如何強化TCP/IP 堆疊安全教程

　　目標

　　使用本模組可以實現：

•	強化伺服器的 TCP/IP 堆疊安全
•	保護伺服器免遭“拒絕服務”和其他基於網路的攻擊
•	在檢測到攻擊時啟用 SYN 洪水攻擊保護
•	設定用於確認是什麼構成攻擊的閾值

　　適用範圍

　　本模組適用於下列產品和技術：

•	Microsoft Windows 2000 Server 和 Windows 2000 Advanced Server

　　如何使用本模組

　　預設情況下，本模組中的一些登錄檔項和值可能不存在。在這些情況下，請建立這些登錄檔項、值和數值資料。

　　注意：這些設定會修改伺服器上 TCP/IP 的工作方式。Web 伺服器的特徵將確定觸發拒絕服務對策的最佳閾值。對於客戶端的連線，一些值可能過於嚴格。在將本模組的建議部署到產品伺服器之前，要對這些建議進行測試。

　　摘要

　　TCP/IP 堆疊負責處理傳入和傳出的 IP 資料包，並將資料包中的資料路由到要處理它們的應用程式。預設情況下，TCP/IP 天生就是一個不安全的協議。但是，Microsoft® Windows® 2000 版本允許您配置其操作，以抵禦網路級別的大多數拒絕服務攻擊。

　　本模組解釋如何強化 TCP/IP 堆疊的安全，以及如何在 Windows 登錄檔內配置各種 TCP/IP 引數，以便保護伺服器免遭網路級別的拒絕服務攻擊，包括 SYS 洪水攻擊、ICMP 攻擊和 SNMP 攻擊。

　　必備知識

　　可以在 Windows 登錄檔內配置各種 TCP/IP 引數，以便保護伺服器免遭網路級別的拒絕服務攻擊，包括 SYS 洪水攻擊、ICMP 攻擊和 SNMP 攻擊。可以配置登錄檔項，以便：

•	在檢測到攻擊時啟用 SYN 洪水攻擊保護機制。
•	設定用於確認構成攻擊的閾值。

　　本“如何”向管理員介紹必須配置哪些登錄檔項和登錄檔值，以抵禦基於網路的拒絕服務攻擊。

　　注意 這些設定會修改伺服器上 TCP/IP 的工作方式。Web 伺服器的特徵將確定觸發拒絕服務對策的最佳閾值。對於客戶端的連線，一些值可能過於嚴格。在將本文件的建議部署到產品伺服器之前，應當測試這些建議。

　　TCP/IP 天生就是一個不安全的協議。但是，Windows 2000 版本允許您配置其操作，以抵禦網路級別的拒絕服務攻擊。預設情況下，本“如何”中引用的一些登錄檔項和值可能不存在。在這些情況下，請建立這些登錄檔項、值和值資料。

　　抵禦 SYN 攻擊

　　SYN 攻擊利用了 TCP/IP 連線建立機制中的安全漏洞。要實施 SYN 洪水攻擊，攻擊者會使用程式傳送大量 TCP SYN 請求來填滿伺服器上的掛起連線佇列。這會禁止其他使用者建立網路連線。

　　要保護網路抵禦 SYN 攻擊，請按照下面這些通用步驟操作(這些步驟將在本文件的稍後部分進行說明)：

•	啟用 SYN 攻擊保護
•	設定 SYN 保護閾值
•	設定其他保護

　　啟用 SYN 攻擊保護

　　啟用 SYN 攻擊保護的命名值位於此登錄檔項的下面：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices。

　　值名稱： SynAttackProtect

　　建議值： 2

　　有效值： 0 – 2

　　說明：使 TCP 調整 SYN-ACK 的重傳。配置此值後，在遇到 SYN 攻擊時，對連線超時的響應將更快速。在超過 TcpMaxHalfOpen 或 TcpMaxHalfOpenRetried 的值後，將觸發 SYN 攻擊保護。

　　設定 SYN 保護閾值

　　下列值確定觸發 SYN 保護的閾值。這一部分中的所有登錄檔項和值都位於登錄檔項 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 的下面。這些登錄檔項和值是：

