現在オフラインです。再接続するためにインターネットの接続を待っています

Windows Server 2003 で DoS 攻撃に対して TCP/IP スタックを強化する方法

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

Microsoft Windows 2000 については、次の資料を参照してください。315669
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明

この資料の内容

概要
サービス拒否 (Denial Of Service) 攻撃とは、コンピュータまたはコンピュータ上の特定のサービスをネットワーク ユーザーが利用できないようにすることを目的としたネットワーク攻撃です。サービス拒否攻撃は防御が困難な場合がありますが、次のいずれかまたは両方の対策を行うと、攻撃を防ぐのに役立ちます。
  • 使用しているコンピュータを、常に最新のセキュリティ修正プログラムで更新された状態に保ちます。セキュリティ修正プログラムは、以下のマイクロソフト Web サイトにあります。
  • Windows Server 2003 コンピュータの TCP/IP プロトコル スタックを強化します。デフォルトの TCP/IP スタックの構成は、標準のイントラネット トラフィックを処理するように調整されています。インターネットに直接コンピュータを接続する場合、マイクロソフトでは、サービス拒否攻撃に対して TCP/IP スタックを強化することを推奨します。
先頭に戻る

TCP/IP スタックを強化する TCP/IP のレジストリ値

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。
以下に記載する TCP/IP 関連のレジストリ値を構成して、インターネットに直接接続しているコンピュータの TCP/IP スタックを強化できます。特に指定のない限り、これらの値はすべて以下に示すレジストリ キーの下で作成してください。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
: 特に指定のない限り、値はすべて 16 進です。
  • 値の名前 : SynAttackProtect
    キー : Tcpip\Parameters
    値の種類 : REG_DWORD
    有効な範囲 : 0、1
    デフォルト値 : 0

    このレジストリ値を設定すると、TCP (Transmission Control Protocol) は SYN-ACK の再転送を調節します。この値を構成すると、SYN 攻撃 (サービス拒否攻撃の一種) を受けている間、接続応答のタイムアウト時間が短くなります。

    このレジストリ値に使用できるパラメータは以下のとおりです。
    • 0 (デフォルト値) : SYN 攻撃に対する保護なし
    • 1 : SYN 攻撃に対する保護を強化する場合は、SynAttackProtect 値を 1 に設定します。このパラメータを設定すると、TCP は SYN-ACK の再転送を調整します。SynAttackProtect 値を 1 に設定した場合、SYN 攻撃が行われていることをシステムが検出すると、接続応答のタイムアウト時間が短くなります。Windows では以下の値を使用して、攻撃が行われているかどうかを判断します。
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried

    : Windows Server 2003 Service Pack 1 では、SynAttackProtect レジストリ エントリのデフォルト値は 1 です。
  • 値の名前 : EnableDeadGWDetect
    キー : Tcpip\Parameters
    値の種類 : REG_DWORD
    有効な範囲 : 0、1 (False、True)
    デフォルト値 : 1 (True)

    このレジストリ値に使用できるパラメータは以下のとおりです。
    • 1 : EnableDeadGWDetect 値を 1 に設定した場合、TCP は停止しているゲートウェイの検出を実行できます。停止しているゲートウェイの検出が有効になっていると、多数の接続で障害が発生している場合、TCP は、IP (インターネット プロトコル) に対してバックアップ ゲートウェイへの切り替えを要求できます。バックアップ ゲートウェイは、[コントロール パネル] の [ネットワーク接続] ツールにある [インターネット プロトコル (TCP/IP)のプロパティ] ダイアログ ボックスの [詳細設定] で定義されています。
    • 0 : マイクロソフトでは、EnableDeadGWDetect 値を 0 に設定することを推奨します。この値を 0 に設定しない場合、攻撃によって、サーバーのゲートウェイが強制的に変更され、意図しないゲートウェイに切り替えられることがあります。
  • 値の名前 : EnablePMTUDiscovery
    キー : Tcpip\Parameters
    値の種類 : REG_DWORD
    有効な範囲 : 0、1 (False、True)
    デフォルト値 : 1 (True)

    このレジストリ値に使用できるパラメータは以下のとおりです。
    • 1 : EnablePMTUDiscovery 値を 1 に設定した場合、TCP では、リモート ホストへのパス上の MTU (Maximum Transmission Unit) または最大パケット サイズのいずれかの検出を試みます。パスの MTU を検出して TCP セグメントをこのサイズに制限することによって、パス上にある、MTU の異なるネットワークを接続しているルーターで断片化が発生することを防止できます。断片化は、TCP のスループットに悪影響を及ぼします。
    • 0 : マイクロソフトでは、EnablePMTUDiscovery 値を 0 に設定することを推奨します。この値を 0 に設定した場合、ローカル サブネット上のホスト以外のすべての接続に対して 576 バイトの MTU が使用されます。この値を 0 に設定しない場合、攻撃者によって MTU の値が強制的に非常に小さな値に設定され、スタックに過度の負荷がかかることがあります。

      重要 : EnablePMTUDiscovery 値を 0 に設定すると、TCP/IP のパフォーマンスとスループットに影響が出ます。マイクロソフトではこの設定をお勧めしますが、このパフォーマンスの損失について十分理解しない限りこの設定を使用しないようにしてください。
  • 値の名前 : KeepAliveTime
    キー : Tcpip\Parameters
    値の種類 : REG_DWORD (ミリ秒単位の時間)
    有効な範囲 : 1 ~ 0xFFFFFFFF
    デフォルト値 : 7,200,000 (2 時間)

    この値は、TCP が keep-alive パケットを送信して、アイドル状態の接続が維持されていることを確認する頻度を制御します。リモート コンピュータへの接続が維持されている場合、リモート コンピュータは keep-alive パケットの受信確認応答を行います。keep-alive パケットはデフォルトでは送信されません。接続にこの値を構成するには、プログラムを使用します。推奨値は 300,000 (5 分) です。
  • 値の名前 : NoNameReleaseOnDemand
    キー : Netbt\Parameters
    値の種類 : REG_DWORD
    有効な範囲 : 0、1 (False、True)
    デフォルト値 : 0 (False)

    この値では、コンピュータが名前解放要求を受信したときに、NetBIOS 名を解放するかどうかを指定します。この値は、管理者が、悪質な名前解放攻撃からコンピュータを保護できるようにするために追加されました。マイクロソフトでは、NoNameReleaseOnDemand 値を 1 に設定することを推奨します。
先頭に戻る

トラブルシューティング

TCP/IP のレジストリ値を変更すると、Windows Server 2003 ベースのコンピュータで実行中のプログラムおよびサービスに影響を及ぼすことがあります。マイクロソフトでは、運用中でないワークステーションおよびサーバーでこれらの設定をテストし、ユーザーの実際の運用環境と互換性があることを確認することをお勧めします。

先頭に戻る
kbsecurity
プロパティ

文書番号:324270 - 最終更新日: 01/05/2011 04:16:00 - リビジョン: 2.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition

  • kbhowtomaster KB324270
フィードバック