拒絕服務攻擊是壹種遍布全球的系統漏洞,黑客們正醉心於對它的研究,而無數的網絡用戶將成為這種攻擊的受害者。Tribe Flood Network, tfn2k, smurf, targa…還有許多的程序都在被不斷的開發出來。這些程序想瘟疫壹樣在網絡中散布開來,使得我們的村落更為薄弱,我們不得不找出壹套簡單易用的安全解決方案來應付黑暗中的攻擊。
由於我們防範手段的加強,拒絕服務攻擊手法也在不斷的發展。 Tribe Flood Network (tfn) 和tfn2k引入了壹個新概念:分布式。這些程序可以使得分散在互連網各處的機器***同完成對壹臺主機攻擊的操作,從而使主機看起來好象是遭到了不同位置的許多主機的攻擊。這些分散的機器由幾臺主控制機操作進行多種類型的攻擊,如UDP flood, SYN flood等。
操作系統和網絡設備的缺陷在不斷地被發現並被黑客所利用來進行惡意的攻擊。如果我們清楚的認識到了這壹點,我們應當使用下面的兩步來盡量阻止網絡攻擊保護我們的網絡: 盡可能的修正已經發現的問題和系統漏洞。
識別,跟蹤或禁止這些令人討厭的機器或網絡對我們的訪問。
我們先來關註第二點我們面臨的主要問題是如何識別那些惡意攻擊的主機,特別是使用拒絕服務攻擊的機器。因為這些機器隱藏了他們自己的地址,而冒用被攻擊者的地址。攻擊者使用了數以千記的惡意偽造包來使我們的主機受到攻擊。"tfn2k"的原理就象上面講的這麽簡單,而他只不過又提供了壹個形象的界面。假如您遭到了分布式的拒絕服務攻擊,實在是很難處理。
有壹些簡單的手法來防止拒絕服務式的攻擊。最為常用的壹種當然是時刻關註安全信息以期待最好的方法出現。管理員應當訂閱安全信息報告,實時的關註所有安全問題的發展。:) 第二步是應用包過濾的技術,主要是過濾對外開放的端口。這些手段主要是防止假冒地址的攻擊,使得外部機器無法假冒內部機器的地址來對內部機器發動攻擊。
對於應該使用向內的包過濾還是使用向外的包過濾壹直存在著爭論。RFC 2267建議在全球範圍的互連網上使用向內過濾的機制,但是這樣會帶來很多的麻煩,在中等級別的路由器上使用訪問控制列表不會帶來太大的麻煩,但是已經滿載的骨幹路由器上會受到明顯的威脅。另壹方面,ISP如果使用向外的包過濾措施會把過載的流量轉移到壹些不太忙的設備上。 ISP也不關心消費者是否在他們的邊界路由器上使用這種技術。當然,這種過濾技術也並不是萬無壹失的,這依賴於管理人員采用的過濾機制。
1.ICMP防護措施
ICMP最初開發出來是為了"幫助"網絡,經常被廣域網管理員用作診斷工具。但今天各種各樣的不充分的ICMP被濫用,沒有遵守RFC 792原先制訂的標準,要執行壹定的策略可以讓它變得安全壹些。
入站的ICMP時間標記(Timestamp)和信息請求(Information Request)數據包會得到響應,帶有非法或壞參數的偽造數據包也能產生ICMP參數問題數據包,從而允許另外壹種形式的主機搜尋。這仍使得站點沒有得到適當保護。
以秘密形式從主方到客戶方發布命令的壹種通用方法,就是使用ICMP Echo應答數據包作為載波。 回聲應答本身不能回答,壹般不會被防火墻阻塞。
首先,我們必須根據出站和入站處理整個的"ICMP限制"問題。ICMP回聲很容易驗證遠程機器,但出站的ICMP回聲應該被限制只支持個人或單個服務器/ICMP代理(首選)。
如果我們限制ICMP回聲到壹個外部IP地址(通過代理),則我們的ICMP回聲應答只能進入我們網絡中預先定義的主機。
重定向通常可以在路由器之間找到,而不是在主機之間。防火墻規則應該加以調整,使得這些類型的ICMP只被允許在需要信息的網際連接所涉及的路由器之間進行。
建議所有對外的傳輸都經過代理,對內的ICMP傳輸回到代理地址的時候要經過防火墻。這至少限制了ICMP超時數據包進入壹個內部地址,但它可能阻塞超時數據包。
當ICMP數據包以不正確的參數發送時,會導致數據包被丟棄,這時就會發出ICMP參數出錯數據包。主機或路由器丟棄發送的數據包,並向發送者回送參數ICMP出錯數據包,指出壞的參數。
總的來說,只有公開地址的服務器(比如Web、電子郵件和FTP服務器)、防火墻、聯入因特網的路由器有真正的理由使用ICMP與外面的世界對話。如果調整適當,實際上所有使用進站和出站ICMP的隱密通訊通道都會被中止。
2. SYN Flood防範
SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DdoS(分布式拒絕服務攻擊)的方式之壹,這是壹種利用TCP協議缺陷,發送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。對於SYN Flood攻擊,目前尚沒有很好的監測和防禦方法,不過如果系統管理員熟悉攻擊方法和系統架構,通過壹系列的設定,也能從壹定程度上降低被攻擊系統的負荷,減輕負面的影響。
壹般來說,如果壹個系統(或主機)負荷突然升高甚至失去響應,使用Netstat 命令能看到大量SYN_RCVD的半連接(數量>500或占總連接數的10%以上),可以認定,這個系統(或主機)遭到了SYN Flood攻擊。遭到SYN Flood攻擊後,首先要做的是取證,通過Netstat –n –p tcp >resault.txt記錄目前所有TCP連接狀態是必要的,如果有嗅探器,或者TcpDump之類的工具,記錄TCP SYN報文的所有細節也有助於以後追查和防禦,需要記錄的字段有:源地址、IP首部中的標識、TCP首部中的序列號、TTL值等,這些信息雖然很可能是攻擊者偽造的,但是用來分析攻擊者的心理狀態和攻擊程序也不無幫助。特別是TTL值,如果大量的攻擊包似乎來自不同的IP但是TTL值卻相同,我們往往能推斷出攻擊者與我們之間的路由器距離,至少也可以通過過濾特定TTL值的報文降低被攻擊系統的負荷(在這種情況下TTL值與攻擊報文不同的用戶就可以恢復正常訪問)。從防禦角度來說,有幾種簡單的解決方法:
2.1 縮短SYN Timeout時間:由於SYN Flood攻擊的效果取決於服務器上保持的SYN半連接數,這個值=SYN攻擊的頻度 x SYN Timeout,所以通過縮短從接收到SYN報文到確定這個報文無效並丟棄改連接的時間,例如設置為20秒以下(過低的SYN Timeout設置可能會影響客戶的正常訪問),可以成倍的降低服務器的負荷。
2.2 設置SYN Cookie:就是給每壹個請求連接的IP地址分配壹個Cookie,如果短時間內連續受到某個IP的重復SYN報文,就認定是受到了攻擊,以後從這個IP地址來的包會被丟棄。可是上述的兩種方法只能對付比較原始的SYN Flood攻擊,縮短SYN Timeout時間僅在對方攻擊頻度不高的情況下生效,SYN Cookie更依賴於對方使用真實的IP地址,如果攻擊者以數萬/秒的速度發送SYN報文,同時利用SOCK_RAW隨機改寫IP報文中的源地址,以上的方法將毫無用武之地。
2.3 負反饋策略:參考壹些流行的操作系統,如Windows2000的SYN攻擊保護機制:正常情況下,OS對TCP連接的壹些重要參數有壹個常規的設置: SYN Timeout時間、SYN-ACK的重試次數、SYN報文從路由器到系統再到Winsock的延時等等。這個常規設置針對系統優化,可以給用戶提供方便快捷的服務;壹旦服務器受到攻擊,SYN Half link 的數量超過系統中TCP活動 Half Connction最大連接數的設置,系統將會認為自己受到了SYN Flood攻擊,並將根據攻擊的判斷情況作出反應:減短SYN Timeout時間、減少SYN-ACK的重試次數、自動對緩沖區中的報文進行延時等等措施,力圖將攻擊危害減到最低。如果攻擊繼續,超過了系統允許的最大Half Connection 值,系統已經不能提供正常的服務了,為了保證系統不崩潰,可以將任何超出最大Half Connection 值範圍的SYN報文隨機丟棄,保證系統的穩定性。
所以,可以事先測試或者預測該主機在峰值時期的Half Connction 的活動數量上限,以其作為參考設定TCP活動 Half Connction最大連接數的值,然後再以該值的倍數(不要超過2)作為TCP最大Half Connection值,這樣可以通過負反饋的手段在壹定程度上阻止SYN攻擊。
2.4 退讓策略:退讓策略是基於SYN Flood攻擊代碼的壹個缺陷,我們重新來分析壹下SYN Flood攻擊者的流程:SYN Flood程序有兩種攻擊方式,基於IP的和基於域名的,前者是攻擊者自己進行域名解析並將IP地址傳遞給攻擊程序,後者是攻擊程序自動進行域名解析,但是它們有壹點是相同的,就是壹旦攻擊開始,將不會再進行域名解析,我們的切入點正是這裏:假設壹臺服務器在受到SYN Flood攻擊後迅速更換自己的IP地址,那麽攻擊者仍在不斷攻擊的只是壹個空的IP地址,並沒有任何主機,而防禦方只要將DNS解析更改到新的IP地址就能在很短的時間內(取決於DNS的刷新時間)恢復用戶通過域名進行的正常訪問。為了迷惑攻擊者,我們甚至可以放置壹臺“犧牲”服務器讓攻擊者滿足於攻擊的“效果”(由於DNS緩沖的原因,只要攻擊者的瀏覽器不重起,他訪問的仍然是原先的IP地址)。
2.5 分布式DNS負載均衡:在眾多的負載均衡架構中,基於DNS解析的負載均衡本身就擁有對SYN Flood的免疫力,基於DNS解析的負載均衡能將用戶的請求分配到不同IP的服務器主機上,攻擊者攻擊的永遠只是其中壹臺服務器,壹來這樣增加了攻擊者的成本,二來過多的DNS請求可以幫助我們追查攻擊者的真正蹤跡(DNS請求不同於SYN攻擊,是需要返回數據的,所以很難進行IP偽裝)。
2.6 防火墻Qos:對於防火墻來說,防禦SYN Flood攻擊的方法取決於防火墻工作的基本原理,壹般說來,防火墻可以工作在TCP層之上或IP層之下,工作在TCP層之上的防火墻稱為網關型防火墻,網關型防火墻布局中,客戶機與服務器之間並沒有真正的TCP連接,客戶機與服務器之間的所有數據交換都是通過防火墻代理的,外部的DNS解析也同樣指向防火墻,所以如果網站被攻擊,真正受到攻擊的是防火墻,這種防火墻的優點是穩定性好,抗打擊能力強,但是因為所有的TCP報文都需要經過防火墻轉發,所以效率比較低由於客戶機並不直接與服務器建立連接,在TCP連接沒有完成時防火墻不會去向後臺的服務器建立新的TCP連接,所以攻擊者無法越過防火墻直接攻擊後臺服務器,只要防火墻本身做的足夠強壯,這種架構可以抵抗相當強度的SYN Flood攻擊。但是由於防火墻實際建立的TCP連接數為用戶連接數的兩倍(防火墻兩端都需要建立TCP連接),同時又代理了所有的來自客戶端的TCP請求和數據傳送,在系統訪問量較大時,防火墻自身的負荷會比較高,所以這種架構並不能適用於大型網站。(我感覺,對於這樣的防火墻架構,使用TCP_STATE攻擊估計會相當有效:)
工作在IP層或IP層之下的稱為路由型防火墻,其工作原理有所不同:客戶機直接與服務器進行TCP連接,防火墻起的是路由器的作用,它截獲所有通過的包並進行過濾,通過過濾的包被轉發給服務器,外部的DNS解析也直接指向服務器,這種防火墻的優點是效率高,可以適應100Mbps-1Gbps的流量,但是這種防火墻如果配置不當,不僅可以讓攻擊者越過防火墻直接攻擊內部服務器,甚至有可能放大攻擊的強度,導致整個系統崩潰。
在這兩種基本模型之外,有壹種新的防火墻模型,它集中了兩種防火墻的優勢,這種防火墻的工作原理如下所示:
第壹階段,客戶機請求與防火墻建立連接:
第二階段,防火墻偽裝成客戶機與後臺的服務器建立連接
第三階段,之後所有從客戶機來的TCP報文防火墻都直接轉發給後臺的服務器
這種結構吸取了上兩種防火墻的優點,既能完全控制所有的SYN報文,又不需要對所有的TCP數據報文進行代理,是壹種兩全其美的方法。近來,國外和國內的壹些防火墻廠商開始研究帶寬控制技術,如果能真正做到嚴格控制、分配帶寬,就能很大程度上防禦絕大多數的SYN攻擊。
3.Smurf防範的幾種方法
阻塞Smurf攻擊的源頭:Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發送echo請求。用戶可以使用路由路的訪問保證內部網絡中發出的所有傳輸信息都具有合法的源地址,以防止這種攻擊。這樣可以使欺騙性分組無法找到反彈站點。
