Зараз ви перебуваєте в автономному режимі; очікується повторне підключення до Інтернету

Máy chủ Internet không sẵn dùng vì của độc hại SYN tấn công

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:142641
TRIỆU CHỨNG
Trên một máy tính đang chạy TCP/IP giao thức và đó kết nối Internet, một số hoặc tất cả các dịch vụ mạng được kết xuất không có sẵn, và thông báo lỗi như sau đây xuất hiện trên màn hình mạng lưới khách hàng:
Kết nối đã được thiết lập lại bởi máy chủ từ xa.
Triệu chứng này của tất cả các dịch vụ mạng được thực hiện không sẵn dùng cũng có thể xảy ra trên một máy tính chạy hệ điều hành khác ngoài Windows NT, Ví dụ, UNIX.
NGUYÊN NHÂN
Vấn đề này xảy ra khi máy tính đã trở thành mục tiêu của một cuộc tấn công độc hại còn được gọi là TCP/IP "syn Flooding" hoặc "SYN tấn công."

Độc hại người dùng có thể nhắm mục tiêu một toàn bộ máy, hoặc một dịch vụ TCP cụ thể như dịch vụ web. Cuộc tấn công là tập trung vào giao thức TCP được sử dụng bởi tất cả các máy tính trên các Internet, và không cụ thể cho các hệ điều hành Windows NT.

Cách SYN Flooding hoạt động

SYN Flooding hoạt động như sau:
 • Một yêu cầu kết nối TCP (SYN) được gửi đến mục tiêu máy tính. Địa chỉ IP nguồn trong gói dữ liệu "lừa đảo", hoặc thay thế bằng một Địa chỉ đó là không sử dụng trên Internet, hoặc mà thuộc về khác máy tính. Một kẻ tấn công sẽ gửi cho nhiều người trong số những SYNs TCP để tie như nhiều người tài nguyên càng tốt trên máy tính mục tiêu.
 • Sau khi nhận được yêu cầu kết nối, máy tính mục tiêu phân bổ nguồn lực để xử lý và theo dõi các kết nối mới, sau đó phản ứng với một "SYN-ACK". Trong trường hợp này, các phản ứng được gửi đến "spoofed" không tồn tại Địa chỉ IP.
 • Không có phản ứng nhận được để SYN-ACK. Một mặc định cấu hình Windows NT 3.5 x hoặc máy tính 4,0 sẽ retransmit SYN-ACK 5 lần, tăng gấp đôi giá trị time-out sau mỗi retransmission. Ban đầu gian chờ giá trị là ba giây, do đó, retries đang cố gắng lúc 3, 6, 12, 24, và 48 giây. Sau khi các retransmission cuối, 96 giây được phép vượt qua trước khi máy tính cho đến ngày nhận được một phản ứng, và deallocates các tài nguyên đã được thiết lập trước đó sang một bên cho kết nối. Tổng số trôi qua thời gian nguồn lực được sử dụng là 189 giây.

