15158846557 在线咨询 在线咨询
15158846557 在线咨询
所在位置: 首页 > 营销资讯 > 信息时代 > 分布式拒绝服务攻击Windows系统防御

分布式拒绝服务攻击Windows系统防御

时间:2022-02-17 20:03:02 | 来源:信息时代

时间:2022-02-17 20:03:02 来源:信息时代

对于windows系统来说,可以从以下几个方面来进行防御:

一.启用SYN攻击保护

启用SYN攻击保护的命名值位于此注册表项的下面:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices。

值名称:SynAttackProtect

建议值:2

有效值:0–2

说明:使TCP调整SYN-ACK的重传。配置此值后,在遇到SYN攻击时,对连接超时的响应将更快速。在超过TcpMaxHalfOpen或TcpMaxHalfOpenRetried的值后,将触发SYN攻击保护。

设置SYN保护阈值下列值确定触发SYN保护的阈值。这一部分中的所有注册表项和值都位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices的下面。这些注册表项和值是:

值名称:TcpMaxPortsExhausted建议值:5有效值:0–65535说明:指定触发SYN洪水攻击保护所必须超过的TCP连接请求数的阈值。值名称:TcpMaxHalfOpen建议的数值数据:500有效值:100–65535说明:在启用SynAttackProtect后,该值指定处于SYN_RCVD状态的TCP连接数的阈值。在超过SynAttackProtect后,将触发SYN洪水攻击保护。值名称:TcpMaxHalfOpenRetried建议的数值数据:400有效值:80–65535说明:在启用SynAttackProtect后,该值指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值。在超过SynAttackProtect后,将触发SYN洪水攻击保护。

设置其他保护这一部分中的所有注册表项和值都位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices的下面。这些注册表项和值是:

值名称:TcpMaxConnectResponseRetransmissions建议的数值数据:2有效值:0–255说明:控制在响应一次SYN请求之后、在取消重传尝试之前SYN-ACK的重传次数。值名称:TcpMaxDataRetransmissions建议的数值数据:2有效值:0–65535说明:指定在终止连接之前TCP重传一个数据段(不是连接请求段)的次数。值名称:EnablePMTUDiscovery建议的数值数据:0有效值:0,1说明:将该值设置为1(默认值)可强制TCP查找在通向远程主机的路径上的最大传输单元或最大数据包大小。攻击者可能将数据包强制分段,这会使堆栈不堪重负。对于不是来自本地子网的主机的连接,将该值指定为0可将最大传输单元强制设为576字节。值名称:KeepAliveTime建议的数值数据:300000有效值:80–4294967295说明:指定TCP尝试通过发送持续存活的数据包来验证空闲连接是否仍然未被触动的频率。

值名称:NoNameReleaseOnDemand建议的数值数据:1有效值:0,1说明:指定计算机在收到名称发布请求时是否发布其NetBIOS名称。

使用表1中汇总的值可获得最大程度的保护。

表1:建议值

值名称

值(REG_DWORD)

SynAttackProtect

2

TcpMaxPortsExhausted

1

TcpMaxHalfOpen

500

TcpMaxHalfOpenRetried

400

TcpMaxConnectResponseRetransmissions

2

TcpMaxDataRetransmissions

2

EnablePMTUDiscovery

0

KeepAliveTime

300000(5分钟)

NoNameReleaseOnDemand

1

二.抵御ICMP攻击

这一部分的命名值都位于注册表项HKLMSystemCurrentControlSetServicesAFDParameters的下面

值:EnableICMPRedirect建议的数值数据:0有效值:0(禁用),1(启用)说明:通过将此注册表值修改为0,能够在收到ICMP重定向数据包时禁止创建高成本的主机路由。

使用表2中汇总的值可以获得最大程度的保护:

表2:建议值

值名称

值(REG_DWORD)

EnableICMPRedirect

0

三.抵御SNMP攻击

这一部分的命名值位于注册表项HKLMSystemCurrentControlSetServicesTcpipParameters的下面。

值:EnableDeadGWDetect建议的数值数据:0有效值:0(禁用),1(启用)说明:禁止攻击者强制切换到备用网关

使用表3中汇总的值可以获得最大程度的保护:

表3:建议值

值名称

值(REG_DWORD)

EnableDeadGWDetect

0

四.AFD.SYS保护

下面的注册表项指定内核模式驱动程序Afd.sys的参数。Afd.sys用于支持WindowsSockets应用程序。这一部分的所有注册表项和值都位于注册表项HKLMSystemCurrentControlSetServicesAFDParameters的下面。这些注册表项和值是:

值EnableDynamicBacklog建议的数值数据:1有效值:0(禁用),1(启用)说明:指定AFD.SYS功能,以有效处理大量的SYN_RCVD连接。有关详细信息,请参阅'InternetServerUnavailableBecauseofMaliciousSYNAttacks',值名称:MinimumDynamicBacklog建议的数值数据:20有效值:0–4294967295说明:指定在侦听的终结点上所允许的最小空闲连接数。如果空闲连接的数目低于该值,线程将被排队,以创建更多的空闲连接值名称:MaximumDynamicBacklog建议的数值数据:20000有效值:0–4294967295说明:指定空闲连接以及处于SYN_RCVD状态的连接的最大总数。值名称:DynamicBacklogGrowthDelta建议的数值数据:10有效值:0–4294967295默认情况下是否出现:否说明:指定在需要增加连接时将要创建的空闲连接数。

使用表4中汇总的

值可以获得最大程度的保护。

表4:建议值

值名称

值(REG_DWORD)

EnableDynamicBacklog

1

MinimumDynamicBacklog

20

MaximumDynamicBacklog

20000

DynamicBacklogGrowthDelta

10

其他

这一部分的所有注册表项和值都位于注册表项HKLMSystemCurrentControlSetServicesTcpipParameters的下面。

保护屏蔽的网络细节网络地址转换(NAT)用于将网络与传入连接屏蔽开来。攻击者可能规避此屏蔽,以便使用IP源路由来确定网络拓扑。

值:DisableIPSourceRouting建议的数值数据:1有效值:0(转发所有数据包),1(不转发源路由数据包),2(丢弃所有传入的源路由数据包)。说明:禁用IP源路由,后者允许发送者确认数据报在网络中应采用的路由。

避免接受数据包片段处理数据包片段可以是高成本的。虽然拒绝服务很少来自外围网络内,但此设置能防止处理数据包片段。

值:EnableFragmentChecking建议的数值数据:1有效值:0(禁用),1(启用)说明:禁止IP堆栈接受数据包片段。

切勿转发去往多台主机的数据包多播数据包可能被多台主机响应,从而导致响应淹没网络。

值:EnableMulticastForwarding建议的数值数据:0有效范围:0(false),1(true)说明:路由服务使用此参数来控制是否转发IP多播。此参数由路由和远程访问服务创建。

只有防火墙可以在网络间转发数据包多主机服务器切勿在它所连接的网络之间转发数据包。明显的例外是防火墙。

值:IPEnableRouter建议的数值数据:0有效范围:0(false),1(true)说明:将此参数设置为1(true)会使系统在它所连接的网络之间路由IP数据包。

屏蔽网络拓扑结构细节可以使用ICMP数据包请求主机的子网掩码。只泄漏此信息是无害的;但是,可以利用多台主机的响应来了解内部网络的情况。

值:EnableAddrMaskReply建议的数值数据:0有效范围:0(false),1(true)说明:此参数控制计算机是否响应ICMP地址屏蔽请求。

使用表5中汇总的值可以获得最大程度的保护。

表5:建议值

值名称

值(REG_DWORD)

DisableIPSourceRouting

1

EnableFragmentChecking

1

EnableMulticastForwarding

0

IPEnableRouter

0

EnableAddrMaskReply

0

缺陷

在测试这些值的变化时,请参照在产品中所期望的网络流量进行测试。这些设置会修改被认为正常并偏离了测试默认值的项目的阈值。一些阈值可能由于范围太小而无法在客户端的连接速度剧烈变化时可靠地支持客户端。

关键词:系统,攻击,防御

74
73
25
news

版权所有© 亿企邦 1997-2025 保留一切法律许可权利。

为了最佳展示效果,本站不支持IE9及以下版本的浏览器,建议您使用谷歌Chrome浏览器。 点击下载Chrome浏览器
关闭