如何：強化 TCP/IP 堆棧安全

時間 2020-01-04

原文原文鏈接

抵禦 SYN ***

SYN ***利用了 TCP/IP 鏈接創建機制中的安全漏洞。要實施 SYN 洪水***，***者會使用程序發送大量 TCP SYN 請求來填滿服務器上的掛起鏈接隊列。這會禁止其餘用戶創建網絡鏈接。

要保護網絡抵禦 SYN ***，請按照下面這些通用步驟操做（這些步驟將在本文檔的稍後部分進行說明）：

•	啓用 SYN 保護*
•	設置 SYN 保護閾值
•	設置其餘保護

啓用 SYN ***保護

啓用 SYN ***保護的命名值位於此註冊表項的下面： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。

值名稱： SynAttackProtect

建議值： 2

有效值： 0 – 2

說明：使 TCP 調整 SYN-ACK 的重傳。配置此值後，在遇到 SYN ***時，對鏈接超時的響應將更快速。在超過 TcpMaxHalfOpen 或 TcpMaxHalfOpenRetried 的值後，將觸發 SYN ***保護。

設置 SYN 保護閾值

下列值肯定觸發 SYN 保護的閾值。這一部分中的全部註冊表項和值都位於註冊表項 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 的下面。這些註冊表項和值是：

•	值名稱： TcpMaxPortsExhausted 建議值： 5 有效值： 0 – 65535 說明：指定觸發 SYN 洪水***保護所必須超過的 TCP 鏈接請求數的閾值。
•	值名稱： TcpMaxHalfOpen 建議的數值數據： 500 有效值： 100 – 65535 說明：在啓用 SynAttackProtect 後，該值指定處於 SYN_RCVD 狀態的 TCP 鏈接數的閾值。在超過 SynAttackProtect 後，將觸發 SYN 洪水***保護。
•	值名稱： TcpMaxHalfOpenRetried 建議的數值數據： 400 有效值： 80 – 65535 說明：在啓用 SynAttackProtect 後，該值指定處於至少已發送一次重傳的 SYN_RCVD 狀態中的 TCP 鏈接數的閾值。在超過 SynAttackProtect 後，將觸發 SYN 洪水***保護。

設置其餘保護

這一部分中的全部註冊表項和值都位於註冊表項 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 的下面。這些註冊表項和值是：

•	值名稱： TcpMaxConnectResponseRetransmissions 建議的數值數據： 2 有效值： 0 – 255 說明：控制在響應一次 SYN 請求以後、在取消重傳嘗試以前 SYN-ACK 的重傳次數。
•	值名稱： TcpMaxDataRetransmissions 建議的數值數據： 2 有效值： 0 – 65535 說明：指定在終止鏈接以前 TCP 重傳一個數據段（不是鏈接請求段）的次數。
•	值名稱： EnablePMTUDiscovery 建議的數值數據： 0 有效值： 0, 1 說明：將該值設置爲 1（默認值）可強制 TCP 查找在通向遠程主機的路徑上的最大傳輸單元或最大數據包大小。***者可能將數據包強制分段，這會使堆棧不堪重負。對於不是來自本地子網的主機的鏈接，將該值指定爲 0 可將最大傳輸單元強制設爲 576 字節。
•	值名稱： KeepAliveTime 建議的數值數據： 300000 有效值： 80 – 4294967295 說明：指定 TCP 嘗試經過發送持續存活的數據包來驗證空閒鏈接是否仍然未被觸動的頻率。
•	值名稱： NoNameReleaseOnDemand 建議的數值數據： 1 有效值： 0, 1 說明：指定計算機在收到名稱發佈請求時是否發佈其 NetBIOS 名稱。

使用表 1 中彙總的值可得到最大程度的保護。

表 1：建議值

值名稱	值 (REG_DWORD)
SynAttackProtect	2
TcpMaxPortsExhausted	1
TcpMaxHalfOpen	500
TcpMaxHalfOpenRetried	400
TcpMaxConnectResponseRetransmissions	2
TcpMaxDataRetransmissions	2
EnablePMTUDiscovery	0
KeepAliveTime	300000（5 分鐘）
NoNameReleaseOnDemand	1

返回頁首

抵禦 ICMP ***

這一部分的命名值都位於註冊表項 HKLM\System\CurrentControlSet\Services\AFD\Parameters 的下面

值： EnableICMPRedirect
建議的數值數據： 0
有效值：0（禁用），1（啓用）
說明：經過將此註冊表值修改成 0，可以在收到 ICMP 重定向數據包時禁止建立高成本的主機路由。

