Win2000 mejora la capacidad de ataque anti-DDOS modificando el registro

  
Denegado Denegación de Servicio. La llamada denegación de servicio significa que después de que ocurra un ataque específico, el objeto atacado no puede proporcionar el servicio adecuado a tiempo. Por ejemplo, se debe proporcionar el servicio del sitio web (Servicio HTTP) y el servicio del sitio web. El servidor de correo electrónico (SMTP, POP3) no puede proporcionar el servicio. La función de enviar y recibir correo, etc., básicamente, bloquear los ataques de servicio generalmente utiliza una gran cantidad de paquetes de datos de red para destruir la red y el host de la otra parte, de modo que los usuarios normales no puedan obtener un servicio oportuno del host. La denegación de servicio distribuida, en términos simples, consume los sistemas disponibles y el ancho de banda de la red con paquetes de datos masivos que superan con creces la potencia de procesamiento de destino, lo que provoca el tráfico de red. Tal vez esté relacionado con la excesiva atención de los medios. Los ataques DoS, especialmente los ataques DDoS, parecen ser populares de la noche a la mañana. Los administradores de red que participan en grandes y pequeños, siempre que el servidor esté defectuoso, están muy emocionados y gritaron "Yo estaba DDoS! ", la cara parece escribir gloria y orgullo incomparables. De hecho, no hay muchos DDoS en el sentido real que nos rodea. Después de todo, los recursos necesarios para lanzar un ataque DDoS son muchos, pero los ataques reales están ocurriendo constantemente. Ambos son ataques ordinarios de denegación de servicio. El nivel ordinario de ataques, cómo proteger, se ha convertido en el mayor dolor de cabeza de muchos administradores de red, por lo que las consultas están en todas partes, los resultados suelen ser los mismos, "compre nuestro firewall de hardware". Los firewalls de hardware, incluidos los productos dedicados a los ataques contra la denegación de servicio, son realmente buenos, pero el precio básico es muy caro, aunque el efecto es bueno, desde la perspectiva de la inversión y la protección de la inversión, es demasiado. De hecho, desde la perspectiva del sistema operativo, tiene muchas funciones ocultas, pero muchas de ellas nos necesitan para explorar lentamente. Aquí le daré una breve introducción sobre cómo modificar el registro en el entorno Win2000 para mejorar las capacidades anti-DoS del sistema. Detalles: Editor del Registro de Windows Versión 5.00 [HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters] 'Compruebe si hay puertas de enlace no válidas. Cuando el servidor está configurado con varias puertas de enlace, el sistema intentará conectarse a la "segunda puerta de enlace" cuando la red no sea fluida, y puede optimizar la red apagándola. " EnableDeadGWDetect " = dword: 00000000 'No responder a los mensajes de redirección de ICMP. Dichos paquetes pueden usarse para ataques, por lo que el sistema debe negarse a aceptar mensajes de redirección ICMP. " EnableICMPRedirects " = dword: 00000000 'No permitir que se publique el nombre de NETBIOS. Cuando el atacante emite una solicitud para consultar el nombre de NETBIOS del servidor, se puede desactivar el servidor. 'Tenga en cuenta que el sistema debe instalarse por encima de SP2 " NoNameReleaseOnDemand " = dword: 00000001' enviar paquetes keep-alive de verificación. Esta opción determina cuánto tiempo debe durar el intervalo TCP para determinar que la conexión actual aún está conectada. "Sin este valor, el sistema verifica las conexiones inactivas de TCP cada 2 horas. El tiempo de configuración es de 5 minutos. " KeepAliveTime " = dword: 000493e0 'No permitir la detección de la ruta de la longitud máxima del paquete. Cuando el valor es 1, el tamaño del paquete de datos que se puede transmitir se detecta automáticamente. "Se puede usar para mejorar la eficiencia de la transmisión. Si hay una falla o seguridad, el valor del artículo es 0, lo que significa que el valor fijo de MTU es de 576 bytes. " EnablePMTUDiscovery " = dword: 00000000 'Iniciar la protección contra el ataque de sincronización. Si el valor predeterminado es 0, la protección contra ataques no está habilitada. El valor de 1 y 2 indica que la protección contra ataques está habilitada. Después de que el valor sea 2, el nivel de seguridad es mayor. Si se considera que un ataque es un ataque, debe usar el siguiente TcpMaxHalfOpen. Y el valor TcpMaxHalfOpenRetried 'establece la condición para activar el inicio. Debe tenerse en cuenta que NT4.0 debe configurarse en 1, y en 2 hará que el sistema se reinicie bajo un paquete especial. " SynAttackProtect " = dword: 00000002 'El número de semi-uniones permitidas al mismo tiempo. La llamada semi-unión, lo que significa que la sesión TCP no está completamente establecida, se puede ver en el estado SYN_RCVD con el comando netstat. Aquí utilizamos el valor recomendado de Microsoft, el servidor se establece en 100 y el servidor avanzado se establece en 500. La sugerencia puede ser un poco más pequeña. " TcpMaxHalfOpen " = dword: 00000064 'Determine si hay un punto de activación para el ataque. Aquí usamos el valor recomendado de Microsoft, el servidor es 80 y el servidor avanzado es 400. " TcpMaxHalfOpenRetried " = dword: 00000050 'Establezca el tiempo de espera SYN-ACK. El valor predeterminado es 3, que por defecto es de 45 segundos. El valor del elemento es 2 y el tiempo transcurrido es de 21 segundos. El valor del elemento es 1 y el tiempo transcurrido es de 9 segundos. El mínimo se puede establecer en 0, lo que significa que no hay que esperar y el tiempo de consumo es de 3 segundos. Este valor se puede modificar en función del tamaño del ataque. 