如何:强化 TCP/IP 堆栈安全
抵御 SYN ***
SYN ***利用了 TCP/IP 链接创建机制中的安全漏洞。要实施 SYN 洪水***,***者会使用程序发送大量 TCP SYN 请求来填满服务器上的挂起链接队列。这会禁止其余用户创建网络链接。
要保护网络抵御 SYN ***,请按照下面这些通用步骤操做(这些步骤将在本文档的稍后部分进行说明):
| • |
启用 SYN ***保护
|
| • |
设置 SYN 保护阈值
|
| • |
设置其余保护
|
启用 SYN ***保护
启用 SYN ***保护的命名值位于此注册表项的下面:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。
值名称:
SynAttackProtect
建议值: 2
有效值: 0 – 2
说明:使 TCP 调整 SYN-ACK 的重传。配置此值后,在遇到 SYN ***时,对链接超时的响应将更快速。在超过
TcpMaxHalfOpen 或
TcpMaxHalfOpenRetried 的值后,将触发 SYN ***保护。
设置 SYN 保护阈值
下列值肯定触发 SYN 保护的阈值。这一部分中的全部注册表项和值都位于注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 的下面。这些注册表项和值是:
| • |
值名称:
TcpMaxPortsExhausted
建议值: 5 有效值: 0 – 65535 说明:指定触发 SYN 洪水***保护所必须超过的 TCP 链接请求数的阈值。 |
| • |
值名称:
TcpMaxHalfOpen
建议的数值数据: 500 有效值: 100 – 65535 说明:在启用 SynAttackProtect 后,该值指定处于 SYN_RCVD 状态的 TCP 链接数的阈值。在超过 SynAttackProtect 后,将触发 SYN 洪水***保护。 |
| • |
值名称:
TcpMaxHalfOpenRetried
建议的数值数据: 400 有效值: 80 – 65535 说明:在启用 SynAttackProtect 后,该值指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 链接数的阈值。在超过 SynAttackProtect 后,将触发 SYN 洪水***保护。 |
设置其余保护
这一部分中的全部注册表项和值都位于注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 的下面。这些注册表项和值是:
| • |
值名称:
TcpMaxConnectResponseRetransmissions
建议的数值数据: 2 有效值: 0 – 255 说明:控制在响应一次 SYN 请求以后、在取消重传尝试以前 SYN-ACK 的重传次数。 |
| • |
值名称:
TcpMaxDataRetransmissions
建议的数值数据: 2 有效值: 0 – 65535 说明:指定在终止链接以前 TCP 重传一个数据段(不是链接请求段)的次数。 |
| • |
值名称:
EnablePMTUDiscovery
建议的数值数据: 0 有效值: 0, 1 说明:将该值设置为 1(默认值)可强制 TCP 查找在通向远程主机的路径上的最大传输单元或最大数据包大小。***者可能将数据包强制分段,这会使堆栈不堪重负。对于不是来自本地子网的主机的链接,将该值指定为 0 可将最大传输单元强制设为 576 字节。 |
| • |
值名称:
KeepAliveTime
建议的数值数据: 300000 有效值: 80 – 4294967295 说明:指定 TCP 尝试经过发送持续存活的数据包来验证空闲链接是否仍然未被触动的频率。 |
| • |
值名称:
NoNameReleaseOnDemand
建议的数值数据: 1 有效值: 0, 1 说明:指定计算机在收到名称发布请求时是否发布其 NetBIOS 名称。 |
使用表 1 中汇总的值可得到最大程度的保护。
表 1:建议值
| 值名称 | 值 (REG_DWORD) |
|
SynAttackProtect
|
2
|
|
TcpMaxPortsExhausted
|
1
|
|
TcpMaxHalfOpen
|
500
|
|
TcpMaxHalfOpenRetried
|
400
|
|
TcpMaxConnectResponseRetransmissions
|
2
|
|
TcpMaxDataRetransmissions
|
2
|
|
EnablePMTUDiscovery
|
0
|
|
KeepAliveTime
|
300000(5 分钟)
