Modifique Win2k Registry Resistance Denial of Service

Hablando de DoS y DDoS desde la vista correcta

Creo que no todos estarán familiarizados con estas dos palabras, sí, Denial of Service (Denial of Service) ), así como Denegación de servicio distribuido (Denegación de servicio distribuida).

La llamada denegación de servicio significa que después de que ocurra un ataque específico, el objeto atacado no puede proporcionar el servicio adecuado a tiempo. Por ejemplo, el servicio del sitio web (Servicio HTTP) debe proporcionarse en lugar del servicio del sitio web y el servidor de correo electrónico ( SMTP, POP3) no puede proporcionar la función de enviar y recibir correo, etc. Básicamente, los ataques de bloqueo del servicio generalmente utilizan una gran cantidad de paquetes de datos de red para destruir la red y el host de la otra parte, de modo que los usuarios normales no pueden obtener un servicio oportuno del host.

La denegación de servicio distribuida, en resumen, consume los sistemas disponibles y el ancho de banda de la red con paquetes de datos masivos que superan con creces la potencia de procesamiento de destino, lo que genera servicios de red.

Tal vez esté relacionado con la excesiva atención de los medios. Los ataques DoS, especialmente los ataques DDoS, parecen ser populares de la noche a la mañana. Los administradores de redes grandes y pequeños, siempre que el servidor esté defectuoso, están muy entusiasmados. Gritando "¡Estaba haciendo DDoS!", La cara parece escribir gloria y orgullo incomparables.

De hecho, no hay muchos DDoS en nuestro mundo real. Después de todo, los recursos necesarios para lanzar un ataque DDoS son muchos, pero los ataques reales continúan ocurriendo. En el interior, la gran mayoría son ataques ordinarios de denegación de servicio. El nivel ordinario de ataques, cómo proteger, se ha convertido en el mayor dolor de cabeza de muchos administradores de red, por lo que tengo que preguntar, los resultados suelen ser los mismos, "compre nuestro firewall de hardware".

Los firewalls de hardware, incluidos los productos dedicados a los ataques contra la denegación de servicio, son realmente buenos, pero el precio básico es muy caro, aunque el efecto es bueno, desde la perspectiva de la inversión y la protección de la inversión, es demasiado.

De hecho, desde la perspectiva del sistema operativo, tiene muchas funciones, pero muchas de ellas nos necesitan para explorar lentamente. Aquí le daré una breve introducción sobre cómo modificar el registro en el entorno Win2000 para mejorar las capacidades anti-DoS del sistema.

Detalles:

Editor de Registro de Windows Versión 5.00

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters]

Compruebe si hay puertas de enlace no válidas. Cuando el servidor está configurado con múltiples puertas de enlace, el sistema intentará conectarse a la segunda puerta de enlace cuando la red no sea fluida, y la red se puede optimizar apagándola.

" EnableDeadGWDetect " = dword: 00000000

Deshabilita la respuesta a los mensajes de redireccionamiento de ICMP. Dichos paquetes pueden usarse para ataques, por lo que el sistema debe negarse a aceptar mensajes de redirección ICMP.

" EnableICMPRedirects " = dword: 00000000

El nombre de NETBIOS no se puede publicar. Cuando el atacante emite una solicitud para consultar el nombre de NETBIOS del servidor, se puede desactivar el servidor.

Tenga en cuenta que el sistema debe estar instalado por encima del SP2

" NoNameReleaseOnDemand " = dword: 00000001

Enviar paquetes keep-alive de verificación. Esta opción determina cuánto tiempo debe durar el intervalo TCP para determinar que la conexión actual aún está conectada. Si el valor no está establecido, el sistema verifica si el TCP tiene una conexión inactiva cada 2 horas. El tiempo de configuración es de 5 minutos.

" KeepAliveTime " = dword: 000493e0

La detección de la ruta de longitud máxima de paquetes está prohibida. Cuando el valor es 1, el tamaño del paquete de datos que se puede transmitir se detecta automáticamente, lo que se puede usar para mejorar la eficiencia de la transmisión. Si el fallo ocurre o es seguro, el valor del elemento es 0, lo que indica que el valor fijo de MTU es 576 bytes.

" EnablePMTUDiscovery " = dword: 00000000

Inicia la protección contra ataques de sincronización. El valor predeterminado es 0, lo que significa que la protección contra ataques no está activada. Si el valor es 1 y 2, la protección contra ataques sincronizados está habilitada. Después de que la configuración sea 2, el nivel de seguridad es mayor. Si se considera que el ataque es un ataque, debe usar el siguiente TcpMaxHalfOpen y La condición establecida por el valor TcpMaxHalfOpenRetried desencadena el inicio. Debe tenerse en cuenta que NT4.0 debe configurarse en 1, y en 2 hará que el sistema se reinicie bajo un paquete especial.

" SynAttackProtect " = dword: 00000002

El número de semifusiones que se pueden abrir al mismo tiempo. La llamada semi-unión, lo que significa que la sesión TCP no está completamente establecida, puede ver el estado SYN_RCVD con el comando netstat. Aquí utilizamos el valor recomendado de Microsoft, el servidor se establece en 100 y el servidor avanzado se establece en 500. La sugerencia puede ser un poco más pequeña.

