Windows 2000 Server 的 TCP/IP 利用与对策
2024-09-08 18:09:21
供稿:网友
概要
本模块着重讲述了 Windows 2000 TCP/IP 堆栈的可能利用,并具体描述了可通过配置 HKLM/System/CurrentControlSet/Services/Tcpip/Parameters/ 注册表项来应用的对策。此外,模块还讲述了该配置的潜在影响。
返回页首
Windows 2000 TCP/IP 堆栈潜在威胁和对策的影响
表 1 显示了 TCP/IP 堆栈的潜在利用。该表还显示了可能的对策,以及利用与对策的潜在影响。
表 1:TCP/IP 堆栈的潜在利用
注册表值项 对策潜在影响 潜在利用
EnableICMPRedirect
假如将路由和远程访问服务 (RRAS) 配置为自治系统边界路由器 (ASBR),它将无法正确导入连接接口子网路由。相反,该路由器将主机路由插入开放式最短路径优先 (OSPF) 路由中。由于 OSPF 路由器不能用作 ASBR 路由器,导入连接接口子网路由至 OSPF 将导致路由表与生疏的路由路径相互混淆。
Internet 控制消息协议 (ICMP) 重定向将导致堆栈探测主机路由。这些路由将覆盖 OSPF 生成的路由。
这一结果本身是预料中的行为。但问题是,由于 ICMP 重定向探测路由的超时时间是 10 分钟,这便在相关网络中形成黑洞。
SynAttackProtect
该注册表值答应 TCP 调整 SYN-ACK 的重新传输。配置了该值后,一旦发生 SYN 攻击,连接响应的超时时间更短。该值在连接指示中增加了额外的延迟,在发生 SYN 攻击时,TCP 连接请求的超时时间很短。假如配置了该设置,每个适配器(包括初始往返时间 (RTT) 和窗口大小)套接字选项所配置的可伸缩窗口和 TCP 参数将不再起作用。
在 SYN Flood 攻击中,攻击者向服务器持续发送 SYN 数据包流,服务器使处于半打开状态的连接一直保持打开状态,直至被沉没在庞大的数据流中而无法响应合法的请求。
EnableDeadGWDetect
启用间隔网关检测后,假如有很多连接都存在问题,TCP 可能要求 IP 切换到备份网关,假如该设置的值是 0,Windows 不再检测间隔网关,并自动切换到替换网关。
攻击者可强制服务器切换网关,并极有可能切换到毫无预备的网关。
EnablePMTUDiscovery
假如 EnablePMTUDiscovery 的设置是 1,TCP 将尝试发现远程主机路径中的最大传输单位 (MTU) 或最大数据包大小。TCP 可通过发现路径的 MTU 并将 TCP 段限制在该值之内来在 MTU 不同的网络连接路径中消除路由器中的碎片。
碎片对 TCP 吞吐量有负面影响。假如值设置是 0,所有非本地子网主机的连接都将使用 576 字节的 MTU。
假如值非 0,攻击者可强制 MTU 为非常小的值,然后强制服务器分割大量的数据包,进而使堆栈超负荷工作。
KeepAliveTime
该值控制了 TCP 尝试通过发送 KeepAlive 数据包确认空闲连接是否依然毫无变化的频率。假如远程计算机仍可访问,说明数据包保持有效 (KeepAlive)。
在默认情况下,系统不发送 KeepAlive 数据包。您可通过程序在连接中配置该值。假如减少至 5 分钟(默认值是 2 小时),表示非活动会话将很快断开。
能连接网络应用程序的攻击者可以通过建立大量的连接造成 DoS。
DisableIPSourceRouting
IP 源路由这种机制答应发送者确定数据报通过网络的 IP 路由。将该值设置为 2 将导致所有传入的源路由数据包丢失。
攻击者使用源路由数据包隐蔽他们的身份和位置。源路由答应计算机发送数据包来指定自己使用的路由。
TCPMaxConnectResponseRetransmissions
该参数控制了在未明确 SYN 的情况下,SYN-ACK 因响应连接请求而重新传输的次数。
假如值大于或等于 2,表示堆栈在内部使用 SYN-ATTACK 保护。假如值小于 2,表示堆栈的 SYN-ATTACK 保护根本不读取注册表值。该参数缩短了清理 TCP 连接所需的默认时间。遭受强烈攻击的站点可降低该值至 1。设置为 0 也有效。但是,假如该参数的设置是 0,SYN-ACK 根本不会重新传输,并在 3 秒钟后超时。假如值非常低,远端客户端的合法连接尝试也将失败。