Windows 2000 Server 的 TCP/IP 利用與對(duì)策
2024-09-08 18:09:21
供稿:網(wǎng)友
概要
本模塊著重講述了 Windows 2000 TCP/IP 堆棧的可能利用,并具體描述了可通過(guò)配置 HKLM/System/CurrentControlSet/Services/Tcpip/Parameters/ 注冊(cè)表項(xiàng)來(lái)應(yīng)用的對(duì)策。此外,模塊還講述了該配置的潛在影響。
返回頁(yè)首
Windows 2000 TCP/IP 堆棧潛在威脅和對(duì)策的影響
表 1 顯示了 TCP/IP 堆棧的潛在利用。該表還顯示了可能的對(duì)策,以及利用與對(duì)策的潛在影響。
表 1:TCP/IP 堆棧的潛在利用
注冊(cè)表值項(xiàng) 對(duì)策潛在影響 潛在利用
EnableICMPRedirect
假如將路由和遠(yuǎn)程訪問(wèn)服務(wù) (RRAS) 配置為自治系統(tǒng)邊界路由器 (ASBR),它將無(wú)法正確導(dǎo)入連接接口子網(wǎng)路由。相反,該路由器將主機(jī)路由插入開放式最短路徑優(yōu)先 (OSPF) 路由中。由于 OSPF 路由器不能用作 ASBR 路由器,導(dǎo)入連接接口子網(wǎng)路由至 OSPF 將導(dǎo)致路由表與生疏的路由路徑相互混淆。
Internet 控制消息協(xié)議 (ICMP) 重定向?qū)?dǎo)致堆棧探測(cè)主機(jī)路由。這些路由將覆蓋 OSPF 生成的路由。
這一結(jié)果本身是預(yù)料中的行為。但問(wèn)題是,由于 ICMP 重定向探測(cè)路由的超時(shí)時(shí)間是 10 分鐘,這便在相關(guān)網(wǎng)絡(luò)中形成黑洞。
SynAttackProtect
該注冊(cè)表值答應(yīng) TCP 調(diào)整 SYN-ACK 的重新傳輸。配置了該值后,一旦發(fā)生 SYN 攻擊,連接響應(yīng)的超時(shí)時(shí)間更短。該值在連接指示中增加了額外的延遲,在發(fā)生 SYN 攻擊時(shí),TCP 連接請(qǐng)求的超時(shí)時(shí)間很短。假如配置了該設(shè)置,每個(gè)適配器(包括初始往返時(shí)間 (RTT) 和窗口大小)套接字選項(xiàng)所配置的可伸縮窗口和 TCP 參數(shù)將不再起作用。
在 SYN Flood 攻擊中,攻擊者向服務(wù)器持續(xù)發(fā)送 SYN 數(shù)據(jù)包流,服務(wù)器使處于半打開狀態(tài)的連接一直保持打開狀態(tài),直至被沉沒(méi)在龐大的數(shù)據(jù)流中而無(wú)法響應(yīng)合法的請(qǐng)求。
EnableDeadGWDetect
啟用間隔網(wǎng)關(guān)檢測(cè)后,假如有很多連接都存在問(wèn)題,TCP 可能要求 IP 切換到備份網(wǎng)關(guān),假如該設(shè)置的值是 0,Windows 不再檢測(cè)間隔網(wǎng)關(guān),并自動(dòng)切換到替換網(wǎng)關(guān)。
攻擊者可強(qiáng)制服務(wù)器切換網(wǎng)關(guān),并極有可能切換到毫無(wú)預(yù)備的網(wǎng)關(guān)。
EnablePMTUDiscovery
假如 EnablePMTUDiscovery 的設(shè)置是 1,TCP 將嘗試發(fā)現(xiàn)遠(yuǎn)程主機(jī)路徑中的最大傳輸單位 (MTU) 或最大數(shù)據(jù)包大小。TCP 可通過(guò)發(fā)現(xiàn)路徑的 MTU 并將 TCP 段限制在該值之內(nèi)來(lái)在 MTU 不同的網(wǎng)絡(luò)連接路徑中消除路由器中的碎片。
碎片對(duì) TCP 吞吐量有負(fù)面影響。假如值設(shè)置是 0,所有非本地子網(wǎng)主機(jī)的連接都將使用 576 字節(jié)的 MTU。
假如值非 0,攻擊者可強(qiáng)制 MTU 為非常小的值,然后強(qiáng)制服務(wù)器分割大量的數(shù)據(jù)包,進(jìn)而使堆棧超負(fù)荷工作。
KeepAliveTime
該值控制了 TCP 嘗試通過(guò)發(fā)送 KeepAlive 數(shù)據(jù)包確認(rèn)空閑連接是否依然毫無(wú)變化的頻率。假如遠(yuǎn)程計(jì)算機(jī)仍可訪問(wèn),說(shuō)明數(shù)據(jù)包保持有效 (KeepAlive)。
在默認(rèn)情況下,系統(tǒng)不發(fā)送 KeepAlive 數(shù)據(jù)包。您可通過(guò)程序在連接中配置該值。假如減少至 5 分鐘(默認(rèn)值是 2 小時(shí)),表示非活動(dòng)會(huì)話將很快斷開。
能連接網(wǎng)絡(luò)應(yīng)用程序的攻擊者可以通過(guò)建立大量的連接造成 DoS。
DisableIPSourceRouting
IP 源路由這種機(jī)制答應(yīng)發(fā)送者確定數(shù)據(jù)報(bào)通過(guò)網(wǎng)絡(luò)的 IP 路由。將該值設(shè)置為 2 將導(dǎo)致所有傳入的源路由數(shù)據(jù)包丟失。
攻擊者使用源路由數(shù)據(jù)包隱蔽他們的身份和位置。源路由答應(yīng)計(jì)算機(jī)發(fā)送數(shù)據(jù)包來(lái)指定自己使用的路由。
TCPMaxConnectResponseRetransmissions
該參數(shù)控制了在未明確 SYN 的情況下,SYN-ACK 因響應(yīng)連接請(qǐng)求而重新傳輸?shù)拇螖?shù)。
假如值大于或等于 2,表示堆棧在內(nèi)部使用 SYN-ATTACK 保護(hù)。假如值小于 2,表示堆棧的 SYN-ATTACK 保護(hù)根本不讀取注冊(cè)表值。該參數(shù)縮短了清理 TCP 連接所需的默認(rèn)時(shí)間。遭受強(qiáng)烈攻擊的站點(diǎn)可降低該值至 1。設(shè)置為 0 也有效。但是,假如該參數(shù)的設(shè)置是 0,SYN-ACK 根本不會(huì)重新傳輸,并在 3 秒鐘后超時(shí)。假如值非常低,遠(yuǎn)端客戶端的合法連接嘗試也將失敗。
