Win2kレジストリの抵抗を拒否するDenial Service

正しい見方からDoSとDDoSを話す

この2つの言葉に慣れていない人はいないでしょう、はい、サービス拒否（Denial of Service）です。 ）、および分散サービス拒否（分散サービス拒否）と同じです。

いわゆるサービス拒否とは、特定の攻撃が発生した後、攻撃されたオブジェクトが適切なサービスを間に合わせることができないことを意味します。たとえば、Webサイトサービスの代わりにWebサイトサービス（HTTP Service）を提供します。 SMTP、POP3）はメールの送受信などの機能を提供することはできません。基本的に、ブロッキングサービス攻撃は通常ネットワークと相手方のホストを破壊するために大量のネットワークデータパケットを利用するため、通常のユーザーはホストからタイムリーなサービスを受けられません。

分散サービス妨害攻撃は、要するに、利用可能なシステムとネットワーク帯域幅を、ターゲットの処理能力をはるかに超える大量のデータパケットで消費し、ネットワークサービスを引き起こします。

メディアおよび約おそらく、あまりにも多くの注意は、DoS攻撃、特にDDoS攻撃の攻撃を攻撃し、彼らがいる限り、非常に興奮し、サーバーに障害が発生したとして、大規模および小規模ネットワークに従事し、一晩ポップアップするようです「私はDDoSでした！」と叫ぶと、その顔は比類のない栄光と誇りを書くようです。

実際には、DDoS攻撃を実行するために必要なリソースは非常に多くありますが、実際の攻撃は引き続き発生しています。内部では、大多数は通常のサービス拒否攻撃です。平均的な攻撃レベル、保護方法は、多くのネットワーク管理者にとって最も頭痛の種となっています。そのため、「ハードウェアファイアウォールを購入する」という結果と同じ結果になることがよくあります。

専用のサービス拒否攻撃攻撃製品を含むハードウェアファイアウォールは本当に優れていますが、基本価格は非常に高価ですが、投資と投資保護の観点からは効果は優れていますが、多すぎます。

実際、オペレーティングシステムの観点から見ると、それにはたくさんの機能がありますが、それらの多くはゆっくりと探索する必要があります。ここでは、Win2000環境でレジストリを変更してシステムのアンチDoS機能を強化する方法について簡単に紹介します。

詳細：

WindowsレジストリエディタVersion 5.00

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters]

無効なゲートウェイを確認します。サーバーに複数のゲートウェイが設定されていると、ネットワークがスムーズでないときにシステムが2番目のゲートウェイに接続しようとします。ネットワークをオフにすることでネットワークを最適化できます。

" EnableDeadGWDetect" = dword：00000000

ICMPリダイレクトメッセージへの応答を無効にします。このようなパケットは攻撃に使用される可能性があるため、システムはICMPリダイレクトメッセージの受信を拒否する必要があります。

" EnableICMPRedirects" = dword：00000000

NETBIOS名の解放は許可されていません。攻撃者がサーバーのNETBIOS名を照会する要求を発行すると、サーバーを無効にすることができます。

システムはSP2より上にインストールする必要があります。

" NoNameReleaseOnDemand" = dword：00000001

確認キープアライブパケットを送信します。この選択は、多くの時間間隔は、現在まだ接続状態では、値が設定されていないされてTCPコネクションを決定する方法を決定し、その後、二時間おきのTCP接続がアイドル状態にあるかどうかをチェックするためのシステムは、この設定時間は5分でした。

"KeepAliveTime" = dword：000493e0

最大パケット長のパス検出は禁止されています。値が1の場合は、送信可能なデータパケットのサイズが自動的に検出されるため、伝送効率を向上させることができ、障害やセキュリティがある場合は0に設定され、固定MTU値は576バイトになります。

" Enable PMTUDiscovery" = dword：00000000

syn攻撃からの保護を開始します。デフォルト値は0で、これは攻撃保護が有効でないことを意味し、値が1と2の場合はsyn攻撃保護が有効で、2の場合はセキュリティレベルがより高くなります。 TcpMaxHalfOpenRetried値によって設定された条件が起動をトリガーします。ここで注意しなければならないのは、NT4.0を1に設定し、2に設定するとシステムが特別なパケットのもとで再起動することです。

" SynAttackProtect値" = DWORD：00000002

開くことが許可される同時接続数の半分。 TCPセッションが完全に確立されていないことを意味する、いわゆる準結合、あなたはnetstatコマンドでSYN_RCVD状態を見ることができます。ここではマイクロソフトの推奨値を使用し、サーバーは100に設定され、アドバンストサーバーは500に設定されています。提案は少し小さく設定することができます。

