目標(biāo)

　　使用本模塊可以實現(xiàn)：

強化服務(wù)器的 TCP/IP 堆棧安全

保護服務(wù)器免遭“拒絕服務(wù)”和其他基于網(wǎng)絡(luò)的攻擊

在檢測到攻擊時啟用 SYN 洪水攻擊保護

設(shè)置用于確認是什么構(gòu)成攻擊的閾值

　　適用范圍

　　本模塊適用于下列產(chǎn)品和技術(shù)：

Microsoft Windows 2000 Server 和 Windows 2000 Advanced Server

　　如何使用本模塊

　　默認情況下，本模塊中的一些注冊表項和值可能不存在。在這些情況下，請創(chuàng)建這些注冊表項、值和數(shù)值數(shù)據(jù)。

　　注意：這些設(shè)置會修改服務(wù)器上 TCP/IP 的工作方式。Web 服務(wù)器的特征將確定觸發(fā)拒絕服務(wù)對策的最佳閾值。對于客戶端的連接，一些值可能過于嚴格。在將本模塊的建議部署到產(chǎn)品服務(wù)器之前，要對這些建議進行測試。

　　摘要

　　TCP/IP 堆棧負責(zé)處理傳入和傳出的 IP 數(shù)據(jù)包，并將數(shù)據(jù)包中的數(shù)據(jù)路由到要處理它們的應(yīng)用程序。默認情況下，TCP/IP 天生就是一個不安全的協(xié)議。但是，Microsoft® Windows® 2000 版本允許您配置其操作，以抵御網(wǎng)絡(luò)級別的大多數(shù)拒絕服務(wù)攻擊。

　　本模塊解釋如何強化 TCP/IP 堆棧的安全，以及如何在 Windows 注冊表內(nèi)配置各種 TCP/IP 參數(shù)，以便保護服務(wù)器免遭網(wǎng)絡(luò)級別的拒絕服務(wù)攻擊，包括 SYS 洪水攻擊、ICMP 攻擊和 SNMP 攻擊。

　　必備知識

　　可以在 Windows 注冊表內(nèi)配置各種 TCP/IP 參數(shù)，以便保護服務(wù)器免遭網(wǎng)絡(luò)級別的拒絕服務(wù)攻擊，包括 SYS 洪水攻擊、ICMP 攻擊和 SNMP 攻擊。可以配置注冊表項，以便：

在檢測到攻擊時啟用 SYN 洪水攻擊保護機制。

設(shè)置用于確認構(gòu)成攻擊的閾值。

　　本“如何”向管理員介紹必須配置哪些注冊表項和注冊表值，以抵御基于網(wǎng)絡(luò)的拒絕服務(wù)攻擊。

　　注意 這些設(shè)置會修改服務(wù)器上 TCP/IP 的工作方式。Web 服務(wù)器的特征將確定觸發(fā)拒絕服務(wù)對策的最佳閾值。對于客戶端的連接，一些值可能過于嚴格。在將本文檔的建議部署到產(chǎn)品服務(wù)器之前，應(yīng)當(dāng)測試這些建議。

　　TCP/IP 天生就是一個不安全的協(xié)議。但是，Windows 2000 版本允許您配置其操作，以抵御網(wǎng)絡(luò)級別的拒絕服務(wù)攻擊。默認情況下，本“如何”中引用的一些注冊表項和值可能不存在。在這些情況下，請創(chuàng)建這些注冊表項、值和值數(shù)據(jù)。

　　抵御 SYN 攻擊

　　SYN 攻擊利用了 TCP/IP 連接建立機制中的安全漏洞。要實施 SYN 洪水攻擊，攻擊者會使用程序發(fā)送大量 TCP SYN 請求來填滿服務(wù)器上的掛起連接隊列。這會禁止其他用戶建立網(wǎng)絡(luò)連接。

　　要保護網(wǎng)絡(luò)抵御 SYN 攻擊，請按照下面這些通用步驟操作(這些步驟將在本文檔的稍后部分進行說明)：

啟用 SYN 攻擊保護

設(shè)置 SYN 保護閾值

設(shè)置其他保護

　　啟用 SYN 攻擊保護

　　啟用 SYN 攻擊保護的命名值位于此注冊表項的下面：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices。

　　值名稱： SynAttackProtect

　　建議值： 2

　　有效值： 0 – 2

　　說明：使 TCP 調(diào)整 SYN-ACK 的重傳。配置此值后，在遇到 SYN 攻擊時，對連接超時的響應(yīng)將更快速。在超過 TcpMaxHalfOpen 或 TcpMaxHalfOpenRetried 的值后，將觸發(fā) SYN 攻擊保護。

　　設(shè)置 SYN 保護閾值

　　下列值確定觸發(fā) SYN 保護的閾值。這一部分中的所有注冊表項和值都位于注冊表項 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 的下面。這些注冊表項和值是：

值名稱： TcpMaxPortsExhausted 建議值： 5 有效值： 0 – 65535 說明：指定觸發(fā) SYN 洪水攻擊保護所必須超過的 TCP 連接請求數(shù)的閾值。