Làm thế nào để xác minh rằng máy tính của bạn đang bị một SYN tấn công

Nếu bạn nghi ngờ rằng máy tính của bạn là mục tiêu của một SYN tấn công, bạn có thể gõ lệnh sau tại dấu nhắc lệnh để xem các kết nối trong nhà nước "syn_received":
netstat - n -p tcp
Lệnh này có thể gây ra văn bản sau đây để xuất hiện trên màn hình của bạn:
Hoạt động kết nối
   Proto Local Address     Foreign Address    State   TCP  127.0.0.1:1030    127.0.0.1:1032    ESTABLISHED   TCP  127.0.0.1:1032    127.0.0.1:1030    ESTABLISHED   TCP  10.57.8.190:21    10.57.14.154:1256   SYN_RECEIVED   TCP  10.57.8.190:21    10.57.14.154:1257   SYN_RECEIVED   TCP  10.57.8.190:21    10.57.14.154:1258   SYN_RECEIVED   TCP  10.57.8.190:21    10.57.14.154:1259   SYN_RECEIVED   TCP  10.57.8.190:21    10.57.14.154:1260   SYN_RECEIVED   TCP  10.57.8.190:21    10.57.14.154:1261   SYN_RECEIVED   TCP  10.57.8.190:21    10.57.14.154:1262   SYN_RECEIVED   TCP  10.57.8.190:21    10.57.14.154:1263   SYN_RECEIVED   TCP  10.57.8.190:21    10.57.14.154:1264   SYN_RECEIVED   TCP  10.57.8.190:21    10.57.14.154:1265   SYN_RECEIVED   TCP  10.57.8.190:21    10.57.14.154:1266   SYN_RECEIVED   TCP  10.57.8.190:4801   10.57.14.221:139   TIME_WAIT				
Nếu một số lớn các kết nối đang trong các SYN_RECEIVED nhà nước, nó có thể là hệ thống bị tấn công. Một mạng lưới phân tích có thể được sử dụng để theo dõi vấn đề hơn nữa, và nó có thể là cần thiết liên hệ với nhà cung cấp dịch vụ của bạn để được trợ giúp trong việc water nguồn.

Các hiệu ứng của kiểu gõ lên kết nối tài nguyên khác nhau, tùy thuộc vào ngăn xếp TCP/IP và các ứng dụng nghe trên cổng TCP. Cho ngăn xếp hầu hết, đó là một giới hạn về số lượng các kết nối có thể trong những nửa-mở (SYN_RECEIVED) tiểu bang. Một khi giới hạn đạt đến cho một cổng TCP nhất định, máy tính mục tiêu đáp ứng với một thiết lập lại tất cả hơn nữa yêu cầu kết nối cho đến khi nguồn tài nguyên được giải thoát.
GIẢI PHÁP
Có được cập nhật sau đây cho Windows NT 3.51 hoặc các mới nhất Service Pack cho Windows NT 4.0

Microsoft được cam kết cung cấp sự bảo vệ tốt nhất có thể chống lại các cuộc tấn công từ bên trong các Hệ điều hành Windows NT và đã thực hiện một số thay đổi cho TCP/IP của nó các thành phần có sẵn cho khách hàng để đáp ứng với mối đe dọa này.

Điều này toàn cầu phím đã được thiết kế để bảo vệ chống lại các cuộc tấn công và tập hợp các phím khác đề cập đến sau này trong bài viết để được biết có hiệu quả các giá trị. Phím này để tránh có đoán quản trị về những giá trị sẽ cung cấp nhiều nhất bảo vệ. Nó được khuyên rằng toàn cầu phím sau đây sử dụng:

SynAttackProtect
Key: Tcpip\Parameters
Loại giá trị: REG_DWORD
Phạm vi hợp lệ: 0, 1, 2
0 (không có bảo vệ synattack)
1 (Giảm retransmission retries và trì hoãn RCE (tuyến đường bộ nhớ cache entry) tạo ra nếu các cài đặt TcpMaxHalfOpen và TcpMaxHalfOpenRetried là ổn thỏa.)
2 (thêm vào 1 một dấu hiệu chậm trễ để Winsock được thực hiện.)

LƯU Ý: Khi hệ thống thấy chính nó đang bị tấn công các tùy chọn sau đây vào bất kỳ ổ cắm có thể không còn có hiệu lực: sScalable windows (RFC 1323) và mỗi bộ điều hợp cấu hình các tham số TCP (ban đầu RTT, kích thước cửa sổ). Điều này là bởi vì khi bảo vệ là hoạt động các tuyến đường bộ nhớ cache entry không được truy vấn trước khi các SYN-ACK được gửi và Winsock tùy chọn không có sẵn ở giai đoạn này của các kết nối.

Mặc định: 0 (sai)
Khuyến nghị: 2
Mô tả: Synattack bảo vệ liên quan đến việc giảm số lượng retransmissions cho SYN-ACKS, sẽ giảm thời gian mà tài nguyên có thể vẫn còn được phân bổ. Việc phân bổ các tuyến đường bộ nhớ cache entry tài nguyên là bị trì hoãn cho đến khi kết nối được thực hiện. Nếu synattackprotect = 2, sau đó kết nối vào dấu hiệu để AFD là bị trì hoãn cho đến khi bắt tay ba chiều là hoàn thành. Cũng lưu ý rằng hành động thực hiện bởi cơ chế bảo vệ chỉ xảy ra nếu cài đặt TcpMaxHalfOpen và TcpMaxHalfOpenRetried vượt quá.