•	值名稱： TcpMaxPortsExhausted 建議值： 5 有效值： 0 – 65535 說明：指定觸發 SYN 洪水攻擊保護所必須超過的 TCP 連線請求數的閾值。
•	值名稱： TcpMaxHalfOpen 建議的數值資料： 500 有效值： 100 – 65535 說明：在啟用 SynAttackProtect 後，該值指定處於 SYN_RCVD 狀態的 TCP 連線數的閾值。在超過 SynAttackProtect 後，將觸發 SYN 洪水攻擊保護。
•	值名稱： TcpMaxHalfOpenRetried 建議的數值資料： 400 有效值： 80 – 65535 說明：在啟用 SynAttackProtect 後，該值指定處於至少已傳送一次重傳的 SYN_RCVD 狀態中的 TCP 連線數的閾值。在超過 SynAttackProtect 後，將觸發 SYN 洪水攻擊保護。

　　設定其他保護

　　這一部分中的所有登錄檔項和值都位於登錄檔項 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 的下面。這些登錄檔項和值是：

•	值名稱： TcpMaxConnectResponseRetransmissions 建議的數值資料： 2 有效值： 0 – 255 說明：控制在響應一次 SYN 請求之後、在取消重傳嘗試之前 SYN-ACK 的重傳次數。
•	值名稱： TcpMaxDataRetransmissions 建議的數值資料： 2 有效值： 0 – 65535 說明：指定在終止連線之前 TCP 重傳一個資料段（不是連線請求段）的次數。
•	值名稱： EnablePMTUDiscovery 建議的數值資料： 0 有效值： 0, 1 說明：將該值設定為 1（預設值）可強制 TCP 查詢在通向遠端主機的路徑上的最大傳輸單元或最大資料包大小。攻擊者可能將資料包強制分段，這會使堆疊不堪重負。對於不是來自本地子網的主機的連線，將該值指定為 0 可將最大傳輸單元強制設為 576 位元組。
•	值名稱： KeepAliveTime 建議的數值資料： 300000 有效值： 80 – 4294967295 說明：指定 TCP 嘗試透過傳送持續存活的資料包來驗證空閒連線是否仍然未被觸動的頻率。
•	值名稱： NoNameReleaseOnDemand 建議的數值資料： 1 有效值： 0, 1 說明：指定計算機在收到名稱釋出請求時是否釋出其 NetBiOS 名稱。

　　使用表 1 中彙總的值可獲得最大程度的保護。

　　表 1：建議值

值名稱	值 (REG_Dword)
SynAttackProtect	2
TcpMaxPortsExhausted	1
TcpMaxHalfOpen	500
TcpMaxHalfOpenRetried	400
TcpMaxConnectResponseRetransmissions	2
TcpMaxDataRetransmissions	2
EnablePMTUDiscovery	0
KeepAliveTime	300000（5 分鐘）
NoNameReleaseOnDemand	1

　　抵禦 ICMP 攻擊

　　這一部分的命名值都位於登錄檔項 HKLMSystemCurrentControlSetServicesAFDParameters 的下面

　　值： EnableICMPRedirect

　　建議的數值資料： 0

　　有效值：0(禁用)，1(啟用)

　　說明：透過將此登錄檔值修改為 0，能夠在收到 ICMP 重定向資料包時禁止建立高成本的主機路由。

　　使用表 2 中彙總的值可以獲得最大程度的保護：

　　表 2：建議值

值名稱	值 (REG_DWORD)
EnableICMPRedirect	0

　　抵禦 SNMP 攻擊

　　這一部分的命名值位於登錄檔項 HKLMSystemCurrentControlSetServicesTcpipParameters 的下面。

　　值： EnableDeadGWDetect

　　建議的數值資料： 0

　　有效值：0(禁用)，1(啟用)

　　說明：禁止攻擊者強制切換到備用閘道器

　　使用表 3 中彙總的值可以獲得最大程度的保護：

　　表 3：建議值

值名稱	值 (REG_DWORD)
EnableDeadGWDetect	0

　　AFD.SYS 保護

　　下面的登錄檔項指定核心模式驅動程式 Afd.sys 的引數。Afd.sys 用於支援 Windows Sockets 應用程式。這一部分的所有登錄檔項和值都位於登錄檔項 HKLMSystemCurrentControlSetServicesAFDParameters 的下面。這些登錄檔項和值是：

