Sommario

L'aggiornamento della protezione MS05-019 modifica le modalità di convalida delle richieste ICMP (Internet Control Message Protocol) per impedire gli attacchi basati sul protocollo ICMP. Tuttavia, in determinate circostanze, l'aggiornamento può causare la perdita della connettività di rete del computer. In questo articolo vengono descritti tre metodi che consentono di impedire il verificarsi di questo problema quando viene installato l'aggiornamento della protezione MS05-019.

Introduzione

In questo articolo vengono illustrate le impostazioni TCP/IP consigliate per i collegamenti WAN (Wide Area Network) con una dimensione MTU (Maximum Transmission Unit, unità massima di trasmissione) inferiore a 576.

Informazioni

Importante In questa sezione, metodo o attività viene illustrato come modificare il Registro di sistema. L'errata modifica del Registro di sistema può causare seri problemi. Attenersi quindi scrupolosamente alla procedura indicata. Per maggiore protezione, eseguire una copia di backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile effettuarne il ripristino in caso di problemi. Per ulteriori informazioni su come eseguire il backup del Registro di sistema e su come ripristinarlo, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

322756 HOW TO: Eseguire il backup, modificare e ripristinare il Registro di sistema in Windows XPL'aggiornamento della protezione MS05-019 modifica le modalità di convalida delle richieste ICMP (Internet Control Message Protocol) limitando la dimensione MTU minima a 576 byte. Lo scopo di tale limitazione è impedire che vengano sferrati attacchi basati su ICMP. Un attacco basato su ICMP può ridurre la dimensione MTU a valori estremamente bassi, che potrebbero causare una significativa riduzione delle prestazioni. Tuttavia, una dimensione MTU limitata a 576 byte può influire su alcuni scenari WAN, ad esempio nel caso di collegamenti satellitari. In tali scenari WAN, la dimensione MTU potrebbe essere inferiore a 576 e la connettività di rete andare perduta. È possibile utilizzare strumenti quali Network Monitor per verificare se si è in presenza di queste condizioni tramite un'analisi di una traccia di rete. Se per le destinazioni con le quali si è persa la connettività di rete è visualizzato un messaggio di destinazione ICMP irraggiungibile con un valore MTU inferiore a 576 sull'hop successivo, si è in presenza di una delle condizioni descritte.In tali circostanze, attenersi a uno dei metodi descritti di seguito. Nota I metodi illustrati di seguito non devono essere applicati se non si è in presenza di una delle circostanze descritte. L'applicazione dei metodi può infatti ridurre la velocità di rete.

Metodo 1: Attivare il rilevamento PMTU (Path Maximum Transfer Unit) dei black hole

Se si attiva la funzionalità di rilevamento PMTU dei black hole, in TCP verrà eseguito un tentativo di inviare segmenti per i quali non è impostato il bit di disattivazione della frammentazione. Tale tentativo verrà eseguito in caso di mancato riconoscimento di varie ritrasmissioni di un segmento. Se il segmento viene riconosciuto, il valore MSS (Maximum Segment Size, dimensione massima del segmento) verrà diminuito e il bit di disattivazione della frammentazione verrà nuovamente impostato per i pacchetti inviati successivamente tramite la connessione. Questo metodo è preferibile perché in esso la dimensione del pacchetto viene ridotta solo per i segmenti problematici. Il rilevamento dei black hole consente di aumentare il numero massimo di ritrasmissioni di uno specifico segmento.Per attivare il rilevamento PMTU dei black hole, attenersi alla seguente procedura:

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK.

  2. Individuare la seguente chiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. Scegliere Nuovo dal menu Modifica, quindi fare clic su Valore DWORD.

  4. Digitare EnablePMTUBHDetect, quindi premere INVIO.

  5. Scegliere Modifica dal menu Modifica.

  6. Nella casella Dati valore digitare 1, quindi scegliere OK.

  7. Chiudere l'editor del Registro di sistema e riavviare il computer.

Metodo 2: Disattivare il rilevamento PMTU

Se si disattiva il rilevamento PMTU, in TCP verranno inviati solo i pacchetti con una dimensione MTU di 576 e per i quali non è impostato il bit di disattivazione della frammentazione. In tal modo si consente ai router la frammentazione e l'invio del pacchetto nelle varie reti. Questo metodo influisce sui pacchetti inviati a qualsiasi destinazione. Nella maggior parte dei casi, con una dimensione di pacchetto pari a 576 le prestazioni saranno a livelli accettabili. Sarebbero, invece, ridotte se si attivasse il rilevamento PMTU e se il percorso supportasse una dimensione MTU superiore a 576.Per disattivare il rilevamento PMTU, attenersi alla seguente procedura:

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK.

  2. Individuare la seguente chiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. Scegliere Nuovo dal menu Modifica, quindi fare clic su Valore DWORD.

  4. Digitare EnablePMTUDiscovery, quindi premere INVIO.

  5. Scegliere Modifica dal menu Modifica.

  6. Nella casella Dati valore digitare 0, quindi scegliere OK.

  7. Chiudere l'editor del Registro di sistema e riavviare il computer.

Metodo 3: Impostare la dimensione MTU per l'interfaccia di rete manualmente

Se si imposta la dimensione MTU per l'interfaccia di rete manualmente, viene sovrascritto il valore MTU predefinito per l'interfaccia di rete. La dimensione MTU è la dimensione massima, espressa in byte, del pacchetto che verrà trasmesso nell'ambito della rete sottostante. Questo metodo influisce sui pacchetti inviati a qualsiasi destinazione e può ridurre in modo significativo le prestazioni, a seconda della dimensione MTU impostata.Per impostare la dimensione MTU per l'interfaccia di rete, attenersi alla seguente procedura:

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK.

  2. Individuare la seguente chiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<ID for network interface>

  3. Scegliere Nuovo dal menu Modifica, quindi fare clic su Valore DWORD.

  4. Digitare MTU, quindi premere INVIO.

  5. Scegliere Modifica dal menu Modifica.

  6. Nella casella Dati valore digitare il valore della dimensione MTU, quindi scegliere OK.

  7. Chiudere l'editor del Registro di sistema e riavviare il computer.

Riferimenti

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

898060 L'installazione dell'aggiornamento della protezione MS05-019 o di Windows Server 2003 Service Pack 1 potrebbe causare l'interruzione della connettività di rete tra client e serverPer ulteriori informazioni sul protocollo TCP/IP, visitare il seguente sito Web Microsoft TechNet (informazioni in lingua inglese):

Panoramica delle reti e del protocollo TCP/IPhttp://technet.microsoft.com/it-it/library/cc739443(en-us).aspx

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.