LƯU Ý: Các phím sau đây chỉ nên được thay đổi nếu các bên trên toàn cầu phím đã chứng minh là không hiệu quả hoặc giới hạn tài nguyên cụ thể đang được nhấn.

Những thay đổi được liệt kê dưới đây:
******************************************************************** 1. Tcpip.sys times out half-open connections faster      ********************************************************************				
Một phiên bản mới của Tcpip.sys đã sản xuất mà cho phép kiểm soát số lần một đáp ứng một yêu cầu kết nối TCP (SYN-ACK) sẽ được retransmitted. Kiểm soát được xử lý thông qua một cơ quan đăng ký mới tham số:
 HKEY_LOCAL_MACHINE \SYSTEM  \CurrentControlSet  \Services   \Tcpip   \Parameters    \TcpMaxConnectResponseRetransmissions      Value Type: REG_DWORD      Valid Range: 0-0xFFFFFFFF      Default: 2				
Giá trị mặc định cho tham số này bây giờ là 3. Các bảng dưới đây cho thấy hành vi của Windows NT 4.0 TCP/IP cho các giá trị khác nhau về điều này tham số:
Value Retransmission Times Elapsed Time Comments3   3, 6, and 12 seconds 45 seconds  Cleanup 24 secs after last retx2   3, and 6 seconds   21 seconds  Cleanup 12 secs after last retx1   3 seconds       9 seconds  Cleanup 6 secs after last retx				
Tham số này thay đổi thời gian mặc định mà phải mất để làm sạch lên một kết nối TCP nửa-mở từ 189 giây đến 45 giây, và cung cấp hơn hột kiểm soát cho các quản trị viên. Một trang web mà là dưới nặng cuộc tấn công có thể thiết lập giá trị nhỏ nhất là "1". Một giá trị của "0" cũng là hợp lệ; Tuy nhiên Nếu tham số này được đặt thành 0, SYN-ACKs sẽ không được retransmitted ở tất cả, và sẽ thời gian ra trong 3 giây. Với giá trị này thấp, hợp pháp kết nối nỗ lực từ xa xôi khách hàng có thể không.
******************************************************************** 2. NetBT has a Higher, Configurable Backlog          ********************************************************************				
NetBT (NetBIOS trên TCP/IP) sử dụng cổng TCP 139 và là được sử dụng bởi Microsoft mạng dịch vụ như tập tin và in chia sẻ. Phiên bản 3.51 và 4,0 NetBT có một backlog"" kết nối khối có sẵn mà là hai cộng với một số gia tăng tùy thuộc vào khách hàng NetBT (chẳng hạn như redirector, hệ phục vụ, và bất kỳ ứng dụng NetBIOS chạy). Trên máy phục vụ điển hình, con số này sẽ có 7-11. Một phiên bản mới của NetBT đã được sản xuất mà tự động phân bổ nhiều kết nối khối khi cần thiết, một cách cấu hình.

