精华区文章阅读

发信人: qubo (qubo), 信区: Network
标题: Win2000下调整TCP/IP防范攻击[zz]
发信站: 哈工大紫丁香 (2003年09月12日09:59:00 星期五), 站内信件

TCP/IP 安全设置
可以修改下列项以辅助系统更有效地抵御攻击。请注意，这些推荐值决不是使系统不受攻
击，而只在于调整 TCP/IP 栈防范攻击。这些项的设置并不涉及系统上的许多其它组
件（可能被用于攻击系统）。对于注册表的任何更改，管理员必须充分了解这些更改对系
统默认功能的影响以及在他们的环境中是否适当。　

所有的修改全部在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下完成。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

键名: SynAttackProtect　
项： Tcpip\Parameters　
数值类型：REG_DWORD　
有效范围：0、1、2　
0（没有 SYN 攻击保护）
1（如果满足 TcpMaxHalfOpen 和 TcpMaxHalfOpenRetried 设置，减少重传重试次
数与延迟的 RCE（路由缓存项）创建。）　
2（除 1 之外的另一个 Winsock 延迟指示。）　

备注当系统发现自己受到攻击时，任何套接字上的下列选项不再启用：可缩放窗
口 (RFC 1323) 与每个适配器上已配置 TCP 参数（初始 RTT、窗口大小）。这是
因为当保护生效时，在发送 SYN-ACK 之前不再查询路由缓存项，并且连接过程中
Winsock 选项不可用。　

默认值： 0 (false)　
推荐值： 2　

说明：SYN 攻击保护包括减少 SYN-ACK 重传次数，以减少分配资源所保留的时间
。路由缓存项资源分配延迟，直到建立连接为止。如果 synattackprotect = 2，
则 AFD 的连接指示一直延迟到三路握手完成为止。注意，仅在 TcpMaxHalfOpen　
和 TcpMaxHalfOpenRetried 设置超出范围时，保护机制才会采取措施。　

键名：TcpMaxHalfOpen　
项： Tcpip\Parameters　
数值类型： REG_DWORD - 数字　
有效范围： 100-0xFFFF　

默认值： 100 (Professional、Server)、500 (Advanced Server)　

说明：该参数控制 SYN 攻击保护启动前允许处于 SYN-RCVD 状态的连接数量。如
果将 SynAttackProtect 设为 1，确保该数值低于要保护的端口上 AFD 侦听预备
的值（有关详细信息，参见附录 C 中的预备参数）。有关详细信息，请参见　
SynAttackProtect 参数。　

键名：TcpMaxHalfOpenRetried　
项： Tcpip\Parameters　
数值类型： REG_DWORD - 数字　
有效范围： 80-0xFFFF　

默认值： 80 (Professional、Server)、400 (Advanced Server)　

说明：该参数控制在 SYN 攻击保护启动前处于 SYN-RCVD 状态的连接数量，对于
该连接至少有一个 SYN 重传已经发送。有关详细信息，参见 SynAttackProtect　
参数。　

键名：EnablePMTUDiscovery　
项： Tcpip\Parameters　
数值类型：REG_DWORD - 布尔值　
有效范围：0、1（false、true）　

默认值： 1 (true)　

推荐值： 0　

说明：将该参数设置为 1 (true) 时，TCP 将查找到达远程主机路径上的最大传输
单位（MTU 或最大的数据包大小）。通过发现路径 MTU 并将 TCP 字段限制到这个
大小，TCP 可以限制在连结到不同的 MTU 网络的路由器上的碎片。碎片会影响　
TCP 吞吐量和网络堵塞。将这个参数设置成 0，会导致为所有不在本地子网上主机
连接使用 576 字节的 MTU。　

键名：NoNameReleaseOnDemand　
项： Netbt\Parameters　
数值类型： REG_DWORD - 布尔值　
有效范围：0、1（false、true）　

默认值： 0 (false)　

推荐值： 1　

说明：该参数确定当收到网络的名称释放请求时，计算机是否释放其 NetBIOS 名
称。添加该参数，管理员就可以保护机器免遭恶意名称释放攻击。　

键名：EnableDeadGWDetect　
项： Tcpip\Parameters　
数值类型： REG_DWORD - 布尔值　
有效范围：0、1（false、true）　

默认值： 1 (true)　

推荐值： 0　

说明：当该参数设为 1 时，允许 TCP 执行间隔网关检测。启用该功能时，如果处
理多个连接有困难时，TCP 可以请求 IP 改到备份网关。备份网关可以在“网络控
制面板”中“TCP/IP 配置”对话框的“高级”部分进行定义。有关详细信息，请
参见本文“间隔网关检测”一节。　

键名：KeepAliveTime　
项： Tcpip\Parameters　
数值类型：REG_DWORD - 时间（毫秒）　
有效范围： 1-0xFFFFFFFF　

默认值： 7,200,000（两个小时）　

推荐值：300,000　

说明：通过发送保留的数据包，该参数可确定 TCP 要隔多长时间验证一次闲置连
接仍仍未断开。如果远程系统仍可以连接并正在运行，它就会确认保留传输。默认
情况下，不发送保留数据包。应用程序可以在连接上启用这一功能。　

键名：PerformRouterDiscovery　
项： Tcpip\Parameters\Interfaces\interface(nic)　
数值类型：REG_DWORD　
有效范围：0、1、2　

0（禁用）
1（启用）
2（仅当 DHCP 发送路由器发现选项时启用）　

默认值： 2，DHCP 控制，但默认情况下为关闭。　

推荐值： 0　

说明：该参数控制 Windows 2000 是否根据每个接口上的 RFC 1256 执行路由器发
现。也可参见 SolicitationAddressBcast 　

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.228.146]
--
※ 修改:·qubo 於 09月12日14:48:38 修改本文·[FROM: 202.118.228.146]

PersonalCorpus 版 (精华区)