在 Windows 2000 中加固 TCP/IP 协议栈以抵御拒绝服务的攻击_动易Cms教程
教程Tag:暂无Tag,欢迎添加,赚取U币!
警告:“注册表编辑器”使用不当可造成严重问题,这些问题可能需要重新安装操作系统。Microsoft 不保证能够解决因为“注册表编辑器”使用不当而产生的问题。使用“注册表编辑器”需要您自担风险。
有关如何编辑注册表的信息,请查看注册表编辑器 (Regedit.exe) 中的“改变项和值”帮助主题,或 Regedt32.exe 中的“添加和删除注册表中的信息”和“编辑注册表数据”帮助主题。注重,编辑注册表之前,应当先备份注册表。假如您运行的是 Windows NT 或 Windows 2000,还应该更新“紧急修复磁盘 (ERD)”。
下面列出与 TCP/IP 相关的注册表值,您可以在与 Internet 直接相连的计算机上配置这些值,以此来加固 TCP/IP 协议栈。所有这些值均位于下面的注册表项下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
备注:除非非凡指出,否则所有值均为十六进制。
值名称: SynAttackProtect
注册表项: Tcpip\Parameters
值类型:REG_DWORD
有效范围:0,1,2
默认:0
该注册表值可使传输控制协议 (TCP) 调整 SYN-ACKS 的重新传输。配置该值后,假如出现 SYN 攻击(拒绝服务攻击的一种),连接响应超时时间将更短。
下面列出可以在该注册表值中使用的参数:
0 (默认值):将 SynAttackProtect 设置为 0 可对 SYN 攻击提供一般防御。
将 SynAttackProtect 设置为 1 可更有效地防御 SYN 攻击。该参数可使 TCP 调整 SYN-ACKS 的重新传输。SynAttackProtect 设置为 1 时,假如出现 SYN 攻击,连接响应的超时时间将更短。Windows 使用以下值确定是否存在攻击:
TcpMaxPortsExhausted
TCPMaxHalfOpen
TCPMaxHalfOpenRetried
2:将 SynAttackProtect 设置为 2 可最有效地防御 SYN 攻击。该值为连接识别添加了额外的延迟,并且在出现 SYN 攻击时,使 TCP 连接请求的超时时间更短。该参数是推荐设置。
备注:SynAttackProtect 值设置为 2 时,下列套接字选项在所有套接字上都不起作用:
可缩放窗口
每个适配器上配置的 TCP 参数(包括 RTT 和窗口大小)
值名称: EnableDeadGWDetect
注册表项: Tcpip\Parameters
值类型:REG_DWORD
有效范围:0, 1 (False, True)
默认:1 (True)
下面列出可以在该注册表值中使用的参数:
1 :将 EnableDeadGWDetect 设置为 1 时,答应 TCP 执行间隔网关检测。启用间隔网关检测时,假如多个连接出现困难,TCP 可能会要求 Internet 协议切换到备份网关。您可在“网络控制面板”中 TCP/IP 配置对话框的“高级”部分定义备份网关。
0:建议将 EnableDeadGWDetect 设置为 0。假如不将该值设置为 0,网络攻击可能会强制服务器切换网关,而切换到的新网关可能并不是您打算使用的网关。
值名称: EnablePMTUDiscovery
注册表项: Tcpip\Parameters
值类型:REG_DWORD
有效范围:0, 1 (False, True)
默认:1 (True)
下面列出可以在该注册表值中使用的参数:
1 :将 EnablePMTUDiscovery 设置为 1 时,TCP 尝试搜寻经由远程主机的路径传输的最大传输单位 (MTU) 或最大的数据包大小。通过搜寻路径的 MTU 并将 TCP 段限制到这一大小,TCP 可以减少路径中连接不同 MTU 网络的路由器上的碎片。碎片会影响 TCP 的吞吐量。
0:建议将 EnablePMTUDiscovery 设置为 0。在此情况下,将对本地子网中所有非主机的连接应用 576 字节的 MTU。假如该值不为 0,攻击者将强制 MTU 值变得非常小,从而导致栈的负荷过大。
值名称: KeepAliveTime
注册表项: Tcpip\Parameters
值类型:REG_DWORD(以毫秒计)
有效范围:1-0xFFFFFFFF
默认:7,200,000(2 小时)
该值控制 TCP 每隔多长时间发送一个“保持活动”的数据包,以检查空闲连接是否仍处于空闲状态。假如仍能连接到远程计算机,该计算机就会对“保持活动”的数据包做出应答。默认不发送“保持活动”的数据包。可以使用程序在连接上配置该值。建议将该值设置为 300,000(5 分钟)。
有关如何编辑注册表的信息,请查看注册表编辑器 (Regedit.exe) 中的“改变项和值”帮助主题,或 Regedt32.exe 中的“添加和删除注册表中的信息”和“编辑注册表数据”帮助主题。注重,编辑注册表之前,应当先备份注册表。假如您运行的是 Windows NT 或 Windows 2000,还应该更新“紧急修复磁盘 (ERD)”。
