todo el mundo no se sentirá la visión correcta de DoS y DDoS Hablando
creer que estos dos palabra desconocida, sí, ataques de denegación de servicio (Denial of Service), y Denegación de servicio distribuida (Denegación de servicio distribuida).
llamada denegación de servicio, se refiere a que ocurrió el ataque específico, el objeto de ataque no proporcionan los servicios necesarios, como debería haber sido la prestación de servicios web (HTTP Servicio) no puede proporcionar servicios web, servidor de correo electrónico ( SMTP, POP3) o similar no pueden proporcionar función de recepción de la correspondencia, en esencia, ataques de denegación de servicio a menudo utilizan una gran cantidad de paquetes de red a la red y una serie de otras parálisis, para que los usuarios normales no pueden obtener el servicio oportuno de acogida.
denegación de servicio distribuida, simplemente significa sistemas disponibles que consumo, y el ancho de banda de la red al exceder con mucho, el objetivo de poder masivo de procesamiento de paquetes, lo que resulta en la parálisis de servicios de red.
y quizás excesivamente preocupados por los medios de comunicación, ataques de denegación de ataques DDoS en especial, parece a aparecer durante la noche, se involucran en la red de grandes y pequeños, siempre y cuando hay un fallo en el servidor, de forma excepcional excitada Gritando "¡Yo era DDOS!", La cara parece escribir gloria y orgullo incomparables.
De hecho, a nuestro alrededor, DDoS en el verdadero sentido no es que, después de todo, muchísimos recursos necesarios para lanzar un ataque DDoS, pero el ataque real, pero mantienen el lugar en el que En el interior, la gran mayoría son ataques ordinarios de denegación de servicio. El nivel ordinario de ataques, cómo proteger, se ha convertido en el mayor dolor de cabeza de muchos administradores de red, por lo que tengo que preguntar, los resultados suelen ser los mismos, "compre nuestro firewall de hardware". firewall de hardware
, incluyendo anti-rechazo especial de los ataques del servicio producto es realmente bueno, pero los precios de base son muy caros, aunque el efecto es bueno, y la protección de la inversión desde el punto de vista de inversión, un poco exageradas.
De hecho, desde el punto de vista, en posesión de una gran cantidad de funciones del sistema operativo, pero muchos son poco a poco tenemos que la minería. Aquí le daré una breve introducción sobre cómo modificar el registro en el entorno de Win2000 para mejorar las capacidades anti-DOS del sistema. detalles
:
de Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters]
Un examen detallado de la puerta de entrada no es válida. Cuando el servidor está configurado con múltiples puertas de enlace, el sistema intentará conectarse a la segunda puerta de enlace cuando la red no sea fluida, y la red se puede optimizar apagándola.
"EnableDeadGWDetect" = dWord: 00000000
Deshabilita la respuesta a los mensajes de redireccionamiento de ICMP. Dichos paquetes pueden usarse para ataques, por lo que el sistema debe negarse a aceptar mensajes de redirección ICMP.
"EnableICMPRedirects" = dWord: 00000000
No está permitido liberar el nombre de NETBIOS. Cuando el atacante emite una solicitud para consultar el nombre de NETB iOS del servidor, se puede desactivar el servidor. Tenga en cuenta que el sistema debe ser instalado
SP2 o
"NoNameReleaseOnDemand" = dword: 00000001
verificación de mantener activa la transmisión de paquetes. Esta opción determina cuánto tiempo debe durar el intervalo TCP para determinar que la conexión actual aún está conectada. Si el valor no está establecido, el sistema verifica si el TCP tiene una conexión inactiva cada 2 horas. El tiempo de configuración es de 5 minutos.
"KeepAliveTime" = dWord: 000493e0
La detección de ruta de longitud máxima de paquete está prohibida. El valor de 1, detectará automáticamente el tamaño del paquete puede ser transmitida, se puede utilizar para mejorar la eficiencia de transmisión, tales como razones de fallo o de seguridad, como valor del artículo de 0 indica un 576bytes valor de MTU fijos.
"EnablePMTUDiscovery" = dWord: 00000000
Inicia la protección contra ataques de sincronización. El valor predeterminado de 0 indica que no hay protección contra ataques abiertos, puntos 1 y 2 muestran el valor inicial de la protección contra ataques SYN, ajustado a un nivel de seguridad más alto después de 2, y bajo qué condiciones considera un ataque, es necesario y de acuerdo con el siguiente TcpMaxHalfOpen La condición establecida por el valor TcpMaxHalfOpenRetrIEd desencadena el inicio. Debe tenerse en cuenta que NT4.0 debe configurarse en 1, y en 2 hará que el sistema se reinicie bajo un paquete especial.
"SynAttackProtect" = dWord: 00000002
El número de semifusiones que se pueden abrir al mismo tiempo. La llamada semi-unión, lo que significa que la sesión TCP no está completamente establecida, puede ver el estado SYN_RCVD con el comando netstat. Aquí utilizamos el valor recomendado de Microsoft, el servidor se establece en 100 y el servidor avanzado se establece en 500. La sugerencia puede ser un poco más pequeña.