使用表 2 中彙總的值能夠得到最大程度的保護：

表 2：建議值

值名稱	值 (REG_DWORD)
EnableICMPRedirect	0

返回頁首

抵禦 SNMP ***

這一部分的命名值位於註冊表項 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 的下面。

值： EnableDeadGWDetect
建議的數值數據： 0
有效值：0（禁用），1（啓用）
說明：禁止***者強制切換到備用網關

使用表 3 中彙總的值能夠得到最大程度的保護：

表 3：建議值

值名稱	值 (REG_DWORD)
EnableDeadGWDetect	0

返回頁首

AFD.SYS 保護

下面的註冊表項指定內核模式驅動程序 Afd.sys 的參數。Afd.sys 用於支持 Windows Sockets 應用程序。這一部分的全部註冊表項和值都位於註冊表項 HKLM\System\CurrentControlSet\Services\AFD\Parameters 的下面。這些註冊表項和值是：

•	值 EnableDynamicBacklog 建議的數值數據： 1 有效值：0（禁用），1（啓用）說明：指定 AFD.SYS 功能，以有效處理大量的 SYN_RCVD 鏈接。有關詳細信息，請參閱「Internet Server Unavailable Because of Malicious SYN Attacks」，網址爲 http://support.microsoft.com/default.aspx?scid=kb;en-us;142641（英文）。
•	值名稱： MinimumDynamicBacklog 建議的數值數據： 20 有效值： 0 – 4294967295 說明：指定在偵聽的終結點上所容許的最小空閒鏈接數。若是空閒鏈接的數目低於該值，線程將被排隊，以建立更多的空閒鏈接
•	值名稱：MaximumDynamicBacklog 建議的數值數據： 20000 有效值： 0 – 4294967295 說明：指定空閒鏈接以及處於 SYN_RCVD 狀態的鏈接的最大總數。
•	值名稱： DynamicBacklogGrowthDelta 建議的數值數據： 10 有效值： 0 – 4294967295 默認狀況下是否出現：否說明：指定在須要增長鏈接時將要建立的空閒鏈接數。

使用表 4 中彙總的值能夠得到最大程度的保護。

表 4：建議值

值名稱	值 (REG_DWORD)
EnableDynamicBacklog	1
MinimumDynamicBacklog	20
MaximumDynamicBacklog	20000
DynamicBacklogGrowthDelta	10

返回頁首

其餘保護

這一部分的全部註冊表項和值都位於註冊表項 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 的下面。

保護屏蔽的網絡細節

網絡地址轉換 (NAT) 用於將網絡與傳入鏈接屏蔽開來。***者可能規避此屏蔽，以便使用 IP 源路由來肯定網絡拓撲。

值： DisableIPSourceRouting
建議的數值數據： 1
有效值：0（轉發全部數據包），1（不轉發源路由數據包），2（丟棄全部傳入的源路由數據包）。
說明：禁用 IP 源路由，後者容許發送者確認數據報在網絡中應採用的路由。

避免接受數據包片斷

處理數據包片斷能夠是高成本的。雖然拒絕服務不多來自外圍網絡內，但此設置能防止處理數據包片斷。

值： EnableFragmentChecking
建議的數值數據： 1
有效值：0（禁用），1（啓用）
說明：禁止 IP 堆棧接受數據包片斷。

切勿轉發去往多臺主機的數據包

多播數據包可能被多臺主機響應，從而致使響應淹沒網絡。

值： EnableMulticastForwarding
建議的數值數據： 0
有效範圍：0 (false)，1 (true)
說明：路由服務使用此參數來控制是否轉發 IP 多播。此參數由路由和遠程訪問服務建立。

只有防火牆能夠在網絡間轉發數據包

多主機服務器切勿在它所鏈接的網絡之間轉發數據包。明顯的例外是防火牆。

值： IPEnableRouter
建議的數值數據： 0
有效範圍：0 (false)，1 (true)
說明：將此參數設置爲 1 (true) 會使系統在它所鏈接的網絡之間路由 IP 數據包。

屏蔽網絡拓撲結構細節

能夠使用 ICMP 數據包請求主機的子網掩碼。只泄漏此信息是無害的；可是，能夠利用多臺主機的響應來了解內部網絡的狀況。

值： EnableAddrMaskReply
建議的數值數據： 0
有效範圍：0 (false)，1 (true)
說明：此參數控制計算機是否響應 ICMP 地址屏蔽請求。

使用表 5 中彙總的值能夠得到最大程度的保護。

表 5：建議值

值名稱	值 (REG_DWORD)
DisableIPSourceRouting	1
EnableFragmentChecking	1
EnableMulticastForwarding	0
IPEnableRouter	0
EnableAddrMaskReply	0