调整 TCP/IP 防范攻击

  • 发布于:2021-06-04
  • 189 人围观
TCP/IP安全设置除了上述所列出的设置之外,可以修改下列项以辅助系统更有效地抵御攻击。请注意,这些推荐值决不是使系统不受攻击,而只在于调整TCP/IP栈防范攻击。这些项的设置并不涉及系统上的许多其它组件(可能被用于攻击系统)。对于注册表的任何更改,管理员必须充分了解这些更改对系统默认功能的影响以及在他们的环境中是否适当。

  SynAttackProtect 

  项:TcpipParameters 

  数值类型:REG_DWORD 

  有效范围:0、1、2 

  0(没有SYN攻击保护)

  1(如果满足TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置,减少重传重试次数与延迟的RCE(路由缓存项)创建。)

  2(除1之外的另一个Winsock延迟指示。)

  备注当系统发现自己受到攻击时,任何套接字上的下列选项不再启用:可缩放窗口(RFC 1323)与每个适配器上已配置TCP参数(初始RTT、窗口大小)。这是因为当保护生效时,在发送SYN-ACK之前不再查询路由缓存项,并且连接过程中Winsock选项不可用。

  默认值:0 (false) 

  推荐值:2 

  说明:SYN攻击保护包括减少SYN-ACK重传次数,以减少分配资源所保留的时间。路由缓存项资源分配延迟,直到建立连接为止。如果synattackprotect = 2,则AFD的连接指示一直延迟到三路握手完成为止。注意,仅在TcpMaxHalfOpen 和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施。

  TcpMaxHalfOpen 

  项:TcpipParameters 

  数值类型:REG_DWORD -数字 

  有效范围:100-0xFFFF 

  默认值:100 (Professional、Server)、500 (Advanced Server) 

  说明:该参数控制SYN攻击保护启动前允许处于SYN-RCVD状态的连接数量。如果将SynAttackProtect设为1,确保该数值低于要保护的端口上AFD侦听预备的值(有关详细信息,参见附录C中的预备参数)。有关详细信息,请参见 SynAttackProtect参数。


TcpMaxHalfOpenRetried 

  项:TcpipParameters 

  数值类型:REG_DWORD -数字 

  有效范围:80-0xFFFF 

  默认值:80 (Professional、Server)、400 (Advanced Server) 

  说明:该参数控制在SYN攻击保护启动前处于SYN-RCVD状态的连接数量,对于该连接至少有一个SYN重传已经发送。有关详细信息,参见SynAttackProtect 参数。

  EnablePMTUDiscovery 

  项:TcpipParameters 

  数值类型:REG_DWORD -布尔值 

  有效范围:0、1(false、true)

  默认值:1 (true) 

  推荐值:0 

  说明:将该参数设置为1 (true)时,TCP将查找到达远程主机路径上的最大传输单位(MTU或最大的数据包大小)。通过发现路径MTU并将TCP字段限制到这个大小,TCP可以限制在连结到不同的MTU网络的路由器上的碎片。碎片会影响 TCP吞吐量和网络堵塞。将这个参数设置成0,会导致为所有不在本地子网上主机连接使用576字节的MTU。

  NoNameReleaseOnDemand 

  项:NetbtParameters 

  数值类型:REG_DWORD -布尔值 

  有效范围:0、1(false、true)

  默认值:0 (false) 

  推荐值:1 

  说明:该参数确定当收到网络的名称释放请求时,计算机是否释放其NetBIOS名称。添加该参数,管理员就可以保护机器免遭恶意名称释放攻击。

  EnableDeadGWDetect 

  项:TcpipParameters 

  数值类型:REG_DWORD -布尔值 

  有效范围:0、1(false、true)

  默认值:1 (true) 

  推荐值:0 

  说明:当该参数设为1时,允许TCP执行间隔网关检测。启用该功能时,如果处理多个连接有困难时,TCP可以请求IP改到备份网关。备份网关可以在“网络控制面板”中“TCP/IP配置”对话框的“高级”部分进行定义。有关详细信息,请参见本文“间隔网关检测”一节。

KeepAliveTime 

  项:TcpipParameters 

  数值类型:REG_DWORD -时间(毫秒)

  有效范围:1-0xFFFFFFFF 

  默认值:7,200,000(两个小时)

  推荐值:300,000 

  说明:通过发送保留的数据包,该参数可确定TCP要隔多长时间验证一次闲置连接仍仍未断开。如果远程系统仍可以连接并正在运行,它就会确认保留传输。默认情况下,不发送保留数据包。应用程序可以在连接上启用这一功能。

  PerformRouterDiscovery 

  项:TcpipParametersInterfacesinterface 

  数值类型:REG_DWORD 

  有效范围:0、1、2 

  0(禁用)

  1(启用)

  2(仅当DHCP发送路由器发现选项时启用)

  默认值:2,DHCP控制,但默认情况下为关闭。

  推荐值:0 

  说明:该参数控制Windows 2000是否根据每个接口上的RFC 1256执行路由器发现。也可参见SolicitationAddressBcast
万企互联
标签: