神马文学网调整 TCP/IP 防范攻击(上)
来源:百度文库 编辑:神马文学网 时间:2024/04/26 09:34:39
调整 TCP/IP 防范攻击(上)
TCP/IP安全设置除了上述所列出的设置之外,可以修改下列项以辅助系统更有效地抵御攻击。请注意,这些推荐值决不是使系统不受攻击,而只在于调整TCP/IP栈防范攻击。这些项的设置并不涉及系统上的许多其它组件(可能被用于攻击系统)。对于注册表的任何更改,管理员必须充分了解这些更改对系统默认功能的影响以及在他们的环境中是否适当。
SynAttackProtect
项:TcpipParameters
数值类型:REG_DWORD
有效范围:0、1、2
0(没有SYN攻击保护)
1(如果满足TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置,减少重传重试次数与延迟的RCE(路由缓存项)创建。)
2(除1之外的另一个Winsock延迟指示。)
备注当系统发现自己受到攻击时,任何套接字上的下列选项不再启用:可缩放窗口(RFC 1323)与每个适配器上已配置TCP参数(初始RTT、窗口大小)。这是因为当保护生效时,在发送SYN-ACK之前不再查询路由缓存项,并且连接过程中Winsock选项不可用。
默认值:0 (false)
推荐值:2
说明:SYN攻击保护包括减少SYN-ACK重传次数,以减少分配资源所保留的时间。路由缓存项资源分配延迟,直到建立连接为止。如果synattackprotect = 2,则AFD的连接指示一直延迟到三路握手完成为止。注意,仅在TcpMaxHalfOpen 和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施。
TcpMaxHalfOpen
项:TcpipParameters
数值类型:REG_DWORD -数字
有效范围:100-0xFFFF
默认值:100 (Professional、Server)、500 (Advanced Server)
说明:该参数控制SYN攻击保护启动前允许处于SYN-RCVD状态的连接数量。如果将SynAttackProtect设为1,确保该数值低于要保护的端口上AFD侦听预备的值(有关详细信息,参见附录C中的预备参数)。有关详细信息,请参见 SynAttackProtect参数。
TcpMaxHalfOpenRetried
项:TcpipParameters
数值类型:REG_DWORD -数字
有效范围:80-0xFFFF
默认值:80 (Professional、Server)、400 (Advanced Server)
说明:该参数控制在SYN攻击保护启动前处于SYN-RCVD状态的连接数量,对于该连接至少有一个SYN重传已经发送。有关详细信息,参见SynAttackProtect 参数。
EnablePMTUDiscovery
项:TcpipParameters
数值类型:REG_DWORD -布尔值
有效范围:0、1(false、true)
默认值:1 (true)
推荐值:0
说明:将该参数设置为1 (true)时,TCP将查找到达远程主机路径上的最大传输单位(MTU或最大的数据包大小)。通过发现路径MTU并将TCP字段限制到这个大小,TCP可以限制在连结到不同的MTU网络的路由器上的碎片。碎片会影响 TCP吞吐量和网络堵塞。将这个参数设置成0,会导致为所有不在本地子网上主机连接使用576字节的MTU。
(未完待续)
TCP/IP安全设置除了上述所列出的设置之外,可以修改下列项以辅助系统更有效地抵御攻击。请注意,这些推荐值决不是使系统不受攻击,而只在于调整TCP/IP栈防范攻击。这些项的设置并不涉及系统上的许多其它组件(可能被用于攻击系统)。对于注册表的任何更改,管理员必须充分了解这些更改对系统默认功能的影响以及在他们的环境中是否适当。
SynAttackProtect
项:TcpipParameters
数值类型:REG_DWORD
有效范围:0、1、2
0(没有SYN攻击保护)
1(如果满足TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置,减少重传重试次数与延迟的RCE(路由缓存项)创建。)
2(除1之外的另一个Winsock延迟指示。)
备注当系统发现自己受到攻击时,任何套接字上的下列选项不再启用:可缩放窗口(RFC 1323)与每个适配器上已配置TCP参数(初始RTT、窗口大小)。这是因为当保护生效时,在发送SYN-ACK之前不再查询路由缓存项,并且连接过程中Winsock选项不可用。
默认值:0 (false)
推荐值:2
说明:SYN攻击保护包括减少SYN-ACK重传次数,以减少分配资源所保留的时间。路由缓存项资源分配延迟,直到建立连接为止。如果synattackprotect = 2,则AFD的连接指示一直延迟到三路握手完成为止。注意,仅在TcpMaxHalfOpen 和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施。
TcpMaxHalfOpen
项:TcpipParameters
数值类型:REG_DWORD -数字
有效范围:100-0xFFFF
默认值:100 (Professional、Server)、500 (Advanced Server)
说明:该参数控制SYN攻击保护启动前允许处于SYN-RCVD状态的连接数量。如果将SynAttackProtect设为1,确保该数值低于要保护的端口上AFD侦听预备的值(有关详细信息,参见附录C中的预备参数)。有关详细信息,请参见 SynAttackProtect参数。
TcpMaxHalfOpenRetried
项:TcpipParameters
数值类型:REG_DWORD -数字
有效范围:80-0xFFFF
默认值:80 (Professional、Server)、400 (Advanced Server)
说明:该参数控制在SYN攻击保护启动前处于SYN-RCVD状态的连接数量,对于该连接至少有一个SYN重传已经发送。有关详细信息,参见SynAttackProtect 参数。
EnablePMTUDiscovery
项:TcpipParameters
数值类型:REG_DWORD -布尔值
有效范围:0、1(false、true)
默认值:1 (true)
推荐值:0
说明:将该参数设置为1 (true)时,TCP将查找到达远程主机路径上的最大传输单位(MTU或最大的数据包大小)。通过发现路径MTU并将TCP字段限制到这个大小,TCP可以限制在连结到不同的MTU网络的路由器上的碎片。碎片会影响 TCP吞吐量和网络堵塞。将这个参数设置成0,会导致为所有不在本地子网上主机连接使用576字节的MTU。
(未完待续)