值名稱： TcpMaxHalfOpen 建議的數(shù)值數(shù)據(jù)： 500 有效值： 100 – 65535 說明：在啟用 SynAttackProtect 后，該值指定處于 SYN_RCVD 狀態(tài)的 TCP 連接數(shù)的閾值。在超過 SynAttackProtect 后，將觸發(fā) SYN 洪水攻擊保護。

值名稱： TcpMaxHalfOpenRetried 建議的數(shù)值數(shù)據(jù)： 400 有效值： 80 – 65535 說明：在啟用 SynAttackProtect 后，該值指定處于至少已發(fā)送一次重傳的 SYN_RCVD 狀態(tài)中的 TCP 連接數(shù)的閾值。在超過 SynAttackProtect 后，將觸發(fā) SYN 洪水攻擊保護。

　　設(shè)置其他保護

　　這一部分中的所有注冊表項和值都位于注冊表項 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 的下面。這些注冊表項和值是：

值名稱： TcpMaxConnectResponseRetransmissions 建議的數(shù)值數(shù)據(jù)： 2 有效值： 0 – 255 說明：控制在響應(yīng)一次 SYN 請求之后、在取消重傳嘗試之前 SYN-ACK 的重傳次數(shù)。

值名稱： TcpMaxDataRetransmissions 建議的數(shù)值數(shù)據(jù)： 2 有效值： 0 – 65535 說明：指定在終止連接之前 TCP 重傳一個數(shù)據(jù)段（不是連接請求段）的次數(shù)。

值名稱： EnablePMTUDiscovery 建議的數(shù)值數(shù)據(jù)： 0 有效值： 0, 1 說明：將該值設(shè)置為 1（默認值）可強制 TCP 查找在通向遠程主機的路徑上的最大傳輸單元或最大數(shù)據(jù)包大小。攻擊者可能將數(shù)據(jù)包強制分段，這會使堆棧不堪重負。對于不是來自本地子網(wǎng)的主機的連接，將該值指定為 0 可將最大傳輸單元強制設(shè)為 576 字節(jié)。

值名稱： KeepAliveTime 建議的數(shù)值數(shù)據(jù)： 300000 有效值： 80 – 4294967295 說明：指定 TCP 嘗試通過發(fā)送持續(xù)存活的數(shù)據(jù)包來驗證空閑連接是否仍然未被觸動的頻率。

值名稱： NoNameReleaseOnDemand 建議的數(shù)值數(shù)據(jù)： 1 有效值： 0, 1 說明：指定計算機在收到名稱發(fā)布請求時是否發(fā)布其 NetBIOS 名稱。

　　使用表 1 中匯總的值可獲得最大程度的保護。

　　表 1：建議值

SynAttackProtect

2

TcpMaxPortsExhausted

1

TcpMaxHalfOpen

500

TcpMaxHalfOpenRetried

400

TcpMaxConnectResponseRetransmissions

2

TcpMaxDataRetransmissions

2

EnablePMTUDiscovery

0

KeepAliveTime

300000（5 分鐘）

NoNameReleaseOnDemand

1

　　抵御 ICMP 攻擊

　　這一部分的命名值都位于注冊表項 HKLMSystemCurrentControlSetServicesAFDParameters 的下面

　　值： EnableICMPRedirect

　　建議的數(shù)值數(shù)據(jù)： 0

　　有效值：0(禁用)，1(啟用)

　　說明：通過將此注冊表值修改為 0，能夠在收到 ICMP 重定向數(shù)據(jù)包時禁止創(chuàng)建高成本的主機路由。

　　使用表 2 中匯總的值可以獲得最大程度的保護：

　　表 2：建議值

EnableICMPRedirect

0

　　抵御 SNMP 攻擊

　　這一部分的命名值位于注冊表項 HKLMSystemCurrentControlSetServicesTcpipParameters 的下面。

　　值： EnableDeadGWDetect

　　建議的數(shù)值數(shù)據(jù)： 0

　　有效值：0(禁用)，1(啟用)

　　說明：禁止攻擊者強制切換到備用網(wǎng)關(guān)

　　使用表 3 中匯總的值可以獲得最大程度的保護：

　　表 3：建議值

EnableDeadGWDetect

0

　　AFD.SYS 保護

　　下面的注冊表項指定內(nèi)核模式驅(qū)動程序 Afd.sys 的參數(shù)。Afd.sys 用于支持 Windows Sockets 應(yīng)用程序。這一部分的所有注冊表項和值都位于注冊表項 HKLMSystemCurrentControlSetServicesAFDParameters 的下面。這些注冊表項和值是：

值 EnableDynamicBacklog 建議的數(shù)值數(shù)據(jù)： 1 有效值：0（禁用），1（啟用） 說明：指定 AFD.SYS 功能，以有效處理大量的 SYN_RCVD 連接。

