요약
MS05-019 보안 업데이트는 운영 체제가 ICMP(Internet Control Message Protocol) 요청을 확인하는 방식을 수정합니다. 이 보안 업데이트는 ICMP 기반 공격을 막아줍니다. 그러나 특정 환경에서는 이 보안 업데이트로 인해 컴퓨터의 네트워크 연결이 끊어질 수도 있습니다. 이 문서에서는 MS05-019 보안 업데이트를 설치한 경우 컴퓨터의 네트워크 연결이 끊어지지 않도록 하기 위해 사용할 수 있는 세 가지 방법을 설명합니다.
소개(Introduction)
이 문서에서는 MTU(최대 전송 단위) 크기가 576보다 작은 WAN(광역 네트워크) 링크에 권장되는 TCP/IP 설정에 대해 설명합니다.
추가 정보
중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수도 있으므로 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하는 경우 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
322756 Windows XP 및 Windows Server 2003에서 레지스트리를 백업, 편집 및 복원하는 방법
MS05-019 보안 업데이트는 운영 체제가 ICMP(Internet Control Message Protocol) 요청을 확인하는 방식을 수정합니다. 이 보안 업데이트는 MTU의 최소 크기를 576바이트로 제한합니다. MTU 크기를 제한하는 이유는 ICMP 기반 공격을 막기 위해서입니다. ICMP 기반 공격에 노출되면 MTU 크기가 매우 낮은 값으로 줄어들 수 있으며, MTU 크기가 너무 낮으면 성능이 심각하게 저하될 수 있습니다.
그러나 MTU 크기를 576바이트로 제한하면 위성 링크와 같은 특정 WAN 상황에 영향을 줄 수도 있습니다. 이러한 WAN 상황에서는 MTU 크기가 576보다 작아질 수도 있으며, 이 경우 네트워크 연결이 끊어질 수 있습니다. 네트워크 모니터와 같은 도구를 사용하면 네트워크 추적을 분석하여 이와 같은 상황이 발생하고 있는지 여부를 감지할 수 있습니다. 네트워크 연결이 끊어진 대상에 다음 홉(hop) MTU 값이 576보다 작은 "ICMP Destination Unreachable" 메시지가 나타나면 이러한 상황이 발생한 것입니다.
이와 같이 특수한 상황에서는 아래에 권장되는 방법 중 하나를 사용하는 것이 좋습니다.
참고 위 시나리오와 같은 상황 중 하나를 겪고 있지 않는 경우에는 다음 권장 방법을 사용해서는 안 됩니다. 다음 방법을 사용하면 네트워크 처리량이 감소할 수 있습니다.
방법 1: PMTU(경로 최대 전송 단위) 블랙홀 감지 설정
PMTU(경로 최대 전송 단위) 블랙홀 감지 기능을 설정하면 TCP는 Don't Fragment 비트가 설정되어 있지 않은 세그먼트를 보내려고 시도합니다. TCP는 세그먼트를 여러 번 재전송해도 승인 받지 못하는 경우 이러한 세그먼트를 보내려고 시도합니다. 세그먼트가 승인되면 MSS(최대 세그먼트 크기)가 줄어들고 연결에서 이후에 전송되는 패킷에 Don't Fragment 비트가 설정됩니다.
이 방법은 문제가 있는 세그먼트에 대해서만 패킷 크기가 감소하기 때문에 권장할 만합니다. 블랙홀 감지 기능을 설정하면 특정 세그먼트의 최대 재전송 횟수가 증가합니다.
PMTU 블랙홀 감지 기능을 설정하려면 다음과 같이 하십시오.
-
시작, 실행을 차례로 클릭하고 regedit를 입력한 다음 확인을 클릭합니다.
-
다음 레지스트리 키를 찾습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
-
편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 클릭합니다.
-
EnablePMTUBHDetect를 입력한 다음 Enter 키를 누릅니다.
-
편집 메뉴에서 수정을 클릭합니다.
-
값 데이터 상자에 1을 입력한 다음 확인을 클릭합니다.
-
레지스트리 편집기를 끝낸 후 컴퓨터를 다시 시작합니다.
방법 2: PMTU 검색 해제
PMTU 검색 기능을 해제하면 TCP는 MTU 크기가 576이고 Don't Fragment가 설정되어 있지 않은 패킷만 전송합니다. 이렇게 하면 라우터가 패킷을 조각으로 나누어 네트워크를 통해 전송할 수 있습니다.
이 방법은 모든 대상에 전송되는 패킷에 영향을 줍니다. 패킷의 크기가 576이면 대개의 경우 적절한 수준의 성능을 유지하지만, PMTU 검색 기능이 설정되어 있고 경로에서 576보다 큰 MTU 크기를 지원하는 경우보다는 성능이 낮습니다.
PMTU 검색 기능을 해제하려면 다음과 같이 하십시오.
-
시작, 실행을 차례로 클릭하고 regedit를 입력한 다음 확인을 클릭합니다.
-
다음 레지스트리 키를 찾습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
-
편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 클릭합니다.
-
EnablePMTUDiscovery를 입력한 다음 Enter 키를 누릅니다.
-
편집 메뉴에서 수정을 클릭합니다.
-
값 데이터 상자에 0을 입력한 다음 확인을 클릭합니다.
-
레지스트리 편집기를 끝낸 후 컴퓨터를 다시 시작합니다.
방법 3: 네트워크 인터페이스의 MTU 크기를 수동으로 설정
네트워크 인터페이스의 MTU 크기를 수동으로 설정하는 경우 이 설정은 네트워크 인터페이스의 기본 MTU보다 우선합니다. MTU 크기는 기본 네트워크를 통해 전송되는 패킷의 최대 크기(바이트 단위)입니다.
이 방법은 모든 대상에 전송되는 패킷에 영향을 주며, 설정한 MTU 크기에 따라 성능에 큰 영향을 줄 수도 있습니다.
네트워크 인터페이스의 MTU 크기를 설정하려면 다음과 같이 하십시오.
-
시작, 실행을 차례로 클릭하고 regedit를 입력한 다음 확인을 클릭합니다.
-
다음 레지스트리 키를 찾습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<ID for network interface>
-
편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 클릭합니다.
-
MTU를 입력한 다음 Enter 키를 누릅니다.
-
편집 메뉴에서 수정을 클릭합니다.
-
값 데이터 상자에 MTU 크기 값을 입력한 다음 확인을 클릭합니다.
-
레지스트리 편집기를 끝낸 후 컴퓨터를 다시 시작합니다.
참조
자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
898060 보안 업데이트 MS05-019 또는 Windows Server 2003 서비스 팩 1을 설치한 후 클라이언트와 서버의 네트워크 연결이 실패할 수 있다
TCP/IP에 대한 자세한 내용은 다음 Microsoft TechNet 웹 사이트를 참조하십시오.
네트워킹 및 TCP/IP 개요
http://technet2.microsoft.com/windowsserver/ko/library/be2b68c1-a279-417b-976a-16601b98447a1042.mspx?mfr=true
