如何強化TCP/IP 堆疊安全教程

　　目標

　　使用本模組可以實現：

　　適用範圍

　　本模組適用於下列產品和技術：

　　如何使用本模組

　　預設情況下，本模組中的一些登錄檔項和值可能不存在。在這些情況下，請建立這些登錄檔項、值和數值資料。

　　注意：這些設定會修改伺服器上 TCP/IP 的工作方式。Web 伺服器的特徵將確定觸發拒絕服務對策的最佳閾值。對於客戶端的連線，一些值可能過於嚴格。在將本模組的建議部署到產品伺服器之前，要對這些建議進行測試。

　　摘要

　　TCP/IP 堆疊負責處理傳入和傳出的 IP 資料包，並將資料包中的資料路由到要處理它們的應用程式。預設情況下，TCP/IP 天生就是一個不安全的協議。但是，Microsoft® Windows® 2000 版本允許您配置其操作，以抵禦網路級別的大多數拒絕服務攻擊。

　　本模組解釋如何強化 TCP/IP 堆疊的安全，以及如何在 Windows 登錄檔內配置各種 TCP/IP 引數，以便保護伺服器免遭網路級別的拒絕服務攻擊，包括 SYS 洪水攻擊、ICMP 攻擊和 SNMP 攻擊。

　　必備知識

　　可以在 Windows 登錄檔內配置各種 TCP/IP 引數，以便保護伺服器免遭網路級別的拒絕服務攻擊，包括 SYS 洪水攻擊、ICMP 攻擊和 SNMP 攻擊。可以配置登錄檔項，以便：

　　本“如何”向管理員介紹必須配置哪些登錄檔項和登錄檔值，以抵禦基於網路的拒絕服務攻擊。

　　注意 這些設定會修改伺服器上 TCP/IP 的工作方式。Web 伺服器的特徵將確定觸發拒絕服務對策的最佳閾值。對於客戶端的連線，一些值可能過於嚴格。在將本文件的建議部署到產品伺服器之前，應當測試這些建議。

　　TCP/IP 天生就是一個不安全的協議。但是，Windows 2000 版本允許您配置其操作，以抵禦網路級別的拒絕服務攻擊。預設情況下，本“如何”中引用的一些登錄檔項和值可能不存在。在這些情況下，請建立這些登錄檔項、值和值資料。

　　抵禦 SYN 攻擊

　　SYN 攻擊利用了 TCP/IP 連線建立機制中的安全漏洞。要實施 SYN 洪水攻擊，攻擊者會使用程式傳送大量 TCP SYN 請求來填滿伺服器上的掛起連線佇列。這會禁止其他使用者建立網路連線。

　　要保護網路抵禦 SYN 攻擊，請按照下面這些通用步驟操作(這些步驟將在本文件的稍後部分進行說明)：

　　啟用 SYN 攻擊保護

　　啟用 SYN 攻擊保護的命名值位於此登錄檔項的下面：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices。

　　值名稱： SynAttackProtect

　　建議值： 2

　　有效值： 0 – 2

　　說明：使 TCP 調整 SYN-ACK 的重傳。配置此值後，在遇到 SYN 攻擊時，對連線超時的響應將更快速。在超過 TcpMaxHalfOpen 或 TcpMaxHalfOpenRetried 的值後，將觸發 SYN 攻擊保護。

　　設定 SYN 保護閾值

　　下列值確定觸發 SYN 保護的閾值。這一部分中的所有登錄檔項和值都位於登錄檔項 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 的下面。這些登錄檔項和值是：

　　設定其他保護

　　這一部分中的所有登錄檔項和值都位於登錄檔項 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 的下面。這些登錄檔項和值是：

　　使用表 1 中彙總的值可獲得最大程度的保護。

　　表 1：建議值

　　抵禦 ICMP 攻擊

　　這一部分的命名值都位於登錄檔項 HKLMSystemCurrentControlSetServicesAFDParameters 的下面

　　值： EnableICMPRedirect

　　建議的數值資料： 0

　　有效值：0(禁用)，1(啟用)