'Microsoft Site Security se recomienda como 2. " TcpMaxConnectResponseRetransmissions " = dword: 00000001 'Establecer el número de veces que TCP retransmite un único segmento de datos. El valor predeterminado es 5, que por defecto es de 240 segundos. La recomendación de seguridad del sitio de Microsoft es 3. " TcpMaxDataRetransmissions " = dword: 00000003 'Establezca el punto crítico de la protección contra el ataque de sincronización. Cuando la reserva disponible se convierte en 0, este parámetro se usa para controlar la apertura de la protección contra ataques sn. La recomendación de seguridad del sitio de Microsoft es 5. " TCPMaxPortsExhausted " = dword: 00000005 'Prohibir el enrutamiento de origen IP. Si el valor predeterminado es 1, significa que el paquete de la ruta de origen no se reenvía. Si el valor de la entrada es 0, significa que todo el reenvío. Si se establece en 2, significa que se descartan todos los paquetes de ruta de origen aceptados. La recomendación de seguridad del sitio de Microsoft es 2. " DisableIPSourceRouting " = dword: 0000002 'Restringe el tiempo máximo en el estado TIME_WAIT. El valor predeterminado es 240 segundos, el mínimo es 30 segundos y el máximo es 300 segundos. Se recomienda ajustar a 30 segundos. " TcpTimedWaitDelay " = dword: 0000001e [HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ NetBT \\ Parameters] 'Aumente el aumento en el bloque de conexión de NetBT. El valor predeterminado es 3 y el rango es 1-20. Cuanto mayor sea el valor, mayor será el rendimiento cuando la conexión sea mayor. Cada bloque de conexión consume 87 bytes. " BacklogIncrement " = dword: 00000003 'El número máximo de conexiones NetBT es rápido. El rango es 1-40000, que se establece aquí en 1000. Cuanto mayor sea el valor, más conexiones se permiten cuando hay más conexiones. " MaxConnBackLog " = dword: 000003e8 [HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Afd \\ Parameters] 'Configura la activación del Backlog dinámico. Para los sistemas con ataques pesados ​​de red o SYN, se recomienda establecerlo en 1, lo que indica que se permiten atrasos dinámicos. " EnableDynamicBacklog " = dword: 00000001 'Configurar el Backlog dinámico mínimo. El valor predeterminado es 0, que indica el número mínimo de conexiones libres que asigna el Backlog dinámico. Cuando el número de conexiones libres es inferior a este número, las conexiones se asignan automáticamente de forma gratuita. El valor predeterminado es 0. Para sistemas con ataques pesados ​​de red o SYN, la configuración recomendada es 20. " MinimumDynamicBacklog " = dword: 00000014 'Backlog dinámico máximo. Indica que la definición del número máximo de "cuasi" y "conexiones" depende principalmente del tamaño de la memoria, el máximo teórico de 32M de memoria se puede aumentar en 5000, aquí establecido en 20000. " MaximumDynamicBacklog " = dword: 00002e20 'Agregar datos de conexión libres cada vez. El valor predeterminado es 5, lo que significa que se define el número de conexiones libres que se agregan cada vez. Para sistemas con gran cantidad de redes o vulnerables a ataques SYN, se recomienda establecerlo en 10. " DynamicBacklogGrowthDelta " = dword: 0000000a Las siguientes secciones deben modificarse manualmente de acuerdo con la situación real '--------------------------------- -------------------------------------------------- -------------- '[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters]' Habilitar filtrado de seguridad en la NIC '" EnableSecurityFilters " = dword: 00000001' al mismo tiempo abrir TCP El número de conexiones, que pueden ser controladas de acuerdo a la situación. '" TcpNumConnections " =' 'Este parámetro controla el límite de tamaño de la tabla de encabezado TCP. En máquinas con mucha RAM, aumentar esta configuración puede mejorar la capacidad de respuesta durante un ataque SYN. '" TcpMaxSendFree " =' '[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters \\ Interfaces \\ {Interfaz de NIC propia}]' deshabilita la detección de rutas. Los paquetes de anuncios de ruta ICMP se pueden usar para aumentar el registro de la tabla de enrutamiento y pueden causar ataques. Por lo tanto, el descubrimiento de rutas está prohibido. " PerformRouterDiscovery " = dword: 00000000 '---------------------------------------- -------------------------------------------------- -------
Copyright © Conocimiento de Windows All Rights Reserved