|
|
NoNameReleaseOnDemand
|
1
|
抵御 ICMP ***
这一部分的命名值都位于注册表项
HKLM\System\CurrentControlSet\Services\AFD\Parameters 的下面
值:
EnableICMPRedirect
建议的数值数据: 0
有效值:0(禁用),1(启用)
说明:经过将此注册表值修改成 0,可以在收到 ICMP 重定向数据包时禁止建立高成本的主机路由。
建议的数值数据: 0
有效值:0(禁用),1(启用)
说明:经过将此注册表值修改成 0,可以在收到 ICMP 重定向数据包时禁止建立高成本的主机路由。
使用表 2 中汇总的值能够得到最大程度的保护:
表 2:建议值
| 值名称 | 值 (REG_DWORD) |
|
EnableICMPRedirect
|
0
|
抵御 SNMP ***
这一部分的命名值位于注册表项
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 的下面。
值:
EnableDeadGWDetect
建议的数值数据: 0
有效值:0(禁用),1(启用)
说明:禁止***者强制切换到备用网关
建议的数值数据: 0
有效值:0(禁用),1(启用)
说明:禁止***者强制切换到备用网关
使用表 3 中汇总的值能够得到最大程度的保护:
表 3:建议值
| 值名称 | 值 (REG_DWORD) |
|
EnableDeadGWDetect
|
0
|
AFD.SYS 保护
下面的注册表项指定内核模式驱动程序 Afd.sys 的参数。Afd.sys 用于支持 Windows Sockets 应用程序。这一部分的全部注册表项和值都位于注册表项
HKLM\System\CurrentControlSet\Services\AFD\Parameters 的下面。这些注册表项和值是:
| • |
值 EnableDynamicBacklog
建议的数值数据: 1 有效值:0(禁用),1(启用) 说明:指定 AFD.SYS 功能,以有效处理大量的 SYN_RCVD 链接。有关详细信息,请参阅“Internet Server Unavailable Because of Malicious SYN Attacks”,网址为 http://support.microsoft.com/default.aspx?scid=kb;en-us;142641(英文)。 |
| • |
值名称:
MinimumDynamicBacklog
建议的数值数据: 20 有效值: 0 – 4294967295 说明:指定在侦听的终结点上所容许的最小空闲链接数。若是空闲链接的数目低于该值,线程将被排队,以建立更多的空闲链接 |
| • |
值名称:MaximumDynamicBacklog
建议的数值数据: 20000 有效值: 0 – 4294967295 说明:指定空闲链接以及处于 SYN_RCVD 状态的链接的最大总数。 |
| • |
值名称:
DynamicBacklogGrowthDelta
建议的数值数据: 10 有效值: 0 – 4294967295 默认状况下是否出现:否 说明:指定在须要增长链接时将要建立的空闲链接数。 |
使用表 4 中汇总的值能够得到最大程度的保护。
表 4:建议值
| 值名称 | 值 (REG_DWORD) |
|
EnableDynamicBacklog
|
1
|
|
MinimumDynamicBacklog
|
20
|
|
MaximumDynamicBacklog
|
20000
|
|
DynamicBacklogGrowthDelta
|
10
|
其余保护
这一部分的全部注册表项和值都位于注册表项
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 的下面。
保护屏蔽的网络细节
网络地址转换 (NAT) 用于将网络与传入链接屏蔽开来。***者可能规避此屏蔽,以便使用 IP 源路由来肯定网络拓扑。
值:
DisableIPSourceRouting
建议的数值数据: 1
有效值:0(转发全部数据包),1(不转发源路由数据包),2(丢弃全部传入的源路由数据包)。
说明:禁用 IP 源路由,后者容许发送者确认数据报在网络中应采用的路由。
建议的数值数据: 1
有效值:0(转发全部数据包),1(不转发源路由数据包),2(丢弃全部传入的源路由数据包)。
说明:禁用 IP 源路由,后者容许发送者确认数据报在网络中应采用的路由。
避免接受数据包片断
处理数据包片断能够是高成本的。虽然拒绝服务不多来自外围网络内,但此设置能防止处理数据包片断。
值:
EnableFragmentChecking
建议的数值数据: 1