　　說明：透過將此登錄檔值修改為 0，能夠在收到 ICMP 重定向資料包時禁止建立高成本的主機路由。

　　使用表 2 中彙總的值可以獲得最大程度的保護：

　　表 2：建議值

　　抵禦 SNMP 攻擊

　　這一部分的命名值位於登錄檔項 HKLMSystemCurrentControlSetServicesTcpipParameters 的下面。

　　值： EnableDeadGWDetect

　　建議的數值資料： 0

　　有效值：0(禁用)，1(啟用)

　　說明：禁止攻擊者強制切換到備用閘道器

　　使用表 3 中彙總的值可以獲得最大程度的保護：

　　表 3：建議值

　　AFD.SYS 保護

　　下面的登錄檔項指定核心模式驅動程式 Afd.sys 的引數。Afd.sys 用於支援 Windows Sockets 應用程式。這一部分的所有登錄檔項和值都位於登錄檔項 HKLMSystemCurrentControlSetServicesAFDParameters 的下面。這些登錄檔項和值是：

　　使用表 4 中彙總的值可以獲得最大程度的保護。

　　表 4：建議值

　　其他保護

　　這一部分的所有登錄檔項和值都位於登錄檔項 HKLMSystemCurrentControlSetServicesTcpipParameters 的下面。

　　保護遮蔽的網路細節

　　網路地址轉換 (NAT) 用於將網路與傳入連線遮蔽開來。攻擊者可能規避此遮蔽，以便使用 IP 源路由來確定網路拓撲。

　　值： DisableIPSourceRouting

　　建議的數值資料： 1

　　有效值：0(轉發所有資料包)，1(不轉發源路由資料包)，2(丟棄所有傳入的源路由資料包)。

　　說明：禁用 IP 源路由，後者允許傳送者確認資料包在網路中應採用的路由。

　　避免接受資料包片段

　　處理資料包片段可以是高成本的。雖然拒絕服務很少來自外圍網路內，但此設定能防止處理資料包片段。

　　值： EnableFragmentChecking

　　建議的數值資料： 1

　　有效值：0(禁用)，1(啟用)

　　說明：禁止 IP 堆疊接受資料包片段。

　　切勿轉發去往多臺主機的資料包

　　多播資料包可能被多臺主機響應，從而導致響應淹沒網路。

　　值： EnableMulticastForwarding

　　建議的數值資料： 0

　　有效範圍：0 (false)，1 (true)

　　說明：路由服務使用此引數來控制是否轉發 IP 多播。此引數由路由和遠端訪問服務建立。

　　只有防火牆可以在網路間轉發資料包

　　多主機伺服器切勿在它所連線的網路之間轉發資料包。明顯的例外是防火牆。

　　值： IPEnableRouter

　　建議的數值資料： 0

　　有效範圍：0 (false)，1 (true)

　　說明：將此引數設定為 1 (true) 會使系統在它所連線的網路之間路由 IP 資料包。

　　遮蔽網路拓撲結構細節

　　可以使用 ICMP 資料包請求主機的子網掩碼。只洩漏此資訊是無害的;但是，可以利用多臺主機的響應來了解內部網路的情況。

　　值： EnableAddrMaskReply

　　建議的數值資料： 0

　　有效範圍：0 (false)，1 (true)

　　說明：此引數控制計算機是否響應 ICMP 地址遮蔽請求。

　　使用表 5 中彙總的值可以獲得最大程度的保護。

　　表 5：建議值

　　缺陷

　　在測試這些值的變化時，請參照在產品中所期望的網路流量進行測試。這些設定會修改被認為正常並偏離了測試預設值的專案的閾值。一些閾值可能由於範圍太小而無法在客戶端的連線速度劇烈變化時可靠地支援客戶端。