阻塞Smurf的反彈站點:用戶可以有兩種選擇以阻塞Smurf攻擊的反彈站點。第壹種方法可以簡單地阻塞所有入站echo請求,這們可以防止這些分組到達自己的網絡。如果不能阻塞所有入站echo請求,用戶就需要讓自己的路由器把網絡廣播地址映射成為LAN廣播地址。制止了這個映射過程,自己的系統就不會再收到這些echo請求。
阻止Smurf平臺:為防止系統成為 smurf攻擊的平臺,要將所有路由器上IP的廣播功能都禁止。壹般來講,IP廣播功能並不需要。 如果攻擊者要成功地利用妳成為攻擊平臺,妳的路由器必須要允許信息包以不是從妳的內網中產生的源地址離開網絡。配置路由器,讓它將不是由妳的內網中生成的信息包過濾出去,這是有可能做到的。這就是所謂的網絡出口過濾器功能。
防止Smurf攻擊目標站點:除非用戶的ISP願意提供幫助,否則用戶自己很難防止Smurf對自己的WAN接連線路造成的影響。雖然用戶可以在自己的網絡設備中阻塞這種傳輸,但對於防止Smurf吞噬所有的WAN帶寬已經太晚了。但至少用戶可以把Smurf的影響限制在外圍設備上。通過使用動態分組過濾技術,或者使用防火墻,用戶可以阻止這些分組進入自己的網絡。防火墻的狀態表很清楚這些攻擊會話不是本地網絡中發出的(狀態表記錄中沒有最初的echo請求記錄),因些它會象對待其它欺騙性攻擊行為那樣把這樣信息丟棄。
4.UDP Flood防範
以前文提到的trinoo為例,分析如下:
在master程序與代理程序的所有通訊中,trinoo都使用了UDP協議。入侵檢測軟件能夠尋找使用UDP協議的數據流(類型17)。
Trinoo master程序的監聽端口是27655,攻擊者壹般借助telnet通過TCP連接到master程序所在計算機。入侵檢測軟件能夠搜索到使用TCP (類型6)並連接到端口27655的數據流。
所有從master程序到代理程序的通訊都包含字符串"l44",並且被引導到代理的UDP 端口27444。入侵檢測軟件檢查到UDP 端口27444的連接,如果有包含字符串l44的信息包被發送過去,那麽接受這個信息包的計算機可能就是DDoS代理。
Master和代理之間通訊受到口令的保護,但是口令不是以加密格式發送的,因此它可以被“嗅探”到並被檢測出來。使用這個口令以及來自Dave Dittrich的trinot腳本,他必須首先發送壹個DNS請求來解析這個域名,通常那些攻擊工具工具會自己執行這壹步,調用gethostbyname()函數或者相應的應用程序接口,也就是說,在攻擊事件發生前的DNS請求會提供給我們壹個相關列表,我們可以利用它來定位攻擊者。
使用現成工具或者手工讀取DNS請求日誌,來讀取DNS可疑的請求列表都是切實可行的,然而,它有三個主要的缺點:
攻擊者壹般會以本地的DNS為出發點來對地址進行解析查詢,因此我們查到的DNS請求的發起者有可能不是攻擊者本身,而是他所請求的本地DNS服務器。盡管這樣,如果攻擊者隱藏在壹個擁有本地DNS的組織內,我們就可以把該組織作為查詢的起點。
攻擊者有可能已經知道攻擊目標的IP地址,或者通過其他手段(host, ping)知道了目標的IP地址,亦或是攻擊者在查詢到IP地址後很長壹段時間才開始攻擊,這樣我們就無法從DNS請求的時間段上來判斷攻擊者(或他們的本地服務器)。
DNS對不同的域名都有壹個卻省的存活時間,因此攻擊者可以使用存儲在DNS緩存中的信息來解析域名。為了更好做出詳細的解析記錄,您可以把DNS卻省的TTL時間縮小,但這樣會導致DNS更多的去查詢所以會加重網絡帶寬的使用。
6.主機防範
所有對因特網提供公開服務的主機都應該加以限制。下面建議的策略可以保護暴露在因特網上的主機。
將所有公開服務器與DMZ隔離
提供的每種服務都應該有自己的服務器。
如果使用Linux(建議這樣做),妳就可以使用壹個或幾個"緩沖溢出/堆棧執行"補丁或增強來防止絕大多數(如果不能全部)本地或遠程緩沖溢出,以避免這些溢出危及根的安全。強烈建議將Solar Designer的補丁包括在附加的安全特征中。