"TcpMaxHalfOpen" = dWord: 00000064
Determine si hay un punto de activación para el ataque. Aquí usamos el valor recomendado de Microsoft, el servidor es 80 y el servidor avanzado es 400.
"TcpMaxHalfOpenRetrIEd" = dWord: 00000050
Establezca el tiempo para esperar a SYN-ACK. El valor predeterminado es 3, que por defecto es de 45 segundos. El valor del elemento es 2 y el tiempo transcurrido es de 21 segundos. El valor del elemento es 1 y el tiempo transcurrido es de 9 segundos. El mínimo se puede establecer en 0, lo que significa que no hay que esperar y el tiempo de consumo es de 3 segundos. Este valor se puede modificar en función del tamaño del ataque. La recomendación de seguridad del sitio de Microsoft es 2.
"TcpMaxConnectResponseRetransmissions" = dWord: 00000001
Establece el número de veces que TCP retransmite un solo segmento de datos. El valor predeterminado es 5, que por defecto es de 240 segundos. La seguridad del sitio de Microsoft se recomienda como 3.
"TcpMaxDataRetransmissions" = dWord: 00000003
Establezca el punto crítico de la protección contra el ataque de sincronización. Cuando la reserva disponible se convierte en 0, este parámetro se usa para controlar la apertura de la protección contra ataques de sincronización. La recomendación de seguridad del sitio de Microsoft es 5.
"TCPMaxPortsExhausted" = dWord: 00000005
Deshabilita el enrutamiento de la fuente IP. El valor por defecto de 1 indica que no forward Fuente enrutado de paquetes, valor de la clave se establece en 0, que todos hacia adelante, se establece en 2, representa una caída de todo paquete de rutas Fuente aceptado, la seguridad de Microsoft sitio recomienda 2.
"DisableIPSourceRouting" = dWord: 0000002
Limita el tiempo máximo en el estado TIME_WAIT. El valor predeterminado es 240 segundos, el mínimo es 30 segundos y el máximo es 300 segundos. Se recomienda ajustar a 30 segundos.
"TcpTimedWaitDelay" = DWORD: 0000001e
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ NetBT \\ Parameters] aumento
en la tasa de aumento de la NetBT bloque de conexión. El valor predeterminado es 3, el rango es 1-20. Cuanto mayor sea el valor, mayor será el rendimiento cuando la conexión es mayor. Cada bloque de conexión consume 87 bytes.
"BacklogIncrement" = dWord: 00000003
El número máximo de conexiones NetBT. El rango es 1-40000, establecido en 1000. Cuanto mayor sea el valor, más conexiones se permiten cuando hay más conexiones.
"MaxConnBackLog" = DWORD: 000003e8
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ AFD \\ Parameters]
configurado para activar registro dinámico. Para los sistemas con ataques pesados de red o SYN, se recomienda establecerlo en 1, lo que indica que se permiten atrasos dinámicos.
"EnableDynamicBacklog" = dWord: 00000001
Configure el Backlog dinámico mínimo. El valor predeterminado es 0, que indica el número mínimo de conexiones libres que asigna el Backlog dinámico. Cuando el número de conexiones libres es menor que este número, las conexiones libres se asignan automáticamente. El valor predeterminado es 0. Para sistemas con ataques pesados de red o SYN, la configuración recomendada es 20.
"MinimumDynamicBacklog" = dWord: 00000014
Backlog dinámico máximo. Indica el número máximo de conexiones "cuasi", principalmente según el tamaño de la memoria. El máximo teórico de la memoria 5000M se puede aumentar en 5000, que se establece en 20000.
"MaximumDynamicBacklog" = dWord: 00002e20
Agregue datos de conexión gratuita cada vez. El valor predeterminado es 5, lo que significa que se define el número de conexiones libres que se agregan cada vez. Para sistemas con gran cantidad de redes o vulnerables a ataques SYN, se recomienda establecerlo en 10.
"DynamicBacklogGrowthDelta" = DWORD: 0000000a
siguientes partes necesitan modificar
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters] Francia El manual de real < BR> filtrada
habilitar la seguridad de las tarjetas de "EnableSecurityFilters" = dword: 00000001 número
de conexiones TCP abiertas simultáneamente, esto puede ser controlada de acuerdo con la situación.
"TcpNumConnections" =
Este parámetro controla el límite de tamaño de la tabla de encabezado TCP. En máquinas con mucha RAM, aumentar esta configuración puede mejorar la capacidad de respuesta durante un ataque SYN.
"TcpMaxSendFree" =
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters
\\ Interfaces \\ {propia interfaz de red}]
El descubrimiento de ruta está deshabilitado. Los paquetes de publicidad de ruta ICMP se pueden usar para agregar registros de la tabla de enrutamiento, lo que puede causar ataques, por lo que está prohibido el descubrimiento de rutas
"PerformRouterDiscovery" = dWord: 00000000