•	值 EnableDynamicBacklog 建議的數值資料： 1 有效值：0（禁用），1（啟用） 說明：指定 AFD.SYS 功能，以有效處理大量的 SYN_RCVD 連線。
•	值名稱： MinimumDynamicBacklog 建議的數值資料： 20 有效值： 0 – 4294967295 說明：指定在偵聽的終結點上所允許的最小空閒連線數。如果空閒連線的數目低於該值，執行緒將被排隊，以建立更多的空閒連線
•	值名稱：MaximumDynamicBacklog 建議的數值資料： 20000 有效值： 0 – 4294967295 說明：指定空閒連線以及處於 SYN_RCVD 狀態的連線的最大總數。
•	值名稱： DynamicBacklogGrowthDelta 建議的數值資料： 10 有效值： 0 – 4294967295 預設情況下是否出現：否 說明：指定在需要增加連線時將要建立的空閒連線數。

　　使用表 4 中彙總的值可以獲得最大程度的保護。

　　表 4：建議值

值名稱	值 (REG_DWORD)
EnableDynamicBacklog	1
MinimumDynamicBacklog	20
MaximumDynamicBacklog	20000
DynamicBacklogGrowthDelta	10

　　其他保護

　　這一部分的所有登錄檔項和值都位於登錄檔項 HKLMSystemCurrentControlSetServicesTcpipParameters 的下面。

　　保護遮蔽的網路細節

　　網路地址轉換 (NAT) 用於將網路與傳入連線遮蔽開來。攻擊者可能規避此遮蔽，以便使用 IP 源路由來確定網路拓撲。

　　值： DisableIPSourceRouting

　　建議的數值資料： 1

　　有效值：0(轉發所有資料包)，1(不轉發源路由資料包)，2(丟棄所有傳入的源路由資料包)。

　　說明：禁用 IP 源路由，後者允許傳送者確認資料包在網路中應採用的路由。

　　避免接受資料包片段

　　處理資料包片段可以是高成本的。雖然拒絕服務很少來自外圍網路內，但此設定能防止處理資料包片段。

　　值： EnableFragmentChecking

　　建議的數值資料： 1

　　有效值：0(禁用)，1(啟用)

　　說明：禁止 IP 堆疊接受資料包片段。

　　切勿轉發去往多臺主機的資料包

　　多播資料包可能被多臺主機響應，從而導致響應淹沒網路。

　　值： EnableMulticastForwarding

　　建議的數值資料： 0

　　有效範圍：0 (false)，1 (true)

　　說明：路由服務使用此引數來控制是否轉發 IP 多播。此引數由路由和遠端訪問服務建立。

　　只有防火牆可以在網路間轉發資料包

　　多主機伺服器切勿在它所連線的網路之間轉發資料包。明顯的例外是防火牆。

　　值： IPEnableRouter

　　建議的數值資料： 0

　　有效範圍：0 (false)，1 (true)

　　說明：將此引數設定為 1 (true) 會使系統在它所連線的網路之間路由 IP 資料包。

　　遮蔽網路拓撲結構細節

　　可以使用 ICMP 資料包請求主機的子網掩碼。只洩漏此資訊是無害的;但是，可以利用多臺主機的響應來了解內部網路的情況。

　　值： EnableAddrMaskReply

　　建議的數值資料： 0

　　有效範圍：0 (false)，1 (true)

　　說明：此引數控制計算機是否響應 ICMP 地址遮蔽請求。

　　使用表 5 中彙總的值可以獲得最大程度的保護。

　　表 5：建議值

值名稱	值 (REG_DWORD)
DisableIPSourceRouting	1
EnableFragmentChecking	1
EnableMulticastForwarding	0
IPEnableRouter	0
EnableAddrMaskReply	0

　　缺陷

　　在測試這些值的變化時，請參照在產品中所期望的網路流量進行測試。這些設定會修改被認為正常並偏離了測試預設值的專案的閾值。一些閾值可能由於範圍太小而無法在客戶端的連線速度劇烈變化時可靠地支援客戶端。