Trên một sự kiện kết nối, nó bây giờ kiểm tra để xem nếu số lượng miễn phí khối dưới đây là 2, và nếu như vậy, cho biết thêm một số "tăng" khối, nơi "tăng" là cấu hình trong registry như được hiển thị ở đây:
 HKEY_LOCAL_MACHINE \SYSTEM  \CurrentControlSet  \Services   \NetBt   \Parameters    \BacklogIncrement      Value Type: REG_DWORD      Valid Range: 1-0x14 (1-20 decimal)      Default: 3				
Mỗi khối kết nối tiêu thụ 78 byte bộ nhớ. Các Tổng số kết nối khối mà có thể được cấp phát bởi NetBT là cũng đăng ký cấu hình:
 HKEY_LOCAL_MACHINE \SYSTEM  \CurrentControlSet  \Services   \NetBt   \Parameters    \MaxConnBackLog      Value Type: REG_DWORD      Valid Range: 1-0x9c40 (1-40,000 decimal)      Default: 1000				
MaxConnBackLog mặc định để 1000, nhưng có thể là đặt là cao như 40.000. Kết nối khối "scavenged", hoặc tái chế, khi SYN-ACK retransmission bộ đếm thời gian hết hạn và TCP không cố gắng kết nối.
******************************************************************** 3. Afd.sys has been modified to withstand large numbers of   **   "half-open" connections efficiently             ********************************************************************				
Các ứng dụng Windows Sockets chẳng hạn như các máy chủ ftp và các máy chủ web có nỗ lực kết nối của họ xử lý bởi Afd.sys. AFD.SYS đã cải tiến để hỗ trợ một số lượng lớn các kết nối trong trạng thái "nửa-mở" Nếu không có từ chối truy cập cho khách hàng hợp pháp. Điều này được thực hiện bằng cách cho phép người quản trị phải cấu hình một backlog năng động.

Phiên bản mới của AFD.sys hỗ trợ bốn tham số sổ đăng ký mới có thể sử dụng để kiểm soát các năng động backlog hành vi.

EnableDynamicBacklog là một chuyển đổi toàn cầu để bật hoặc vô hiệu hóa năng động backlog. Nó mặc định để 0 (ra), và cài đặt này cung cấp không có thay đổi từ các phiên bản hiện tại. Thiết lập nó để 1 cho phép mới tính năng động backlog.
 HKEY_LOCAL_MACHINE \SYSTEM  \CurrentControlSet  \Services   \AFD   \Parameters    \EnableDynamicBacklog      Value Type: REG_DWORD      Valid Range: 0,1      Default: 0      Suggested value for a system under heavy attack: 1				
MinimumDynamicBacklog kiểm soát số lượng tối thiểu miễn phí các kết nối được phép trên một điểm cuối nghe. Nếu số lượng miễn phí các kết nối giảm xuống dưới giá trị này, sau đó một sợi xếp hàng đợi để tạo ra các kết nối miễn phí bổ sung. Giá trị này không nên được thực hiện quá lớn, như các năng động backlog mã tham gia bất cứ khi nào số lượng kết nối miễn phí té ngã dưới đây giá trị này. Quá lớn một giá trị có thể dẫn đến một sự giảm hiệu suất.
 HKEY_LOCAL_MACHINE \SYSTEM  \CurrentControlSet  \Services   \AFD   \Parameters    \MinimumDynamicBacklog      Value Type: REG_DWORD      Valid Range: 0-0xFFFFFFFF      Default: 0      Suggested value for a system under heavy attack: 20				
MaximumDynamicBacklog kiểm soát số lượng tối đa "quasi-free" các kết nối được phép trên một điểm cuối nghe. "Quasi-free" các kết nối bao gồm số lượng các kết nối miễn phí cộng với những kết nối trong một nửa - liên bang (SYN_RECEIVED). Cố gắng không được thực hiện để tạo bổ sung các kết nối miễn phí nếu làm như vậy sẽ vượt quá giá trị này.
 HKEY_LOCAL_MACHINE \SYSTEM  \CurrentControlSet  \Services   \AFD   \Parameters    \MaximumDynamicBacklog      Value Type: REG_DWORD      Valid Range: 0-0xFFFFFFFF      Default: 0      Suggested value for a system under heavy attack: Memory      dependent. We recommend that this value does not exceed 20000 (decimal). This prevents exhaustion of the non-paged pool when under attack. 				
DynamicBacklogGrowthDelta kiểm soát số lượng miễn phí các kết nối để tạo ra khi các kết nối bổ sung là cần thiết. Cẩn thận với giá trị này, như là một giá trị lớn có thể dẫn tới nổ kết nối miễn phí phân bổ.
 HKEY_LOCAL_MACHINE \SYSTEM  \CurrentControlSet  \Services   \AFD   \Parameters    \DynamicBacklogGrowthDelta      Value Type: REG_DWORD      Valid Range: 0-0xFFFFFFFF      Default: 0      Suggested value for a system under heavy attack: 10 (0xa)				
MaximumDynamicBacklog,
Để tận dụng lợi thế của những thay đổi để Afd.sys, Các ứng dụng Windows Sockets phải cụ thể yêu cầu một backlog lớn hơn giá trị cấu hình cho MinimumDynamicBacklog khi họ phát hành của họ listen() cuộc gọi. Các ứng dụng của Microsoft như Internet thông tin máy chủ (trong đó có một mặc định backlog của 25) được cấu hình. Ứng dụng cụ thể chi tiết có sẵn từ cơ sở kiến thức Microsoft tại: Sửa đổi trình điều khiển cho Windows NT 3.51 và hướng dẫn để cài đặt chúng có sẵn từ các kênh hỗ trợ Microsoft hoặc từ vị trí Internet sau:
FTP://FTP.Microsoft.com/bussys/WINNT /winnt-public/fixes/usa/nt351/hotfixes-postsp5/syn-attack
TÌNH TRẠNG