有效值:0(禁用),1(启用)
说明:禁止 IP 堆栈接受数据包片断。
建议的数值数据: 1
有效值:0(禁用),1(启用)
说明:禁止 IP 堆栈接受数据包片断。
切勿转发去往多台主机的数据包
多播数据包可能被多台主机响应,从而致使响应淹没网络。
值:
EnableMulticastForwarding
建议的数值数据: 0
有效范围:0 (false),1 (true)
说明:路由服务使用此参数来控制是否转发 IP 多播。此参数由路由和远程访问服务建立。
建议的数值数据: 0
有效范围:0 (false),1 (true)
说明:路由服务使用此参数来控制是否转发 IP 多播。此参数由路由和远程访问服务建立。
只有防火墙能够在网络间转发数据包
多主机服务器切勿在它所链接的网络之间转发数据包。明显的例外是防火墙。
值:
IPEnableRouter
建议的数值数据: 0
有效范围:0 (false),1 (true)
说明:将此参数设置为 1 (true) 会使系统在它所链接的网络之间路由 IP 数据包。
建议的数值数据: 0
有效范围:0 (false),1 (true)
说明:将此参数设置为 1 (true) 会使系统在它所链接的网络之间路由 IP 数据包。
屏蔽网络拓扑结构细节
能够使用 ICMP 数据包请求主机的子网掩码。只泄漏此信息是无害的;可是,能够利用多台主机的响应来了解内部网络的状况。
值:
EnableAddrMaskReply
建议的数值数据: 0
有效范围:0 (false),1 (true)
说明:此参数控制计算机是否响应 ICMP 地址屏蔽请求。
建议的数值数据: 0
有效范围:0 (false),1 (true)
说明:此参数控制计算机是否响应 ICMP 地址屏蔽请求。
使用表 5 中汇总的值能够得到最大程度的保护。
表 5:建议值
| 值名称 | 值 (REG_DWORD) |
|
DisableIPSourceRouting
|
1
|
|
EnableFragmentChecking
|
1
|
|
EnableMulticastForwarding
|
0
|
|
IPEnableRouter
|
0
|
|
EnableAddrMaskReply
|
0
|
缺陷
在测试这些值的变化时,请参照在产品中所指望的网络流量进行测试。这些设置会修改被认为正常并偏离了测试默认值的项目的阈值。一些阈值可能因为范围过小而没法在客户端的链接速度剧烈变化时可靠地支持客户端。
相关文章
- 1. 如何加固 TCP 堆栈
- 2. 堆、堆栈、栈
- 3. 堆,栈,堆栈
- 4. 全局监听路由堆栈变化
- 5. 浅谈C/C++堆栈指引——C/C++堆栈很强大
- 6. 堆栈很强大——C/C++堆栈指引
- 7. 如何正确理解栈和堆?
- 8. JVM:如何分析线程堆栈
- 9. 线程堆栈是如何增加的
- 10. 堆栈跟踪 堆栈跟踪_堆栈器:了解堆栈跟踪
- 更多相关文章...
- • C# 堆栈(Stack) - C#教程
- • XSD 如何使用? - XML Schema 教程
- • IntelliJ IDEA安装代码格式化插件
- • Composer 安装与使用
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. CVPR 2020 论文大盘点-光流篇
- 2. Photoshop教程_ps中怎么载入图案?PS图案如何导入?
- 3. org.pentaho.di.core.exception.KettleDatabaseException:Error occurred while trying to connect to the
- 4. SonarQube Scanner execution execution Error --- Failed to upload report - 500: An error has occurred
- 5. idea 导入源码包
- 6. python学习 day2——基础学习
- 7. 3D将是页游市场新赛道?
- 8. osg--交互
- 9. OSG-交互
- 10. Idea、spring boot 图片(pgn显示、jpg不显示)解决方案
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 如何加固 TCP 堆栈
- 2. 堆、堆栈、栈
- 3. 堆,栈,堆栈
- 4. 全局监听路由堆栈变化
- 5. 浅谈C/C++堆栈指引——C/C++堆栈很强大
- 6. 堆栈很强大——C/C++堆栈指引
- 7. 如何正确理解栈和堆?
- 8. JVM:如何分析线程堆栈
- 9. 线程堆栈是如何增加的
- 10. 堆栈跟踪 堆栈跟踪_堆栈器:了解堆栈跟踪