值名稱： MinimumDynamicBacklog 建議的數(shù)值數(shù)據(jù)： 20 有效值： 0 – 4294967295 說明：指定在偵聽的終結(jié)點上所允許的最小空閑連接數(shù)。如果空閑連接的數(shù)目低于該值，線程將被排隊，以創(chuàng)建更多的空閑連接

值名稱：MaximumDynamicBacklog 建議的數(shù)值數(shù)據(jù)： 20000 有效值： 0 – 4294967295 說明：指定空閑連接以及處于 SYN_RCVD 狀態(tài)的連接的最大總數(shù)。

值名稱： DynamicBacklogGrowthDelta 建議的數(shù)值數(shù)據(jù)： 10 有效值： 0 – 4294967295 默認情況下是否出現(xiàn)：否 說明：指定在需要增加連接時將要創(chuàng)建的空閑連接數(shù)。

　　使用表 4 中匯總的值可以獲得最大程度的保護。

　　表 4：建議值

EnableDynamicBacklog

1

MinimumDynamicBacklog

20

MaximumDynamicBacklog

20000

DynamicBacklogGrowthDelta

10

　　其他保護

　　這一部分的所有注冊表項和值都位于注冊表項 HKLMSystemCurrentControlSetServicesTcpipParameters 的下面。

　　保護屏蔽的網(wǎng)絡(luò)細節(jié)

　　網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 用于將網(wǎng)絡(luò)與傳入連接屏蔽開來。攻擊者可能規(guī)避此屏蔽，以便使用 IP 源路由來確定網(wǎng)絡(luò)拓撲。

　　值： DisableIPSourceRouting

　　建議的數(shù)值數(shù)據(jù)： 1

　　有效值：0(轉(zhuǎn)發(fā)所有數(shù)據(jù)包)，1(不轉(zhuǎn)發(fā)源路由數(shù)據(jù)包)，2(丟棄所有傳入的源路由數(shù)據(jù)包)。

　　說明：禁用 IP 源路由，后者允許發(fā)送者確認數(shù)據(jù)報在網(wǎng)絡(luò)中應(yīng)采用的路由。

　　避免接受數(shù)據(jù)包片段

　　處理數(shù)據(jù)包片段可以是高成本的。雖然拒絕服務(wù)很少來自外圍網(wǎng)絡(luò)內(nèi)，但此設(shè)置能防止處理數(shù)據(jù)包片段。

　　值： EnableFragmentChecking

　　建議的數(shù)值數(shù)據(jù)： 1

　　有效值：0(禁用)，1(啟用)

　　說明：禁止 IP 堆棧接受數(shù)據(jù)包片段。

　　切勿轉(zhuǎn)發(fā)去往多臺主機的數(shù)據(jù)包

　　多播數(shù)據(jù)包可能被多臺主機響應(yīng)，從而導(dǎo)致響應(yīng)淹沒網(wǎng)絡(luò)。

　　值： EnableMulticastForwarding

　　建議的數(shù)值數(shù)據(jù)： 0

　　有效范圍：0 (false)，1 (true)

　　說明：路由服務(wù)使用此參數(shù)來控制是否轉(zhuǎn)發(fā) IP 多播。此參數(shù)由路由和遠程訪問服務(wù)創(chuàng)建。

　　只有防火墻可以在網(wǎng)絡(luò)間轉(zhuǎn)發(fā)數(shù)據(jù)包

　　多主機服務(wù)器切勿在它所連接的網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)數(shù)據(jù)包。明顯的例外是防火墻。

　　值： IPEnableRouter

　　建議的數(shù)值數(shù)據(jù)： 0

　　有效范圍：0 (false)，1 (true)

　　說明：將此參數(shù)設(shè)置為 1 (true) 會使系統(tǒng)在它所連接的網(wǎng)絡(luò)之間路由 IP 數(shù)據(jù)包。

　　屏蔽網(wǎng)絡(luò)拓撲結(jié)構(gòu)細節(jié)

　　可以使用 ICMP 數(shù)據(jù)包請求主機的子網(wǎng)掩碼。只泄漏此信息是無害的;但是，可以利用多臺主機的響應(yīng)來了解內(nèi)部網(wǎng)絡(luò)的情況。

　　值： EnableAddrMaskReply

　　建議的數(shù)值數(shù)據(jù)： 0

　　有效范圍：0 (false)，1 (true)

　　說明：此參數(shù)控制計算機是否響應(yīng) ICMP 地址屏蔽請求。

　　使用表 5 中匯總的值可以獲得最大程度的保護。

　　表 5：建議值

DisableIPSourceRouting

1

EnableFragmentChecking

1

EnableMulticastForwarding

0

IPEnableRouter

0

EnableAddrMaskReply

0

　　缺陷

　　在測試這些值的變化時，請參照在產(chǎn)品中所期望的網(wǎng)絡(luò)流量進行測試。這些設(shè)置會修改被認為正常并偏離了測試默認值的項目的閾值。一些閾值可能由于范圍太小而無法在客戶端的連接速度劇烈變化時可靠地支持客戶端。