Come rafforzamento dello stack TCP/IP contro gli attacchi denial of service in Windows 2000

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 315669
Questo articolo è stato archiviato. L’articolo, quindi, viene offerto “così come è” e non verrà più aggiornato.
Sommario
Gli attacchi di negazione del servizio sono attacchi di rete che lo scopo sono di rendere un computer o un particolare servizio su un computer non disponibile agli utenti di rete. La protezione rispetto a questo tipo di attacchi può essere difficile da conseguire. Per tentare di evitarli, utilizzare uno o entrambi i seguenti metodi:
  • Aggiornare costantemente il computer con le correzioni ai problemi di protezione più recenti. Le correzioni ai problemi di protezione sono disponibili sul seguente sito Web Microsoft:
  • Protezione dello stack protocollo TCP/IP in Windows 2000 Workstation e server. La configurazione predefinita TCP/IP dello stack è ottimizzata per gestire il traffico di rete intranet normale. Se ci si connette un computer direttamente a Internet, è consigliabile che si rafforzamento dello stack TCP/IP contro attacchi di tipo denial of service.
back to the top

Valori di registro TCP/IP in grado di rendere più forte lo stack TCP/IP

importante Questa sezione, metodo o l'attività sono contenute procedure viene illustrato come modificare il Registro di sistema. Tuttavia, possono causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi che questa procedura con attenzione. Per maggiore protezione, è eseguire il backup del Registro di sistema prima di modificarlo. È quindi possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756Come eseguire il backup e il ripristino del Registro di sistema in Windows

Nell'elenco riportato di seguito vengono descritti i relativi a TCP/IP del Registro di sistema valori per il che è possibile configurare per potenziare lo stack TCP/IP nei computer direttamente connessi a Internet. Tutti questi valori si trovano sotto la seguente chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Nota : tutti i valori sono esadecimale, salvo diversamente.
  • Nome valore: SynAttackProtect
    Chiave: Tcpip\Parameters
    Valore di tipo: REG_DWORD
    Intervallo valido: 0,1,2
    Per impostazione predefinita: 0

    Questo valore di registro fa sì che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Quando lo si configura questo valore, le risposte di connessione scadono più rapidamente in caso di attacco SYN (un tipo di attacco denial of service).

    Nell'elenco seguente vengono descritti i parametri che è possibile utilizzare con questo valore del Registro di sistema:
    • 0 (valore predefinito): set SynAttackProtect su 0 per la protezione tipica nei confronti di attacchi SYN.
    • 1 : set SynAttackProtect su 1 per una migliore protezione dagli attacchi SYN. Questo parametro fa sì che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Quando si imposta SynAttackProtect su 1 , risposte di connessione scadono più rapidamente se viene visualizzato che è un attacco SYN in corso. Windows utilizza i valori seguenti per determinare se l'attacco è in corso:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
      Nota La chiave del Registro di sistema di TcpMaxPortsExhausted è obsoleta in Windows XP SP2 e in sistemi operativi successivi.
    • 2 : set SynAttackProtect su 2 per la protezione migliore nei confronti di attacchi SYN. Questo valore aggiunge ulteriori ritardi a indicazioni di connessione e connessione TCP richiede rapido timeout quando un attacco SYN è in corso. Questo parametro è l'impostazione consigliata.

      Nota : le opzioni di socket seguenti non funzionano per qualsiasi socket quando si imposta il valore SynAttackProtect su 2 :
      • Finestre scalabili
      • Parametri TCP configurati su ogni scheda (compresi RTT iniziale e la finestra dimensioni)
  • Nome valore: EnableDeadGWDetect
    Chiave: Tcpip\Parameters
    Valore di tipo: REG_DWORD
    Intervallo valido: 0, 1 (false, true)
    Valore predefinito: 1 (true)