使用SRP(Secure Remote Password 安全遠程口令)代替SSH。
限制只有內部地址才能訪問支持SRP的telnet和FTP守護程序,強調只有支持SRP的客戶端才可以與這些程序對話。如果妳必須為公開訪問運行常規的FTP(比如匿名FTP),可以在另壹個端口運行SRP FTP。
使用可信任的路徑。根用戶擁有的二進制執行程序應該放置的目錄的所有權應該是根,不能讓全部用戶或組都有寫權限。如果有必要的話,為了強制這樣做,妳可以改變內核。
使用內置防火墻功能。通過打開防火墻規則,可以經常利用內核狀態表。
使用壹些防端口掃描措施。這可以使用Linux的後臺程序功能或通過修改內核實現。
使用Tripwire 和相同作用的軟件來幫助發覺對重要文件的修改。
7.電子郵件炸彈防護
對於保護電子件的安全來說,了解壹下電子郵件的發送過程是很有必要的。它的過程是這樣的,當有用戶將郵件寫好之後首先連接到郵件服務器上,當郵件服務器有響應時便會啟動郵件工具,調用路由(這裏指的是郵件的路由)程序Sendmail進行郵件路由,根據郵件所附的接收地址中指定的接收主機,比如: a@163.net裏的163.net,與位於主機163.net電子郵件後臺守護程序建立25端口的TCP連接,建立後雙方按照SMTP協議進行交互第進,從而完成郵件的投遞工作,接收方電子郵件接收郵件後,再根據接收用戶名稱,放置在系統的郵件目錄裏,如/usr/電子郵件目錄的semxa文件中。接收用戶同樣使用郵件工具獲取和閱讀這些已投遞的郵件。如果投遞失敗的話,這些郵件將重新返回到發送方。實際上電子郵件的發送過程要比這裏所說的更為復雜些,在過程裏將會涉及很多的配置文件。在現在的SMTP協議是壹個基於文本的協議,理解和實現都相對比較簡單些,妳可以使用telnet直接登陸到郵件服務器的25端口(由LANA授權分配給SMTP協議)進行交互。
保護電子信箱郵件的信息安全最有效的辦法就是使用加密的簽名技術,像PGP來驗證郵件,通過驗證可以保護到信息是從正確的地方發來的,而且在傳送過程中不被修改。但是這就不是個人用戶所能達到的了,因為PGP比較復雜。
就電子郵件炸彈而言,保護還是可以做得很好的。因為它的復雜性不是很高,多的僅僅是垃圾郵件而已。妳可以使用到/hacking/echom201.zip E-mail Chomper(砍信機)來保護自己。但是目前就國內用戶而言,大多用戶所使用的都是免費的郵箱,像yeah.net、163.net、263.net等,即便是有人炸頂多也是留在郵件服務器上了,危害基本上是沒有的。如果是用pop3接的話,可以用Outlook或Foxmail等pop的收信工具來接收的mail,大多用戶使用的是windows的Outlook Express,可以在“工具-收件箱助理”中設置過濾。對於各種利用電子郵件而傳播的Email蠕蟲病毒和對未知的Emai蠕蟲病毒妳可以使用防電子郵件病毒軟件來防護。
另外,郵件系統管理員可以使用“黑名單”來過濾壹些垃圾信件。對於不同的郵件系統,大都可以在網絡上找到最新的黑名單程序或者列表。
8.使用ngrep工具來處理tfn2k攻擊
根據使用DNS來跟蹤tfn2k駐留程序的原理,現在已經出現了稱為ngrep的實用工具。經過修改的ngrep可以監聽大約五種類型的tfn2k拒絕服務攻擊(targa3, SYN flood, UDP flood, ICMP flood 和 smurf),它還有壹個循環使用的緩存用來記錄DNS和ICMP請求。如果ngrep發覺有攻擊行為的話,它會將其緩存中的內容打印出來並繼續記錄ICMP回應請求。假如攻擊者通過ping目標主機的手段來鉚定攻擊目標的話,在攻擊過程中或之後記錄ICMP的回應請求是壹種捕獲粗心的攻擊者的方法。由於攻擊者還很可能使用其他的服務來核實其攻擊的效果(例如web),所以對其他的標準服務也應當有盡量詳細的日誌記錄。
