Защите стека TCP/IP против атак на службу в Windows 2000

ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.

Эта статья на английском языке:315669
Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
Аннотация
Отказ в обслуживании, сетевых атак, которые направлены на внесение компьютера или конкретной службы на компьютере недоступна для пользователей сети. Отказ в обслуживании может быть трудно защититься. Чтобы предотвратить подобные атаки, можно использовать один или оба из следующих способов:
  • Устанавливать на компьютер последние исправления безопасности. Исправления для системы безопасности, находятся на веб-узле корпорации Майкрософт:
  • Усилить защиту стека протоколов протокола (TCP/IP) на серверах и рабочих станциях под управлением Windows 2000. Настройки стека TCP/IP по умолчанию настроены для обработки трафика обычный интрасети. Подключение компьютера к Интернету напрямую, рекомендуется, защищающую стека протоколов TCP/IP к отказу в обслуживании.
back to the top

Стек TCP/IP, Harden значений реестра TCP/IP

Важные Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Тем не менее при неправильном изменении реестра, могут возникнуть серьезные проблемы. Таким образом Убедитесь, что внимательно выполните следующие действия. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра Windows

Ниже перечислены относящиеся TCP/IP значения реестра, которые можно настроить на стек TCP/IP на компьютерах, которые напрямую подключены к Интернету, т.е. Все эти значения расположены в следующем разделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
ПРИМЕЧАНИЕВсе значения являются в шестнадцатеричном формате, если не указано иное.
  • Имя параметра: SynAttackProtect
    Ключ: Tcpip\Parameters
    Тип значения: REG_DWORD
    Допустимый диапазон: 0,1,2
    По умолчанию: 0

    Это значение реестра вызывает протокол TCP (Transmission Control) для корректировки передач SYN-Подтверждения. При настройке этого значения времени ожидания подключения ответы гораздо быстрее в случае возникновения атаки SYN (тип атаки отказа в обслуживании).

    Ниже перечислены параметры, которые можно использовать с помощью этого значения реестра.
    • 0 (значение по умолчанию): Установка SynAttackProtect Кому 0 для обычной защиту от атак SYN.
    • 1: Набор SynAttackProtect Кому 1 для лучшей защиты от атак SYN. Этот параметр приводит к скорректировать повторной отправки Подтверждения SYN TCP. При установке SynAttackProtect Кому 1, время ожидания соединения ответов несколько быстрее, если оказывается, что SYN атаки в данный момент. Чтобы определить, если атака выполняется в Windows используются следующие значения:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
      Примечание В разделе реестра TcpMaxPortsExhausted является устаревшим в Windows XP с пакетом обновления 2 и более поздних операционных системах Windows.
    • 2: Набор SynAttackProtect Кому 2 для наилучшей защиты от атак SYN. Это значение добавляет дополнительные задержки подключения указаний и TCP-соединение запрашивает быстро время ожидания во время атаки SYN. Этот параметр является рекомендуемым.

      ПРИМЕЧАНИЕ: Следующие параметры сокетов не работают на любой сокета при установке SynAttackProtect значение для 2:
      • Масштабируемая windows
      • Параметры TCP, которые настроены на каждом адаптере (включая размер окна и начальное время приема-Передачи)
  • Имя параметра: EnableDeadGWDetect
    Ключ:Tcpip\Parameters
    Тип значения: REG_DWORD
    Допустимый диапазон: 0, 1 (False, True)
    По умолчанию: 1 (ИСТИНА)

    Ниже перечислены параметры, которые можно использовать с помощью этого значения реестра.
    • 1: Во время установки EnableDeadGWDetect Кому 1TCP разрешено выполнять dead шлюзов. При включении dead шлюзов TCP может попросить протокола Интернета (IP) изменение резервный шлюз, если число подключений возникают сложности. Резервные шлюзы определяются в разделе "Дополнительно" из Настройка TCP/IP диалоговое окно панели управления сети.
    • 0: Рекомендуется установить EnableDeadGWDetect Кому 0. Если это значение не задано 0, атака может заставить сервер для переключения шлюзов и вызвать его, чтобы переключиться на непредвиденные шлюза.
  • Имя параметра: EnablePMTUDiscovery
    Ключ: Tcpip\Parameters
    Тип значения: REG_DWORD
    Допустимый диапазон: 0, 1 (False, True)
    По умолчанию: 1 (ИСТИНА)

    Ниже перечислены параметры, которые можно использовать с помощью этого значения реестра.
    • 1: Во время установки EnablePMTUDiscovery Кому 1TCP пытается обнаружить наибольший размер передаваемых данных (MTU) или выберите максимальный размер пакета каналу, ведущему к удаленному узлу. TCP может исключить фрагментацию на пути, соединяющем сети с разными MTU, обнаружив путь MTU и ограничив сегменты TCP этим размером. Фрагментация отрицательно сказывается на пропускной способности TCP.
    • 0: Рекомендуется установить EnablePMTUDiscovery Кому 0. При этом размера MTU до 576 байт используется для всех подключений, которые не являются узлами локальной подсети. Если это значение не задано 0, злоумышленник может заставить значение MTU для очень маленьких значение и заниженное стека.

      Важные Параметр EnablePMTUDiscovery Кому 0 негативно влияет на пропускную способность и производительность TCP/IP. Несмотря на то, что корпорация Майкрософт рекомендует этот параметр, его не следует использовать только полностью учитывать эти потери производительности.
  • Имя параметра: KeepAliveTime
    Ключ: Tcpip\Parameters
    Тип значения: REG_DWORD-время в миллисекундах
    Допустимый диапазон значений: 1-0xFFFFFFFF
    По умолчанию: 7,200,000 (два часа)

    Это значение определяет количество попыток протокола TCP проверить, что неактивное подключение могут быть получены с помощью отправки пакета проверки активности. Если удаленный компьютер по-прежнему доступен, он подтверждает пакета проверки активности. По умолчанию пакеты проверки активности не отправляются. Программу можно использовать для настройки этого значения на подключение. Рекомендуемое значение параметра — 300 000 (5 минут).
  • Имя параметра: NoNameReleaseOnDemand
    Ключ: Netbt\Parameters
    Тип значения: REG_DWORD
    Допустимый диапазон: 0, 1 (False, True)
    По умолчанию: 0 (ЛОЖЬ)

    Это значение определяет, будет ли компьютер освобождает свое имя NetBIOS при получении запроса на освобождение имени. Это значение было добавлено администратор сможет защитить компьютер от вредоносных атак, освобождение имени. Рекомендуется установить NoNameReleaseOnDemand значение для 1 (значение по умолчанию).

    ПРИМЕЧАНИЕ: Необходимо использовать Windows 2000 с пакетом обновления 2 (SP2) или более поздней версии NoNameReleaseOnDemand значение.

back to the top

Устранение неполадок

При изменении значений реестра TCP/IP могут повлиять на программах и службах, запущенных на компьютере под управлением Windows 2000. Рекомендуется проверить эти параметры без рабочих станций и серверов, убедитесь, что они совместимы с бизнес-среде.

back to the top




Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 315669 — последний просмотр: 12/07/2015 08:35:42 — редакция: 4.0

операционная система Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional Edition

  • kbnosurvey kbarchive kbhowtomaster kbmt KB315669 KbMtru
Отзывы и предложения