    Nell'elenco seguente vengono descritti i parametri che è possibile utilizzare con questo valore del Registro di sistema:
    • 1 : quando si imposta EnableDeadGWDetect su 1 , TCP è consentito eseguire il rilevamento dei gateway inattivi. Quando il rilevamento di gateway inattivi è abilitato, TCP può chiedere al protocollo IP (Internet Protocol) di passare a un gateway di backup se per alcune connessioni ci sono dei problemi. I gateway di backup sono definiti nella sezione Avanzate della finestra di dialogo configurazione TCP/IP nel Pannello di controllo rete.
    • 0 : è consigliabile impostare EnableDeadGWDetect su 0 . Se non si imposta questo valore su 0 , è possibile che un attacco imporre al server a cambiare gateway per passare a un gateway indesiderato.
  • Nome valore: EnablePMTUDiscovery
    Chiave: Tcpip\Parameters
    Valore di tipo: REG_DWORD
    Intervallo valido: 0, 1 (false, true)
    Valore predefinito: 1 (true)

    Nell'elenco seguente vengono descritti i parametri che è possibile utilizzare con questo valore del Registro di sistema:
    • 1 : quando si imposta EnablePMTUDiscovery su 1 , TCP tenta di individuare l'unità massima di trasmissione (MTU) oppure dimensione del pacchetto quindi più grande sul percorso di un host remoto. TCP è in grado di eliminare la frammentazione sui router lungo il percorso che connette le reti con MTU diversi rilevando il MTU di percorso e limitando i segmenti TCP a questa dimensione. La frammentazione influisce negativamente sulla velocità effettiva del protocollo TCP.
    • 0 : è consigliabile impostare EnablePMTUDiscovery su 0 . Quando si esegue questa operazione, viene utilizzata una MTU di 576 byte per tutte le connessioni non sono host sulla subnet locale. Se non si imposta questo valore su 0 , un utente malintenzionato potrebbe imporre un valore molto basso il valore MTU e sovraccaricare lo stack.

      importante Impostando EnablePMTUDiscovery su 0 negativamente riguarda la prestazioni TCP/IP e la velocità di trasmissione. Anche se Microsoft consiglia di questa impostazione, non deve essere utilizzato se non si è pienamente consapevoli di questa perdita di prestazioni.
  • Nome valore: KeepAliveTime
    Chiave: Tcpip\Parameters
    Tipo valore: REG_DWORD-tempo in millisecondi
    Intervallo valido: 1-0xFFFFFFFF.
    Valore predefinito: 7,200,000 (due ore)

    Questo valore controlla la frequenza con cui TCP tenta di verificare che una connessione inattiva è ancora intatta inviando un pacchetto keep-alive. Se il sistema remoto è ancora raggiungibile, riconosce il pacchetto keepalive. I pacchetti keepalive non vengono inviati per impostazione predefinita. Per configurare questo valore per una connessione, utilizzare un apposito programma. L'impostazione di valore consigliato è 300.000 (5 minuti).
  • Nome valore: NoNameReleaseOnDemand
    Chiave: Netbt\Parameters
    Valore di tipo: REG_DWORD
    Intervallo valido: 0, 1 (false, true)
    Per impostazione predefinita: 0 (false)

    Questo valore determina se il computer rivela il nome NetBIOS quando riceve una richiesta in tal senso. Questo valore è stato aggiunto per consentire all'amministratore di proteggere il computer da attacchi di rilascio dei nomi. È consigliabile impostare il valore NoNameReleaseOnDemand su 1 (valore predefinito).

    Nota : È necessario essere utilizza Windows 2000 Service Pack 2 (SP2) o versione successiva per utilizzare il valore NoNameReleaseOnDemand .

back to the top

Risoluzione dei problemi

Quando si modificano i valori del Registro di sistema di TCP/IP, è possibile che venga influenzati programmi e servizi che sono in esecuzione sul computer basato su Windows 2000. Si consiglia di verificare queste impostazioni su workstation non di produzione e server per verificare che siano compatibili con l'ambiente aziendale.

back to the top




Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 315669 - Ultima revisione: 12/07/2015 08:35:41 - Revisione: 5.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional Edition

  • kbnosurvey kbarchive kbmt kbhowtomaster KB315669 KbMtit
Feedback