抵御 SYN 攻击 · 启用 SYN 攻击保护 · 设置 SYN 保护阈值 · 设置其他保护
启用 SYN 攻击保护 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 。值名称 : SynAttackProtect 建议值 : 2有效值 : 0 – 2说明 :使 TCP 调整 SYN-ACK 的重传。配置此值后,在遇到 SYN 攻击时,对连接超时的响应将更快速。在超过 TcpMaxHalfOpen 或TcpMaxHalfOpenRetried 的值后,将触发 SYN 攻击保护。设置 SYN 保护阈值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 的下面。这些注册表项和值是:· 值名称 : TcpMaxPortsExhausted 建议值 : 5有效值 : 0 – 65535说明 :指定触发 SYN 洪水攻击保护所必须超过的 TCP 连接请求数的阈值。· 值名称 : TcpMaxHalfOpen 建议的数值数据 : 500有效值 : 100 – 65535说明 :在启用 SynAttackProtect 后,该值指定处于 SYN_RCVD 状态的 TCP 连接数的阈值。在超过 SynAttackProtect 后,将触发 SYN 洪水攻击保护。· 值名称 : TcpMaxHalfOpenRetried 建议的数值数据 : 400有效值 : 80 – 65535说明 :在启用 SynAttackProtect 后,该值指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值。在超过SynAttackProtect 后,将触发 SYN 洪水攻击保护。
设置其他保护 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 的下面。这些注册表项和值是:· 值名称 : TcpMaxConnectResponseRetransmissions 建议的数值数据 : 2有效值 : 0 – 255说明 :控制在响应一次 SYN 请求之后、在取消重传尝试之前 SYN-ACK 的重传次数。· 值名称 : TcpMaxDataRetransmissions 建议的数值数据 : 2有效值 : 0 – 65535说明 :指定在终止连接之前 TCP 重传一个数据段(不是连接请求段)的次数。· 值名称 : EnablePMTUDiscovery 建议的数值数据 : 0有效值 : 0, 1说明 :将该值设置为 1(默认值)可强制 TCP 查找在通向远程主机的路径上的最大传输单元或最大数据包大小。攻击者可能将数据包强制分段,这会使堆栈不堪重负。对于不是来自本地子网的主机的连接,将该值指定为 0 可将最大传输单元强制设为 576 字节。· 值名称 : KeepAliveTime 建议的数值数据 : 300000有效值 : 80 – 4294967295说明 :指定 TCP 尝试通过发送持续存活的数据包来验证空闲连接是否仍然未被触动的频率。· 值名称 : NoNameReleaseOnDemand 建议的数值数据 : 1有效值 : 0, 1说明 :指定计算机在收到名称发布请求时是否发布其 NetBIOS 名称。
表 1:建议值 值名称 值 (REG_DWORD) SynAttackProtect 2 TcpMaxPortsExhausted 1 TcpMaxHalfOpen 500 TcpMaxHalfOpenRetried 400 TcpMaxConnectResponseRetransmissions 2 TcpMaxDataRetransmissions 2 EnablePMTUDiscovery 0 KeepAliveTime 300000(5 分钟) NoNameReleaseOnDemand 1
返回页首抵御 ICMP 攻击 HKLM\System\CurrentControlSet\Services\AFD\Parameters 的下面值 : EnableICMPRedirect 建议的数值数据 : 0有效值 :0(禁用),1(启用)说明 :通过将此注册表值修改为 0,能够在收到 ICMP 重定向数据包时禁止创建高成本的主机路由。表 2:建议值 值名称 值 (REG_DWORD) EnableICMPRedirect 0
抵御 SNMP 攻击 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 的下面。值 : EnableDeadGWDetect 建议的数值数据 : 0有效值 :0(禁用),1(启用)说明 :禁止攻击者强制切换到备用网关表 3:建议值 值名称 值 (REG_DWORD) EnableDeadGWDetect 0
AFD.SYS 保护 HKLM\System\CurrentControlSet\Services\AFD\Parameters 的下面。这些注册表项和值是:· 值 EnableDynamicBacklog 建议的数值数据 : 1有效值 :0(禁用),1(启用)说明 :指定 AFD.SYS 功能,以有效处理大量的 SYN_RCVD 连接。有关详细信息,请参阅“Internet Server Unavailable Because of Malicious SYN Attacks”,网址为 http://support.microsoft.com/default.aspx?scid=kb;en-us;142641(英文)。· 值名称 : MinimumDynamicBacklog 建议的数值数据 : 20有效值 : 0 – 4294967295说明 :指定在侦听的终结点上所允许的最小空闲连接数。如果空闲连接的数目低于该值,线程将被排队,以创建更多的空闲连接· 值名称 :MaximumDynamicBacklog建议的数值数据 : 20000有效值 : 0 – 4294967295说明 :指定空闲连接以及处于 SYN_RCVD 状态的连接的最大总数。· 值名称 : DynamicBacklogGrowthDelta 建议的数值数据 : 10有效值 : 0 – 4294967295默认情况下是否出现 :否说明 :指定在需要增加连接时将要创建的空闲连接数。
表 4:建议值 值名称 值 (REG_DWORD) EnableDynamicBacklog 1 MinimumDynamicBacklog 20 MaximumDynamicBacklog 20000 DynamicBacklogGrowthDelta 10
其他保护 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 的下面。保护屏蔽的网络细节 值 : DisableIPSourceRouting 建议的数值数据 : 1有效值 :0(转发所有数据包),1(不转发源路由数据包),2(丢弃所有传入的源路由数据包)。说明 :禁用 IP 源路由,后者允许发送者确认数据报在网络中应采用的路由。避免接受数据包片段 值 : EnableFragmentChecking 建议的数值数据 : 1有效值 :0(禁用),1(启用)说明 :禁止 IP 堆栈接受数据包片段。切勿转发去往多台主机的数据包 值 : EnableMulticastForwarding 建议的数值数据 : 0有效范围 :0 (false),1 (true)说明 :路由服务使用此参数来控制是否转发 IP 多播。此参数由路由和远程访问服务创建。只有防火墙可以在网络间转发数据包 值 : IPEnableRouter 建议的数值数据 : 0有效范围 :0 (false),1 (true)说明 :将此参数设置为 1 (true) 会使系统在它所连接的网络之间路由 IP 数据包。屏蔽网络拓扑结构细节 值 : EnableAddrMaskReply 建议的数值数据 : 0有效范围 :0 (false),1 (true)说明 :此参数控制计算机是否响应 ICMP 地址屏蔽请求。表 5:建议值 值名称 值 (REG_DWORD) DisableIPSourceRouting 1 EnableFragmentChecking 1 EnableMulticastForwarding 0 IPEnableRouter 0 EnableAddrMaskReply 0
运维网声明
1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003运维网
QQ群⑧:
窥视卡
雷达卡
发表于 2017-6-29 06:35:43
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