TCP IP 堆栈安全、简单防止DDOS攻击.docVIP

TCP IP 堆栈安全、简单防止DDOS攻击 强化TCP/IP堆栈安全、简单防止DDOS攻击2010-06-13 11：44强化TCP/IP堆栈安全、简单防止DDOS攻击 可以在Windows注册表内配置各种TCP/IP参数，以便保护服务器免遭网络级别的拒绝服务攻击，包括SYS洪水攻击、ICMP攻击和SNMP攻击。可以配置注册表项，以便： 在检测到攻击时启用SYN洪水攻击保护机制。 设置用于确认构成攻击的阈值。 本如何向管理员介绍必须配置哪些注册表项和注册表值，以抵御基于网络的拒绝服务攻击。 注意这些设置会修改服务器上TCP/IP的工作方式。Web服务器的特征将确定触发拒绝服务对策的最佳阈值。对于客户端的连接，一些值可能过于严格。在将本文档的建议部署到产品服务器之前，应当测试这些建议。 TCP/IP天生就是一个不安全的协议。但是，Windows 2000版本允许您配置其操作，以抵御网络级别的拒绝服务攻击。默认情况下，本如何中引用的一些注册表项和值可能不存在。在这些情况下，请创建这些注册表项、值和值数据。 有关Windows 2000的注册表所控制的TCP/IP网络设置的详细信息，请参阅白皮书Microsoft Windows 2000 TCP/IP Implementation Details。 抵御SYN攻击 SYN攻击利用了TCP/IP连接建立机制中的安全漏洞。要实施SYN洪水攻击，攻击者会使用程序发送大量TCP SYN请求来填满服务器上的挂起连接队列。这会禁止其他用户建立网络连接。 要保护网络抵御SYN攻击，请按照下面这些通用步骤操作(这些步骤将在本文档的稍后部分进行说明)： 启用SYN攻击保护 设置SYN保护阈值 设置其他保护 启用SYN攻击保护 启用SYN攻击保护的命名值位于此注册表项的下面：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。 值名称：SynAttackProtect 建议值：2 有效值：0– 2 说明：使TCP调整SYN-ACK的重传。配置此值后，在遇到SYN攻击时，对连接超时的响应将更快速。在超过TcpMaxHalfOpen或TcpMaxHalfOpenRetried的值后，将触发SYN攻击保护。 设置SYN保护阈值 下列值确定触发SYN保护的阈值。这一部分中的所有注册表项和值都位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services的下面。这些注册表项和值是： 值名称：TcpMaxPortsExhausted建议值：5有效值：0– 65535说明：指定触发SYN洪水攻击保护所必须超过的TCP连接请求数的阈值。 值名称：TcpMaxHalfOpen建议的数值数据：500有效值：100– 65535说明：在启用SynAttackProtect后，该值指定处于SYN_RCVD状态的TCP连接数的阈值。在超过SynAttackProtect后，将触发SYN洪水攻击保护。 值名称：TcpMaxHalfOpenRetried建议的数值数据：400有效值：80– 65535说明：在启用SynAttackProtect后，该值指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值。在超过SynAttackProtect后，将触发SYN洪水攻击保护。 设置其他保护 这一部分中的所有注册表项和值都位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services的下面。这些注册表项和值是： 值名称：TcpMaxConnectResponseRetransmissions建议的数值数据：2有效值：0– 255说明：控制在响应一次SYN请求之后、在取消重传尝试之前SYN-ACK的重传次数。 值名称：TcpMaxDataRetransmissions建议的数值数据：2有效值：0– 65535说明：指定在终止连接之前TCP重传一个数据段(不是连接请求段)的次数。 值名称：EnablePMTUDiscovery建议的数值数据：0有效值：0,1说明：将该值设置为1(默认值)可强制TCP查找在通向远程主机的路径上的最大传输单元或最大数据包大小。攻击者可能将数据包强制分段，这会使堆栈不堪重负。对于不是来自本地子网的主机的连接，将该值指定为0可将最大传输单元强制设为576字节。 值名称：KeepAliveTime建议的数值数据：有效值：80– 说明：指定TCP尝试通过发送持续存活的数据包来验证空闲连接是否仍然未被触动的频率。 值名称：NoNameReleaseOnDemand建议的数值数据：1有效值：0,1说明：指定计算机在收到名称发布请求时是否发布其