Typ: REG_DWORD
    Wertebereich: 0, 1 (falsch, WAHR)
    Standard: 1 (True)

    Die folgende Liste erläutert die Parameter für diesen Registrierungswert verwenden können:
    • 1: beim Festlegen von EnableDeadGWDetect auf 1TCP Dead Gateway Detection ausführen darf. Bei aktiviertem Dead Gateway Detection bitten TCP die IP (Internet Protocol) mit einem backup-Gateway ändern, wenn ein Verbindungsanzahl Probleme aufgetreten sind. Reservegateways werden im Abschnitt Erweitert im Dialogfeld TCP/IP-Konfiguration im Systemsteuerungsprogramm Netzwerk definiert.
    • 0: Microsoft empfiehlt EnableDeadGWDetect Wert auf 0festgelegt. Wenn Sie diesen Wert nicht auf 0 festlegen, kann ein Angriff Server und führen zu einer unbeabsichtigten Gateway wechseln erzwingen.
  • Wertname: EnablePMTUDiscovery
    Schlüssel: Tcpip\Parameters
    Typ: REG_DWORD
    Wertebereich: 0, 1 (falsch, WAHR)
    Standard: 1 (True)

    Die folgende Liste erläutert die Parameter für diesen Registrierungswert verwenden können:
    • 1: Wenn Sie EnablePMTUDiscovery auf 1setzen, versucht TCP die maximale Übertragungseinheit (MTU) oder die größte Paketgröße über den Pfad zu einem Remotehost zu erkennen. TCP entnehmen Fragmentierung bei Routern entlang des Pfads, der Netzwerke mit unterschiedlichen MTUs verbindet die Pfad-MTU und TCP-Segmente auf diese Größe beschränkt. Fragmentierung TCP-Durchsatz.
    • 0: Microsoft empfiehlt EnablePMTUDiscovery auf 0festgelegt. Wenn Sie dies tun, wird eine MTU von 576 Bytes für alle Verbindungen verwendet, keine Hosts im lokalen Subnetz. Wenn Sie diesen Wert nicht auf 0festlegen, kann ein Angreifer einen sehr kleinen Wert den MTU-Wert erzwingen und einen Stapelüberlauf herbeiführen.

      Wichtig EnablePMTUDiscovery negativ auf 0 festlegen wirkt sich auf TCP/IP-Leistung und den Durchsatz. Obwohl diese Einstellung wird empfohlen, sollten sie, wenn Sie diesen Leistungsverlust bewusst sind nicht verwendet.
  • Wertname: KeepAliveTime
    Schlüssel: Tcpip\Parameters
    Typ: REG_DWORD-Zeit in Millisekunden
    Gültiger Bereich: 1-0xFFFFFFFF
    Standardwert: 7.200.000 (zwei Stunden)

    Dieser Wert steuert, wie oft TCP versucht zu überprüfen, ob eine Verbindung im Leerlauf noch verfügbar ist, durch Senden eines Keepalive-Pakets. Wenn der Remotecomputer weiterhin erreichbar ist, erkennt das Keep-alive-Paket an. Keep-alive-Pakete werden nicht standardmäßig gesendet. Eine Programm können Sie diesen Wert für eine Verbindung konfigurieren. Der empfohlene Wert ist 300.000 (5 Minuten).
  • Wertname: NoNameReleaseOnDemand
    Schlüssel: Netbt\Parameters
    Typ: REG_DWORD
    Wertebereich: 0, 1 (falsch, WAHR)
    Standardwert: 0 (falsch)

    Dieser Wert bestimmt, ob der Computer eine Anforderung zur Namensfreigabe empfängt den NetBIOS-Namen frei. Dieser Wert wurde hinzugefügt, den Administrator den Computer gegen Angriffe Namensfreigabe gestatten. Microsoft empfiehlt, den NoNameReleaseOnDemand -Wert auf 1festgelegt.

Problembehandlung:

Wenn Sie die TCP/IP-Registrierungswerte ändern, wirkt sich das Programme und Dienste, die auf dem Windows Server 2003-Computer ausgeführt werden. Microsoft empfiehlt, diese Einstellung auf nicht produktiven Arbeitsstationen und Servern zum Bestätigen Ihrer geschäftlichen Umgebung mit zu testen.

Eigenschaften

Artikelnummer: 324270 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition

Feedback