目标 | |
适用范围 | |
如何使用本模块 | |
摘要 | |
必备知识 | |
抵御 SYN 攻击 | |
抵御 ICMP 攻击 | |
抵御 SNMP 攻击 | |
AFD.SYS 保护 | |
其他保护 | |
缺陷 | |
其他资源 |
• |
强化服务器的 TCP/IP 堆栈安全
|
• |
保护服务器免遭“拒绝服务”和其他基于网络的攻击
|
• |
在检测到攻击时启用 SYN 洪水攻击保护
|
• |
设置用于确认是什么构成攻击的阈值
|
• |
Microsoft Windows 2000 Server 和 Windows 2000 Advanced Server
|
• |
在检测到攻击时启用 SYN 洪水攻击保护机制。
|
• |
设置用于确认构成攻击的阈值。
|
• |
启用 SYN 攻击保护
|
• |
设置 SYN 保护阈值
|
• |
设置其他保护
|
• |
值名称:
TcpMaxPortsExhausted
建议值: 5 有效值: 0 �C 65535 说明:指定触发 SYN 洪水攻击保护所必须超过的 TCP 连接请求数的阈值。 |
• |
值名称:
TcpMaxHalfOpen
建议的数值数据: 500 有效值: 100 �C 65535 说明:在启用 SynAttackProtect 后,该值指定处于 SYN_RCVD 状态的 TCP 连接数的阈值。在超过 SynAttackProtect 后,将触发 SYN 洪水攻击保护。 |
• |
值名称:
TcpMaxHalfOpenRetried
建议的数值数据: 400 有效值: 80 �C 65535 说明:在启用 SynAttackProtect 后,该值指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值。在超过 SynAttackProtect 后,将触发 SYN 洪水攻击保护。 |
• |
值名称:
TcpMaxConnectResponseRetransmissions
建议的数值数据: 2 有效值: 0 �C 255 说明:控制在响应一次 SYN 请求之后、在取消重传尝试之前 SYN-ACK 的重传次数。 |
• |
值名称:
TcpMaxDataRetransmissions
建议的数值数据: 2 有效值: 0 �C 65535 说明:指定在终止连接之前 TCP 重传一个数据段(不是连接请求段)的次数。 |
• |
值名称:
EnablePMTUDiscovery
建议的数值数据: 0 有效值: 0, 1 说明:将该值设置为 1(默认值)可强制 TCP 查找在通向远程主机的路径上的最大传输单元或最大数据包大小。攻击者可能将数据包强制分段,这会使堆栈不堪重负。对于不是来自本地子网的主机的连接,将该值指定为 0 可将最大传输单元强制设为 576 字节。 |
• |
值名称:
KeepAliveTime
建议的数值数据: 300000 有效值: 80 �C 4294967295 说明:指定 TCP 尝试通过发送持续存活的数据包来验证空闲连接是否仍然未被触动的频率。 |
• |
值名称:
NoNameReleaseOnDemand
建议的数值数据: 1 有效值: 0, 1 说明:指定计算机在收到名称发布请求时是否发布其 NetBIOS 名称。 |
值名称 | 值 (REG_DWORD) |
SynAttackProtect
|
2
|
TcpMaxPortsExhausted
|
1
|
TcpMaxHalfOpen
|
500
|
TcpMaxHalfOpenRetried
|
400
|
TcpMaxConnectResponseRetransmissions
|
2
|
TcpMaxDataRetransmissions
|
2
|
EnablePMTUDiscovery
|
0
|
KeepAliveTime
|
300000(5 分钟)
|
NoNameReleaseOnDemand
|
1
|
值名称 | 值 (REG_DWORD) |
EnableICMPRedirect
|
0
|
值名称 | 值 (REG_DWORD) |
EnableDeadGWDetect
|
0
|
• |
值 EnableDynamicBacklog
建议的数值数据: 1 有效值:0(禁用),1(启用) 说明:指定 AFD.SYS 功能,以有效处理大量的 SYN_RCVD 连接。有关详细信息,请参阅“Internet Server Unavailable Because of Malicious SYN Attacks”,网址为 http://support.microsoft.com/default.aspx?scid=kb;en-us;142641(英文)。 |
• |
值名称:
MinimumDynamicBacklog
建议的数值数据: 20 有效值: 0 �C 4294967295 说明:指定在侦听的终结点上所允许的最小空闲连接数。如果空闲连接的数目低于该值,线程将被排队,以创建更多的空闲连接 |
• |
值名称:MaximumDynamicBacklog
建议的数值数据: 20000 有效值: 0 �C 4294967295 说明:指定空闲连接以及处于 SYN_RCVD 状态的连接的最大总数。 |
• |
值名称:
DynamicBacklogGrowthDelta
建议的数值数据: 10 有效值: 0 �C 4294967295 默认情况下是否出现:否 说明:指定在需要增加连接时将要创建的空闲连接数。 |
值名称 | 值 (REG_DWORD) |
EnableDynamicBacklog
|
1
|
MinimumDynamicBacklog
|
20
|
MaximumDynamicBacklog
|
20000
|
DynamicBacklogGrowthDelta
|
10
|
值名称 | 值 (REG_DWORD) |
DisableIPSourceRouting
|
1
|
EnableFragmentChecking
|
1
|
EnableMulticastForwarding
|
0
|
IPEnableRouter
|
0
|
EnableAddrMaskReply
|
0
|
• |
有关强化 TCP/IP 堆栈的详细信息,请参阅 Microsoft 知识库文章 315669 How To:Harden the TCP/IP Stack Against Denial of Service Attacks in Windows 2000(英文)。
|
• |
有关 Windows 2000 TCP/IP 实现的详细信息,请参阅“Windows 2000 TCP/IP Protocols and Services”(英文)(Davies, Joseph 和 Lee, Thomas 著,Microsoft Press,2000 年)。
|
• |
有关 Windows 2000 TCP/IP 实现的详细信息,请参阅 TechNet 网站上的“Microsoft Windows 2000 TCP/IP Implementation Details”,网址为 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/network/deploy/depovg/tcpip2k.asp(英文)。
|
返回页首 |