下面列出与 TCP/IP 相关的注册表值,您可以在与 Internet 直接相连的计算机上配置这些值,以此来加固 TCP/IP 协议栈。所有这些值均位于下面的注册表项下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
备注:除非非凡指出,否则所有值均为十六进制。
值名称: SynAttackProtect
注册表项: Tcpip\Parameters
值类型:REG_DWORD
有效范围:0,1,2
默认:0
该注册表值可使传输控制协议 (TCP) 调整 SYN-ACKS 的重新传输。配置该值后,假如出现 SYN 攻击(拒绝服务攻击的一种),连接响应超时时间将更短。
下面列出可以在该注册表值中使用的参数:
0 (默认值):将 SynAttackProtect 设置为 0 可对 SYN 攻击提供一般防御。
将 SynAttackProtect 设置为 1 可更有效地防御 SYN 攻击。该参数可使 TCP 调整 SYN-ACKS 的重新传输。SynAttackProtect 设置为 1 时,假如出现 SYN 攻击,连接响应的超时时间将更短。Windows 使用以下值确定是否存在攻击:
TcpMaxPortsExhausted
TCPMaxHalfOpen
TCPMaxHalfOpenRetried
2:将 SynAttackProtect 设置为 2 可最有效地防御 SYN 攻击。该值为连接识别添加了额外的延迟,并且在出现 SYN 攻击时,使 TCP 连接请求的超时时间更短。该参数是推荐设置。
备注:SynAttackProtect 值设置为 2 时,下列套接字选项在所有套接字上都不起作用:
可缩放窗口
每个适配器上配置的 TCP 参数(包括 RTT 和窗口大小)
值名称: EnableDeadGWDetect
注册表项: Tcpip\Parameters
值类型:REG_DWORD
有效范围:0, 1 (False, True)
默认:1 (True)
下面列出可以在该注册表值中使用的参数:
1 :将 EnableDeadGWDetect 设置为 1 时,答应 TCP 执行间隔网关检测。启用间隔网关检测时,假如多个连接出现困难,TCP 可能会要求 Internet 协议切换到备份网关。您可在“网络控制面板”中 TCP/IP 配置对话框的“高级”部分定义备份网关。
0:建议将 EnableDeadGWDetect 设置为 0。假如不将该值设置为 0,网络攻击可能会强制服务器切换网关,而切换到的新网关可能并不是您打算使用的网关。
值名称: EnablePMTUDiscovery
注册表项: Tcpip\Parameters
值类型:REG_DWORD
有效范围:0, 1 (False, True)
默认:1 (True)
下面列出可以在该注册表值中使用的参数:
1 :将 EnablePMTUDiscovery 设置为 1 时,TCP 尝试搜寻经由远程主机的路径传输的最大传输单位 (MTU) 或最大的数据包大小。通过搜寻路径的 MTU 并将 TCP 段限制到这一大小,TCP 可以减少路径中连接不同 MTU 网络的路由器上的碎片。碎片会影响 TCP 的吞吐量。
0:建议将 EnablePMTUDiscovery 设置为 0。在此情况下,将对本地子网中所有非主机的连接应用 576 字节的 MTU。假如该值不为 0,攻击者将强制 MTU 值变得非常小,从而导致栈的负荷过大。
值名称: KeepAliveTime
注册表项: Tcpip\Parameters
值类型:REG_DWORD(以毫秒计)
有效范围:1-0xFFFFFFFF
默认:7,200,000(2 小时)
该值控制 TCP 每隔多长时间发送一个“保持活动”的数据包,以检查空闲连接是否仍处于空闲状态。假如仍能连接到远程计算机,该计算机就会对“保持活动”的数据包做出应答。默认不发送“保持活动”的数据包。可以使用程序在连接上配置该值。建议将该值设置为 300,000(5 分钟)。
相关动易Cms教程:
- MAC错误的解决方法
- 如何屏蔽动易后台导航里的某个功能菜单?
- 动易.NET版本留言自动选定栏目方法
- 动易SiteFactoty整合Discuz!NT3.0
- 在任意位置获取根节点ID标签
- 如何开启SiteWeaver6.8的支持,反对功能
- Windows 2008安装动易.NET系统之四----动易系统安装篇
- Windows 2008安装动易.NET系统之三----数据库篇
- Windows 2008安装动易.NET系统之二----IIS、目录环境配置篇
- 数据库修复,SQL Server 2005内部操作不一致的处理
- 如何安装动易.net程序权限配置
- 为什么提示对Windows系统文件夹下的Temp目录没有访问权限?
- 相关链接:
- 教程说明:
动易Cms教程-在 Windows 2000 中加固 TCP/IP 协议栈以抵御拒绝服务的攻击
。