" TcpMaxHalfOpen" = dword：00000064

攻撃のトリガーポイントがあるかどうかを確認します。ここではマイクロソフトが推奨する値を使用し、サーバーは80、アドバンストサーバーは400です。

“ TcpMaxHalfOpenRetried” = dword：00000050

SYN-ACKを待つ時間を設定します。デフォルト値は3で、デフォルトは45秒です。項目値は2、経過時間は21秒です。項目値は1、経過時間は9秒です。最小値は0に設定できます。これは待機しないことを意味し、消費時間は3秒です。この値は攻撃の規模に基づいて変更できます。マイクロソフトサイトセキュリティの推奨事項は2です。

" TcpMaxConnectResponseRetransmissions" = DWORD：00000001

データセグメントリーフレットのTCP再設定数。デフォルト値は5で、デフォルトは240秒です。マイクロソフトサイトセキュリティの推奨事項は3です。

" TcpMaxDataRetransmissions" = dword：00000003
< P> syn攻撃防御の重要ポイントを設定します。利用可能なバックログが0になるとき、このパラメータはsn攻撃保護の開始を制御するのに使用されていますマイクロソフトのサイトセキュリティ推奨は5です。

" TCPMaxPortsExhausted" = dword：00000005

IPソースルーティングを無効にします。デフォルト値が1の場合、送信元ルートパケットは転送されず、エントリの値が0の場合、すべてのパケットが転送され、2に設定されている場合、受け入れられた送信元ルートパケットはすべて破棄されます。

" DisableIPSourceRouting" = dword：0000002

TIME_WAIT状態の最大時間を制限します。デフォルトは240秒、最小値は30秒​​、最大値は300秒です。 30秒に設定することをお勧めします。

" TcpTimedWaitDelay" = dword：0000001e

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ NetBT \\ Parameters]

NetBTの接続ブロック数を増やします。デフォルトは3で、範囲は1〜20です値が大きいほど、接続数が多いほどパフォーマンスが高くなります。各接続ブロックは87バイトを消費します。

"BacklogIncrement" = dword：00000003

NetBT接続の最大数。範囲は1〜400000で、ここでは1000に設定されています値が大きいほど、接続数が多いときに許可される接続数が多くなります。

" MaxConnBackLog" = dword：000003e8

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Afd \\ Parameters]

動的バックログを有効にするように設定します。ネットワークやSYN攻撃が激しいシステムの場合は、動的バックログが許可されていることを示す1に設定することをお勧めします。

" EnableDynamicBacklog" = dword：00000001

最小の動的バックログを設定します。デフォルト値は0です。これは、動的Backlogが割り振る空き接続の最小数を示します。空き接続数がこの数より少ない場合、空き接続が自動的に割り当てられます。デフォルト値は0です。ネットワーク攻撃またはSYN攻撃が激しいシステムの場合、推奨設定は20です。

"MinimumDynamicBacklog" = dword：00000014

最大動的バックログ。準"最大"を定義表す接続の数は、主メモリのサイズに依存し、理論は、ここで20,000セット、32M 5000あたりの最大メモリを増やすことができます。

" MaximumDynamicBacklog" = dword：00002e20

毎回空き接続データを追加します。デフォルト値は5です。つまり、毎回追加される空き接続数が定義されます。ネットワークが重い、またはSYN攻撃に対して脆弱なシステムの場合は、10に設定することをお勧めします。

" DynamicBacklogGrowthDelta" = dword：0000000a

以下のセクションは、実際の状況に応じて手動で変更する必要があります。

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters]

ネットワークカードでセキュリティフィルタリングを有効にする

" EnableSecurityFilters" = dword：00000001

同時に開かれたTCP接続の数。状況に応じて制御できます。

" TcpNumConnections" =

このパラメータは、TCPヘッダーテーブルのサイズ制限を制御します。大量のRAMを搭載したマシンでは、この設定を大きくするとSYN攻撃時の応答性が向上します。

" TcpMaxSendFree" =

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters

\\ Interfaces \\ {独自のNICインタフェース}]

経路探索は無効です。 ICMPルートアドバタイズメントパケットは、ルーティングテーブルレコードを増やすために使用され、攻撃を引き起こす可能性があるため、ルートの発見は禁止されています。

" PerformRouterDiscovery" = dword：00000000