" TcpMaxHalfOpen " = dword: 00000064

Determine si hay un punto de activación para el ataque. Aquí usamos el valor recomendado de Microsoft, el servidor es 80 y el servidor avanzado es 400.

" TcpMaxHalfOpenRetried " = dword: 00000050

Establezca el tiempo de espera para SYN-ACK. El valor predeterminado es 3, que por defecto es de 45 segundos. El valor del elemento es 2 y el tiempo transcurrido es de 21 segundos. El valor del elemento es 1 y el tiempo transcurrido es de 9 segundos. El mínimo se puede establecer en 0, lo que significa que no hay que esperar y el tiempo de consumo es de 3 segundos. Este valor se puede modificar en función del tamaño del ataque. La recomendación de seguridad del sitio de Microsoft es 2.

" TcpMaxConnectResponseRetransmissions " = dword: 00000001

Establezca el número de veces que TCP retransmite un único segmento de datos. El valor predeterminado es 5, que por defecto es de 240 segundos. La recomendación de seguridad del sitio de Microsoft es 3.

" TcpMaxDataRetransmissions " = dword: 00000003

Establezca el punto crítico de la protección contra el ataque de sincronización. Cuando la reserva disponible se convierte en 0, este parámetro se usa para controlar la apertura de la protección contra ataques sn. La recomendación de seguridad del sitio de Microsoft es 5.

" TCPMaxPortsExhausted " = dword: 00000005

Deshabilita el enrutamiento de la fuente IP. Si el valor predeterminado es 1, significa que el paquete de ruta de origen no se reenvía. Si el valor de la entrada es 0, significa que se reenvían todos los paquetes. Si el valor se establece en 2, se descartan todos los paquetes de ruta de origen aceptados. La recomendación de seguridad del sitio de Microsoft es 2.

" DisableIPSourceRouting " = dword: 0000002

Limita el tiempo máximo en el estado TIME_WAIT. El valor predeterminado es 240 segundos, el mínimo es 30 segundos y el máximo es 300 segundos. Se recomienda ajustar a 30 segundos.

" TcpTimedWaitDelay " = dword: 0000001e

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ NetBT \\ Parameters]

Aumente el aumento en el bloque de conexión de NetBT. El valor predeterminado es 3 y el rango es 1-20. Cuanto mayor sea el valor, mayor será el rendimiento cuando la conexión sea mayor. Cada bloque de conexión consume 87 bytes.

" BacklogIncrement " = dword: 00000003

El número máximo de conexiones NetBT. El rango es 1-40000, que se establece aquí en 1000. Cuanto mayor sea el valor, más conexiones se permiten cuando hay más conexiones.

" MaxConnBackLog " = dword: 000003e8

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Afd \\ Parameters]

Configure para activar el Backlog dinámico. Para los sistemas con ataques pesados ​​de red o SYN, se recomienda establecerlo en 1, lo que indica que se permiten atrasos dinámicos.

" EnableDynamicBacklog " = dword: 00000001

Configure un Backlog dinámico mínimo. El valor predeterminado es 0, que indica el número mínimo de conexiones libres que asigna el Backlog dinámico. Cuando el número de conexiones libres es inferior a este número, la conexión gratuita se asigna automáticamente. El valor predeterminado es 0. Para sistemas con ataques pesados ​​de red o SYN, la configuración recomendada es 20.

" MinimumDynamicBacklog " = dword: 00000014

Backlog dinámico máximo. Significa definir el número máximo de "cuasi" y "conexiones", principalmente depende del tamaño de la memoria. El máximo teórico de cada memoria 32M se puede aumentar en 5000, aquí se establece en 20000.

" MaximumDynamicBacklog " = dword: 00002e20

Agregue datos de conexión gratuitos cada vez. El valor predeterminado es 5, lo que significa que se define el número de conexiones libres que se agregan cada vez. Para sistemas con gran cantidad de redes o vulnerables a ataques SYN, se recomienda establecerlo en 10.

" DynamicBacklogGrowthDelta " = dword: 0000000a

Las siguientes secciones deben modificarse manualmente de acuerdo con la situación real

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters]

Habilitar filtrado de seguridad en la tarjeta de red

" EnableSecurityFilters " = dword: 00000001

El número de conexiones TCP abiertas al mismo tiempo, que se pueden controlar según la situación.

" TcpNumConnections " =

Este parámetro controla el límite de tamaño de la tabla de encabezado TCP. En máquinas con mucha RAM, aumentar esta configuración puede mejorar la capacidad de respuesta durante un ataque SYN.

" TcpMaxSendFree " =

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters

\\ Interfaces \\ {Interfaz NIC propia]]

El descubrimiento de ruta está deshabilitado. Los paquetes de anuncios de ruta ICMP se pueden usar para aumentar el registro de la tabla de enrutamiento y pueden causar ataques. Por lo tanto, el descubrimiento de rutas está prohibido.

" PerformRouterDiscovery " = dword: 00000000