Настройте стек NT для защиты от сетевого отказа в обслуживании
www.securityportal.com опубликовал часто задаваемые вопросы об отказе в обслуживании, которые могут предоставить вам справочную информацию.
TechRepublic опубликовала статью «Безопасность в IP-сетях — противодействие атакам типа «отказ в обслуживании» (DoS)».
www.windows2000security.com опубликовал тактику защиты от распределенного отказа в обслуживании.
Институт SANS опубликовал анализ распределенного инструмента отказа в обслуживании Shaft.
Microsoft опубликовала, как защитить стек tcpip NT от этих атак.
Задокументированные здесь взломы реестра взяты из источников Microsoft.
Защита от синтаксических атак заключается в уменьшении количества повторных передач для
SYN-ACKS, что сократит время, в течение которого должны оставаться ресурсы
выделено. Выделение ресурсов записи кэша маршрутов откладывается до тех пор, пока
соединение выполнено. Если synattackprotect = 2, то индикация подключения к
AFD задерживается до тех пор, пока не завершится трехэтапное рукопожатие. Также обратите внимание, что
действия, предпринимаемые механизмом защиты, происходят только в том случае, если TcpMaxHalfOpen и
Превышены настройки TcpMaxHalfOpenRetried. Примените следующий взлом реестра:
Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesTcpipParameters
Имя: SynAttackProtect
Тип: REG_DWORD
Значение: 0
нет защиты от син-атак
Значение: 1
сокращение повторных попыток передачи и задержка RCE (маршрутизация
запись в кэше) создание, если параметры TcpMaxHalfOpen и TcpMaxHalfOpenRetried
удовлетворены.
Значение: 2
добавляет отложенную индикацию к
Winsock к настройке 1
Когда система оказывается под атакой, следующие опции на любом сокете
больше нельзя включить: Масштабируемые окна (RFC 1323) и для каждого адаптера
настроенные параметры TCP (начальный RTT, размер окна). Это потому, что когда
защита работает запись кэша маршрутов не запрашивается до
SYN-ACK отправляется, а параметры Winsock недоступны на данном этапе
связь.
Параметр TcpMaxHalfOpen управляет количеством подключений в SYN-RCVD.
состояние, разрешенное до того, как сработает защита от SYN-АТТАКИ. Если
SynAttackProtect имеет значение 1, убедитесь, что это значение меньше, чем AFD.
слушайте невыполненную работу на порту, который вы хотите защитить.
Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesTcpipParameters
Имя: Ткпмаксхалфопен
Тип: REG_DWORD
Стоимость: 100
Профессиональный, Сервер
Стоимость: 500
Расширенный сервер
Параметр TcpMaxHalfOpenRetried управляет количеством подключений в
Состояние SYN-RCVD, для которого была хотя бы одна повторная передача SYN
отправлено до того, как сработает защита от атаки SYN-ATTACK.
Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesTcpipParameters
Имя: TcpMaxHalfOpenRetried
Тип: REG_DWORD
Стоимость: 80
Профессиональный, Сервер
Стоимость: 400
Расширенный сервер
EnablePMTUDiscovery: если для этого параметра установлено значение 1 (истина), TCP пытается
узнать максимальную единицу передачи (MTU или наибольший размер пакета) по
путь к удаленному хосту. Обнаружив значение Path MTU и ограничив сегменты TCP до
такого размера, TCP может устранить фрагментацию на маршрутизаторах на пути,
соединять сети с разными MTU. Фрагментация отрицательно влияет на TCP
пропускная способность и загруженность сети. Установка этого параметра в 0 приводит к тому, что MTU
576 байт будут использоваться для всех подключений, которые не относятся к хостам на локальном компьютере.
подсеть.
Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesTcpipParameters
Имя: Енаблепмтудисковери
Тип: REG_DWORD
Значение: 1
рекомендуемые
Значение: 0
дефолт
NoNameReleaseOnDemand: параметр определяет, освобождает ли компьютер
свое имя NetBIOS при получении запроса на освобождение имени из сети. Это
был добавлен, чтобы позволить администратору защитить машину от вредоносных
атаки с раскрытием имени.
Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesTcpipParameters
Имя: Нонамерелеасеондеманд
Тип: REG_DWORD
Значение: 1
рекомендуемые
Значение: 0
дефолт
EnableDeadGWDetect: когда этот параметр равен 1, TCP разрешено выполнять
обнаружение мертвых шлюзов. Если эта функция включена, TCP может попросить IP измениться на
резервный шлюз, если несколько соединений испытывают трудности. Резервное копирование
шлюзы могут быть определены в разделе «Дополнительно» конфигурации TCP/IP.
диалоговое окно в Панели управления сетью.
Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesTcpipParameters
Название: EnableDeadGWDetect
Тип: REG_DWORD
Значение: 0
рекомендуемые
Значение: 1
дефолт
KeepAliveTime: параметр определяет, как часто TCP пытается проверить,
бездействующее соединение по-прежнему не повреждено путем отправки пакета проверки активности. Если удаленный
система по-прежнему доступна и функционирует, она подтверждает подтверждение активности
коробка передач. По умолчанию пакеты проверки активности не отправляются. Эта функция может быть
включено при подключении приложением.
Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesTcpipParameters
Имя: KeepAliveTime
Тип: REG_DWORD
Стоимость: 300 000
рекомендуемые
Стоимость: 7 200 000 (два часа)
дефолт
PerformRouterDiscovery: параметр определяет, будет ли Windows 2000 пытаться
выполнять обнаружение маршрутизатора в соответствии с RFC 1256 для каждого интерфейса.
Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesTcpipParameters
Имя: Перформроутердисковери
Тип: REG_DWORD
Значение: 0
рекомендуемые
Значение: 1
включено
Значение: 2
включить только если
DHCP отправляет параметр обнаружения маршрутизатора
EnableICMPRedirects: параметр определяет, будет ли Windows 2000 изменять
таблица маршрутов в ответ на сообщения перенаправления ICMP, которые отправляются ей сетью
устройства, такие как маршрутизаторы.
Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesTcpipParameters
Название: EnableICMPRedirects
Тип: REG_DWORD
Значение: 0
рекомендуемые
Значение: 1
дефолт
Взято из статьи базы знаний Майкрософт «Соображения безопасности для сетевых атак».