如何强化 TCPIP 堆栈安全.docx

如何：强化 TCP/IP 堆栈安全 更新日期： 2004 年 04 月 12 日本页内容 目标 目标 适用范围 适用范围 如何使用本模块 如何使用本模块 摘要 摘要 必备知识 必备知识 抵御 抵御 SYN 攻击 抵御 抵御 ICMP 攻击 抵御 抵御 SNMP 攻击 AFD.SYS AFD.SYS 保护 其他保护 其他保护 缺陷 缺陷 其他资源 其他资源 目标 使用本模块可以实现： 强化服务器的 TCP/IP 堆栈安全 保护服务器免遭 “拒绝服务”和其他基于网络的攻击 在检测到攻击时启用 SYN 洪水攻击保护 设置用于确认是什么构成攻击的阈值 返回页首 返回页首 适用范围 本模块适用于下列产品和技术： Microsoft Windows 2000 Server 和 Windows 2000 Advanced Server 返回页首 返回页首 如何使用本模块 默认情况下，本模块中的一些注册表项和值可能不存在。在这些情况下，请创建这些注册表项、值和数值数据。 有关 Windows 2000 控制的 TCP/IP 网络设置的注册表的详细信息，请参阅白皮书 “Microsoft Windows 2000 TCP/IP Implementation Details” ，网址为/technet/treeview/default.asp?url=/technet/itsolutions/network/deplo y/depovg/tcpip2k.asp （英文） 注意：这些设置会修改服务器上 TCP/IP 的工作方式。Web 服务器的特征将确定触发拒绝服务对策的最佳阈值。 对于客户端的连接，一些值可能过于严格。在将本模块的建议部署到产品服务器之前，要对这些建议进行测试。 返回页首 返回页首 摘要 TCP/IP 堆栈负责处理传入和传出的 IP 数据包，并将数据包中的数据路由到要处理它们的应用程序。默认情况下，TCP/IP 天生就是一个不安全的协议。但是， Microsoft? Windows? 2000 版本允许您配置其操作，以抵御网络级别的大多数拒绝服务攻击。 本模块解释如何强化 TCP/IP 堆栈的安全，以及如何在 Windows 注册表内配置各种 TCP/IP 参数，以便保护 服务器免遭网络级别的拒绝服务攻击，包括 SYS 洪水攻击、ICMP 攻击和 SNMP 攻击。 返回页首 返回页首 必备知识 可以在 Windows 注册表内配置各种 TCP/IP 参数，以便保护服务器免遭网络级别的拒绝服务攻击， 包括 SYS 洪水攻击、ICMP 攻击和 SNMP 攻击。可以配置注册表项，以便： 在检测到攻击时启用 SYN 洪水攻击保护机制。 设置用于确认构成攻击的阈值。 本“如何” 向管理员介绍必须配置哪些注册表项和注册表值，以抵御基于网络的拒绝服务攻击。 注意 这些设置会修改服务器上 TCP/IP 的工作方式。Web 服务器的特征将确定触发拒绝服务对策的最佳阈值。对于客户端的连接，一些值可能过于严格。在将本文档的建议部署到产品服务器之前，应当测试这些建议。TCP/IP 天生就是一个不安全的协议。但是， Windows 2000 版本允许您配置其操作，以抵御网络级别的拒绝 服务攻击。默认情况下， 本“如何”中引用的一些注册表项和值可能不存在。在这些情况下，请创建这些注册表项、值和值数据。 有关 Windows 2000 的注册表所控制的 TCP/IP 网络设置的详细信息，请参阅白皮书 “Microsoft Windows 2000 TCP/IP Implementation Details” ，网址为 /technet/treeview/default.asp?url=/technet/itsolutions/network/deplo y/depovg/tcpip2k.asp （英文）。 返回页首 返回页首 抵御 SYN 攻击 SYN 攻击利用了 TCP/IP 连接建立机制中的安全漏洞。要实施 SYN 洪水攻击，攻击者会使用程序发送大量 TCP SYN 请求来填满服务器上的挂起连接队列。这会禁止其他用户建立网络连接。 要保护网络抵御 SYN 攻击，请按照下面这些通用步骤操作（这些步骤将在本文档的稍后部分进行说明）： 启用 SYN 攻击保护 设置 SYN 保护阈值 设置其他保护 启用 SYN 攻击保护 启用 SYN 攻击保护的命名值位于此注册表项的下面： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 。值名称 ： SynAttackProtect 建议值 ： 2 有效值 ： 0 – 2 说明 ：使 TCP 调整 SYN-ACK 的重传。配置此值后，在遇到 SYN 攻击时，对连接