调整 TCP/IP 防范攻击
- 发布于:2021-06-04
- 共 180 人围观
SynAttackProtect
项:TcpipParameters
数值类型:REG_DWORD
有效范围:0、1、2
0(没有SYN攻击保护)
1(如果满足TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置,减少重传重试次数与延迟的RCE(路由缓存项)创建。)
2(除1之外的另一个Winsock延迟指示。)
备注当系统发现自己受到攻击时,任何套接字上的下列选项不再启用:可缩放窗口(RFC 1323)与每个适配器上已配置TCP参数(初始RTT、窗口大小)。这是因为当保护生效时,在发送SYN-ACK之前不再查询路由缓存项,并且连接过程中Winsock选项不可用。
默认值:0 (false)
推荐值:2
说明:SYN攻击保护包括减少SYN-ACK重传次数,以减少分配资源所保留的时间。路由缓存项资源分配延迟,直到建立连接为止。如果synattackprotect = 2,则AFD的连接指示一直延迟到三路握手完成为止。注意,仅在TcpMaxHalfOpen 和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施。
TcpMaxHalfOpen
项:TcpipParameters
数值类型:REG_DWORD -数字
有效范围:100-0xFFFF
默认值:100 (Professional、Server)、500 (Advanced Server)
说明:该参数控制SYN攻击保护启动前允许处于SYN-RCVD状态的连接数量。如果将SynAttackProtect设为1,确保该数值低于要保护的端口上AFD侦听预备的值(有关详细信息,参见附录C中的预备参数)。有关详细信息,请参见 SynAttackProtect参数。
TcpMaxHalfOpenRetried
项:TcpipParameters
数值类型:REG_DWORD -数字
有效范围:80-0xFFFF
默认值:80 (Professional、Server)、400 (Advanced Server)
说明:该参数控制在SYN攻击保护启动前处于SYN-RCVD状态的连接数量,对于该连接至少有一个SYN重传已经发送。有关详细信息,参见SynAttackProtect 参数。
EnablePMTUDiscovery
项:TcpipParameters
数值类型:REG_DWORD -布尔值
有效范围:0、1(false、true)
默认值:1 (true)
推荐值:0
说明:将该参数设置为1 (true)时,TCP将查找到达远程主机路径上的最大传输单位(MTU或最大的数据包大小)。通过发现路径MTU并将TCP字段限制到这个大小,TCP可以限制在连结到不同的MTU网络的路由器上的碎片。碎片会影响 TCP吞吐量和网络堵塞。将这个参数设置成0,会导致为所有不在本地子网上主机连接使用576字节的MTU。
NoNameReleaseOnDemand
项:NetbtParameters
数值类型:REG_DWORD -布尔值
有效范围:0、1(false、true)
默认值:0 (false)
推荐值:1
说明:该参数确定当收到网络的名称释放请求时,计算机是否释放其NetBIOS名称。添加该参数,管理员就可以保护机器免遭恶意名称释放攻击。
EnableDeadGWDetect
项:TcpipParameters
数值类型:REG_DWORD -布尔值
有效范围:0、1(false、true)
默认值:1 (true)
推荐值:0
说明:当该参数设为1时,允许TCP执行间隔网关检测。启用该功能时,如果处理多个连接有困难时,TCP可以请求IP改到备份网关。备份网关可以在“网络控制面板”中“TCP/IP配置”对话框的“高级”部分进行定义。有关详细信息,请参见本文“间隔网关检测”一节。
KeepAliveTime
项:TcpipParameters
数值类型:REG_DWORD -时间(毫秒)
有效范围:1-0xFFFFFFFF
默认值:7,200,000(两个小时)
推荐值:300,000
说明:通过发送保留的数据包,该参数可确定TCP要隔多长时间验证一次闲置连接仍仍未断开。如果远程系统仍可以连接并正在运行,它就会确认保留传输。默认情况下,不发送保留数据包。应用程序可以在连接上启用这一功能。
PerformRouterDiscovery
项:TcpipParametersInterfacesinterface
数值类型:REG_DWORD
有效范围:0、1、2
0(禁用)
1(启用)
2(仅当DHCP发送路由器发现选项时启用)
默认值:2,DHCP控制,但默认情况下为关闭。
推荐值:0
说明:该参数控制Windows 2000是否根据每个接口上的RFC 1256执行路由器发现。也可参见SolicitationAddressBcast