Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để cứng lại ngăn xếp TCP/IP chống lại từ chối dịch vụ tấn công trong Windows Server 2003

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:324270
Khước từ Nội dung trong Cơ sở Kiến thức Không còn được hỗ trợ
Bài viết này nói về các sản phẩm mà Microsoft không còn hỗ trợ nữa. Do đó, bài viết này được cung cấp "nguyên bản" và sẽ không được cập nhật.
Về phiên bản Windows 2000 của bài viết này, hãy xem 315669.

TRONG TÁC VỤ NÀY

TÓM TẮT
Từ chối dịch vụ (DoS) các cuộc tấn công là mạng lưới tấn công mà là nhằm làm cho một máy tính hoặc một dịch vụ cụ thể trên một máy tính không có sẵn cho người dùng mạng. Từ chối dịch vụ tấn công có thể được khó khăn để bảo vệ chống lại. Để giúp ngăn chặn sự từ chối dịch vụ tấn công, bạn có thể sử dụng một hoặc cả hai phương pháp sau đây:
  • Giữ máy tính của bạn Cập Nhật với các bản sửa lỗi bảo mật mới nhất. Bản sửa lỗi bảo mật được đặt trên Web site sau Microsoft:
  • Cứng lại giao thức TCP/IP stack trên Windows Server của bạn máy vi tính năm 2003. Cấu hình mặc định ngăn xếp TCP/IP được điều chỉnh để xử lý tiêu chuẩn mạng nội bộ lưu lượng truy cập. Nếu bạn kết nối một máy tính trực tiếp vào Internet, Microsoft khuyến cáo rằng bạn cứng lại ngăn xếp TCP/IP chống lại từ chối dịch vụ các cuộc tấn công.

TCP/IP Registry các giá trị đó Harden Stack TCP/IP

Quan trọng Phần, phương pháp hoặc nhiệm vụ này chứa các bước cho bạn biết làm thế nào để sửa đổi registry. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ đăng ký, hãy nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Cách sao lưu và lưu trữ sổ đăng kư trong Windows

Danh sách sau đây giải thích các giao thức TCP/IP-related giá trị đãng ký bạn có thể cấu hình để làm cứng TCP/IP ngăn xếp trên máy tính đó kết nối trực tiếp vào Internet. Tất cả các giá trị này nên tạo theo khóa registry sau đây, trừ khi được ghi nhận:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
LƯU Ý: Tất cả các giá trị thuộc hệ thập lục phân trừ khi được ghi nhận.
  • Tên giá trị: SynAttackProtect
    Khóa: Tcpip\Parameters
    Loại giá trị: REG_DWORD
    Phạm vi hợp lệ: 0,1
    Mặc định: 0

    Cơ quan đăng ký này giá trị nguyên nhân gây Transmission Control Protocol (TCP) để điều chỉnh retransmission của SYN-ACKS. Khi bạn cấu hình giá trị này, kết nối phản ứng thời gian ra bộ một cách nhanh chóng trong một cuộc tấn công SYN (một loại từ chối dịch vụ tấn công).

    Các sau các thông số có thể được sử dụng với giá trị sổ đăng ký này:
    • 0 (mặc định giá trị): No SYN tấn công bảo vệ
    • 1: Set SynAttackProtect để 1 tốt hơn bảo vệ chống lại các cuộc tấn công SYN. Tham số này gây ra TCP để điều chỉnh các retransmission SYN-ACKS. Khi bạn thiết lập SynAttackProtect để 1, kết nối phản ứng thời gian ra nhiều hơn một cách nhanh chóng nếu hệ thống phát hiện rằng một SYN tấn công tiến hành. Windows sử dụng các giá trị sau đây để xác định cho dù một cuộc tấn công tiến hành:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
    Chú ýTrong Windows Server 2003 Service Pack 1 và sau đó, giá trị mặc định cho các mục nhập registry SynAttackProtect là 1.

    Chú ý Khóa sổ đăng ký TcpMaxPortsExhausted là đã lỗi thời trong Windows XP SP2 và trong phiên bản mới nhất của hệ điều hành Windows.
  • Tên giá trị: EnableDeadGWDetect (Áp dụng cho Windows 2003 chỉ)
    Khóa: Tcpip\Parameters
    Loại giá trị: REG_DWORD
    Phạm vi hợp lệ: 0, 1 (sai, đúng)
    Mặc định: 1 (Đúng)