還應當註意,ngrep采用的是監聽網絡的手段,因此,ngrep無法在交換式的環境中使用。但是經過修改的ngrep可以不必和妳的DNS在同壹個網段中,但是他必須位於壹個可以監聽到所有DNS請求的位置。經過修改的ngrep也不關心目標地址,您可以把它放置在DMZ網段,使它能夠檢查橫貫該網絡的tfn2k攻擊。從理論上講,它也可以很好的檢測出對外的tfn2k攻擊。
在ICMP flood事件中,ICMP回應請求的報告中將不包括做為tfn2k flood壹部分的ICMP包。Ngrep還可以報告檢測出來的除smurf之外的攻擊類型(TARGA, UDP, SYN, ICMP等)。混合式的攻擊在缺省情況下表現為ICMP攻擊,除非妳屏蔽了向內的ICMP回應請求,這樣它就表現為UDP或SYN攻擊。這些攻擊的結果都是基本類似的。
9.有關入侵檢測系統的建議
由於許多用來擊敗基於網絡的入侵檢測系統的方法對絕大多數商業入侵檢測系統產品仍然是有效的,因此建議入侵檢測系統應該至少有能重組或發覺碎片的自尋址數據包。下面是部分要註意的事項:
確信包括了現有的所有規則,包括壹些針對分布式拒絕服務攻擊的新規則。
如果遵循了ICMP建議項,許多ICMP會被阻塞,入侵檢測系統觸發器存在許多機會。任何通常情況下要被阻塞的入站或出站的ICMP數據包可以被觸發。
"任何"被妳用防火墻分離的網絡傳輸都可能是壹個潛在的IDS觸發器。
如果妳的入侵檢測系統支持探測長時間周期的攻擊,確信沒有把允許通過防火墻的被信任主機排除在外。這也包括虛擬專用網。
如果妳能訓練每個使用ping的用戶在ping主機時使用小數據包,就可能設置入侵檢測系統尋找超29字節的Echo和Echo應答數據包。
本頁內容
目標
適用範圍
如何使用本模塊
摘要
必備知識
抵禦 SYN 攻擊
抵禦 ICMP 攻擊
抵禦 SNMP 攻擊
AFD.SYS 保護
其他保護
缺陷
其他資源
目標
使用本模塊可以實現:
強化服務器的 TCP/IP 堆棧安全 保護服務器免遭“拒絕服務”和其他基於網絡的攻擊 在檢測到攻擊時啟用 SYN 洪水攻擊保護 設置用於確認是什麽構成攻擊的閾值返回頁首
適用範圍
本模塊適用於下列產品和技術:
Microsoft Windows 2000 Server 和 Windows 2000 Advanced Server返回頁首
如何使用本模塊
默認情況下,本模塊中的壹些註冊表項和值可能不存在。在這些情況下,請創建這些註冊表項、值和數值數據。
有關 Windows 2000 控制的 TCP/IP 網絡設置的註冊表的詳細信息,請參閱白皮書“Microsoft Windows 2000 TCP/IP Implementation Details”,網址為 /technet/treeview/default.asp?url=/technet/itsolutions/network/deploy/depovg/tcpip2k.asp(英文)
註意:這些設置會修改服務器上 TCP/IP 的工作方式。Web 服務器的特征將確定觸發拒絕服務對策的最佳閾值。對於客戶端的連接,壹些值可能過於嚴格。在將本模塊的建議部署到產品服務器之前,要對這些建議進行測試。
返回頁首
摘要
TCP/IP 堆棧負責處理傳入和傳出的 IP 數據包,並將數據包中的數據路由到要處理它們的應用程序。默認情況下,TCP/IP 天生就是壹個不安全的協議。但是,Microsoft? Windows? 2000 版本允許您配置其操作,以抵禦網絡級別的大多數拒絕服務攻擊。
本模塊解釋如何強化 TCP/IP 堆棧的安全,以及如何在 Windows 註冊表內配置各種 TCP/IP 參數,以便保護服務器免遭網絡級別的拒絕服務攻擊,包括 SYS 洪水攻擊、ICMP 攻擊和 SNMP 攻擊。
返回頁首
必備知識
可以在 Windows 註冊表內配置各種 TCP/IP 參數,以便保護服務器免遭網絡級別的拒絕服務攻擊,包括 SYS 洪水攻擊、ICMP 攻擊和 SNMP 攻擊。可以配置註冊表項,以便:
在檢測到攻擊時啟用 SYN 洪水攻擊保護機制。 設置用於確認構成攻擊的閾值。本“如何”向管理員介