Windows NT 4.0

Vấn đề này đã được sửa chữa tại mới nhất của Microsoft Windows NT Hoa Kỳ gói dịch vụ dành cho Windows NT 4.0. Thông tin về việc thu thập các Dịch vụ gói, truy vấn sau đây từ trong cơ sở kiến thức Microsoft:
SERVPACK

Windows NT 3.51

Microsoft đã xác nhận vấn đề này có thể dẫn đến một số mức độ lỗ hổng bảo mật trong Windows NT Phiên bản 3,51. Một sửa chữa hoàn toàn được hỗ trợ là bây giờ có sẵn, nhưng nó đã không hoàn toàn hồi qui được thử nghiệm và chỉ nên áp dụng cho hệ thống xác định rủi ro bị tấn công. Xin vui lòng đánh giá của bạn hệ thống của khả năng truy cập vật lý, mạng và kết nối Internet và khác yếu tố để xác định mức độ rủi ro cho hệ thống của bạn. Nếu hệ thống của bạn đủ nguy cơ, Microsoft khuyến cáo bạn áp dụng sửa chữa. Nếu không, chờ đợi cho tới gói dịch vụ Windows NT, mà sẽ bao gồm sửa chữa. Vui lòng liên hệ với hỗ trợ kỹ thuật của Microsoft để biết thêm thông tin.
THÔNG TIN THÊM
Thêm những thay đổi này đăng ký có thể có ảnh hưởng bất lợi về một cụm Microsoft Exchange.

Microsoft Exchange cụm (Exres.dll) thường xuyên khởi tạo kết nối đến các cảng SMTP, IMAP, POP3 và HTTP để thử nghiệm tình trạng sẵn có. Các xét nghiệm được tương tự như một phiên telnet để cổng 25, 143, 110, hoặc 80.

Nếu các xét nghiệm này thành công, cụm sao biết rằng các dịch vụ có sẵn cho người dùng và đánh dấu chúng như là "Alive". Nếu các cuộc thử nghiệm không thành công, các quản trị viên Cluster đánh dấu các nguồn tài nguyên như offline trong cụm Quản trị viên, và các bản ghi một sự kiện vào Nhật ký ứng dụng. Sự kiện này là:

Loại sự kiện: lỗi
Sự kiện nguồn: MSExchangeCluster
Thể loại sự kiện: dịch vụ
Tổ chức sự kiện ID: 2074
Ngày: ngày
Thời gian: thời gian
Người dùng: N/A
Máy tính: tên máy tính
Mô tả: SMTP máy chủ ảo Ví dụ-(125-VS2-tên): dịch vụ cụm không isalive kiểm tra cho các tài nguyên.

CERT hack lũ lụt từ chối dịch vụ tấn công máy tính hacker

Властивості

Ідентифікатор статті: 142641 – останній перегляд: 08/18/2011 12:26:00 – виправлення: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 3.51, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86)

 • kbnetwork kbmt KB142641 KbMtvi
Зворотний зв’язок