    Danh sách sau đây giải thích các thông số mà bạn có thể sử dụng với giá trị sổ đăng ký này:
    • 1: Khi bạn thiết lập EnableDeadGWDetect để 1TCP được phép thực hiện phát hiện chết cửa ngõ. Khi cửa ngõ chết phát hiện được kích hoạt, TCP có thể yêu cầu Internet Protocol (IP) để thay đổi thành một cửa ngõ sao lưu nếu một số các kết nối đang gặp khó khăn. Sao lưu cổng được định nghĩa trong phần tiên tiến của các Cấu hình TCP/IP hộp thoại trong các công cụ mạng trong bảng điều khiển.
    • 0: Microsoft khuyến cáo rằng bạn đặt các EnableDeadGWDetect giá trị cho 0. Nếu bạn không đặt giá trị này là 0, một cuộc tấn công có thể ép buộc các máy chủ chuyển đổi cổng và gây ra nó để chuyển sang một không mong đợi cổng nối.
  • Tên giá trị: EnablePMTUDiscovery
    Khóa: Tcpip\Parameters
    Loại giá trị: REG_DWORD
    Phạm vi hợp lệ: 0, 1 (sai, đúng)
    Mặc định: 1 (Đúng)

    Danh sách sau đây giải thích các thông số mà bạn có thể sử dụng với giá trị sổ đăng ký này:
    • 1: Khi bạn thiết lập EnablePMTUDiscovery để 1TCP cố gắng khám phá đơn hoặc truyền tải tối đa vị (MTU) hoặc kích thước gói dữ liệu lớn nhất trên đường dẫn đến một máy chủ từ xa. TCP có thể loại bỏ phân mảnh và bộ định tuyến dọc theo con đường mà kết nối mạng với khác nhau MTUs khám phá con đường MTU và hạn chế các phân đoạn TCP để kích thước này. Sự phân đoạn bất lợi ảnh hưởng đến thông qua TCP.
    • 0: Microsoft khuyến cáo rằng bạn đặt EnablePMTUDiscovery để 0. Khi bạn làm như vậy, một MTU 576 byte được sử dụng cho tất cả kết nối mà không phải là máy chủ trên mạng con địa phương. Nếu bạn không đặt giá trị này 0, một kẻ tấn công có thể lực lượng giá trị MTU một giá trị rất nhỏ và overwork ngăn xếp.

      Quan trọng Thiết lập EnablePMTUDiscovery để 0 tiêu cực ảnh hưởng đến hiệu suất TCP/IP và thông lượng. Mặc dù Microsoft khuyến cáo cài đặt này, nó không nên được dùng trừ khi bạn đang hoàn toàn nhận thức của mất mát hiệu suất này.
  • Tên giá trị: KeepAliveTime
    Khóa: Tcpip\Parameters
    Loại giá trị: REG_DWORD thời gian trong mili giây
    Phạm vi hợp lệ: 1-0xFFFFFFFF
    Mặc định: 7,200,000 (hai giờ)

    Giá trị này kiểm soát như thế nào thường xuyên TCP cố gắng xác minh rằng một kết nối nhàn rỗi là vẫn còn nguyên vẹn bằng cách gửi một gói dữ liệu giữ. Nếu từ xa máy tính là vẫn thể truy cập, nó thừa nhận giữ gói. Giữ các gói dữ liệu không được gửi theo mặc định. Bạn có thể sử dụng một chương trình để cấu hình giá trị này trên một kết nối. Thiết lập giá trị được đề nghị là 300.000 (5 phút).
  • Tên giá trị: NoNameReleaseOnDemand
    Khóa: Netbt\Parameters
    Loại giá trị: REG_DWORD
    Phạm vi hợp lệ: 0, 1 (sai, đúng)
    Mặc định: 0 (Sai)

    Giá trị này sẽ xác định xem máy tính bản phát hành của nó Tên NetBIOS khi nó nhận được một yêu cầu tên phát hành. Giá trị này đã được thêm vào cho phép các quản trị viên để bảo vệ máy tính chống lại tên độc hại, bản phát hành các cuộc tấn công. Microsoft khuyến cáo rằng bạn đặt các NoNameReleaseOnDemand giá trị cho 1.

Khắc phục sự cố

Khi bạn thay đổi giá trị đãng ký TCP/IP, bạn có thể ảnh hưởng đến các chương trình và dịch vụ đang chạy trên Windows Server 2003, dựa trên máy tính. Microsoft khuyến cáo rằng bạn kiểm tra các thiết đặt này ngày nonproduction máy trạm và máy chủ để xác nhận rằng họ có tương thích với doanh nghiệp của bạn môi trường.

kbsecvulnerability

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 324270 - Xem lại Lần cuối: 08/27/2011 13:13:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition

  • kbhowtomaster kbmt KB324270 KbMtvi
Phản hồi