DoS og DDoS fra start med en korrekt opfattelse af
Jeg tror, vi er bestemt ikke ukendt for både ordet, ja, denial of service-angreb (Denial of Service) og distribueret denial of service-angreb (Distributed Denial of Service).
Den såkaldte "denial of service, henviser til et specifikt angreb, hvis formål angreb undlader at give de nødvendige tjenester, for eksempel, skulle have været levere webservices (HTTP Service) ikke kan levere web services, e-mail server (SMTP, POP3) kan ikke give sende og modtage breve, etc. funktioner, dybest set, denial of service angreb er normalt en stor mængde af nettet datapakker, for at lamme den anden side af nettet, og værten, så almindelige brugere ikke kan få adgang til værten og rettidig service.
Distributed denial of service, skal du blot Målet er at bruge langt mere end enorme mængder af data pakke behandling strømforbrug tilgængelige systemer og netværk båndbredde, hvilket resulterer i lammelse af netværkstjenester.
Og medierne kan være for bekymret over, DoS-angreb, især DDoS angreb, synes at pop op natten over, de udøver i de store og små netværk, så længe serveren er en fiasko, der er usædvanligt glade råber "Jeg var DDoS det! "skrevet på hendes ansigt, som om en enorm ære og stolthed.
Faktisk omkring os virkelig DDoS er ikke meget at lancere et DDoS angreb, efter alle de nødvendige ressourcer meget, men den virkelige angreb, men holdt det sted, hvor det store flertal, er fælles denial of service. Generelle niveau for angreb, hvor forsvaret er også blevet en hovedpine for mange netværksadministratorer de fleste problemer, så spørg rundt, er resultaterne ofte stereotype, "vores hardware firewall købe det."
Hardware firewall, herunder denial of service angreb mod specifikke produkt er virkelig god, men den grundlæggende priserne er meget høje, effekten er god nok, og beskyttelse af investeringer fra de investeringer synspunkt er noget overdrevet.
Faktisk er fra operativsystemet synspunkt, selv i besiddelse af en masse funktioner, men mange er langsomt vi nødt til at gå at grave. Her vil jeg give dig en kort introduktion om, hvordan registreringsdatabasen ændres i Win2000 miljø, forbedre systemets anti-DoS evne.
Detaljer:
Windows Registry Editor Version 5,00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
Luk undersøgelse af gateway er ugyldig. Når serveren er oprettet flere gateways, så nettet er ikke klart, hvornår systemet vil forsøge at forbinde den anden gateway kan optimere nettet ved at lukke det.
"EnableDeadGWDetect" = dword: 00000000
Reaktion på ICMP Redirect-meddelelser forbudt. Sådanne meddelelser kan bruges til at angribe, så systemet burde nægte at acceptere ICMP Redirect-meddelelser.
"EnableICMPRedirects" = dword: 00000000
Ikke muliggør frigivelse af NETBIOS navn. Når hackeren at udstede server NETBIOS navn forespørgsel anmodning kan serveren reagere forbudt.
Bemærk, at systemet skal installeres over SP2
"NoNameReleaseOnDemand" = dword: 00000001
Send kontrol til at opretholde aktivitet pakker. Denne indstilling bestemmer, hvor meget tid mellemrum til at bestemme TCP-forbindelsen er stadig i den aktuelle status for forbindelsen, er værdien ikke angivet, så systemet hver anden time om TCP forbindelse at undersøge, om der er en ledig, hvor indstille tiden til 5 minutter.
"KeepAliveTime" = dword: 000493e0
Største pakkelængde af stien er forbudt opdagelse. Værdien af 1, kan overføres automatisk registrere størrelsen af datapakker kan bruges til at forbedre transmissionseffektivitet, såsom manglende eller sikkerhedsmæssige årsager, sæt en værdi på 0 elementer, der bruger en fast MTU værdi af 576bytes.
"EnablePMTUDiscovery" = dword: 00000000
Start syn angreb beskyttelse. Som standard post er 0, det er ikke åbent angreb beskyttelse, elementer, der starter på 1 og 2 syn angreb beskyttelse efter det sikringsniveau, til 2 højere på de omstændigheder, hvorunder der er et angreb, skal du TcpMaxHalfOpen og efter følgende TcpMaxHalfOpenRetried værdi er sat til at udløse den betingelse startede. Det skal bemærkes, at der NT4.0 være sat til 1, der 2, en særlig datapakke efter den næste vil få systemet til at genstarte.
"SynAttackProtect" = dword: 00000002
Samtidig antallet af forbindelser tilladelse til at åbne den halve. Den såkaldte halv-forbindelser, som ikke fuldføre TCP session er etableret, kan du se med netstat kommandoen blev SYN_RCVD tilstand er. Microsoft foreslår værdi, der anvendes her, serveren sat til 100, Advanced Server Set 500. Anbefaling kunne sætte en lidt mindre.
"TcpMaxHalfOpen" = dword: 00000064
Undersøg, om udløse punkt for angreb. Microsoft foreslår værdi, der anvendes her, serveren 80, Advanced Server 400.
"TcpMaxHalfOpenRetried" = dword: 00000050
SYN-ACK sæt ventetid. Standarden post er 3, den standard 45 sekunder processen tidskrævende. Entry værdi af 2, tidskrævende til 21 sekunder. Entry er 1, er forbruget af tid 9 sekunder. Minimum kan indstilles til 0, der ikke venter, tidskrævende til 3 sekunder. Denne værdi kan ændres i henhold til omfanget af angreb. Microsoft site sikkerhed anbefales til 2.
"TcpMaxConnectResponseRetransmissions" = dword: 00000001
Foldere blev re-indstille TCP data segment nummer. Standarden post er 5, default 240 sekunder processen tidskrævende. Microsoft sikkerhed anbefalinger for de tre sites.
"TcpMaxDataRetransmissions" = dword: 00000003
Syn angreb beskyttelse indstille tærsklen. Når de eksisterende efterslæb til 0, er denne parameter bruges til at kontrollere syn angreb beskyttelse af åbne, sikre Microsofts websted anbefaling er 5.
"TCPMaxPortsExhausted" = dword: 00000005
På IP kilde routing. Standardværdien er 1 element, der ikke sender kilde dirigeres pakker, indtast værdien 0, at alle fremad, er sat til 2, siger kilden frafalde alle modtagne routing pakker, Microsoft site sikkerhed anbefales til 2.
"DisableIPSourceRouting" = dword: 0000002
Begræns den maksimale tid i tilstanden TIME_WAIT. Standarden er 240 sekunder, mindst 30 sekunder, op til 300 sekunder. Anbefalinger, der 30 sekunder.
"TcpTimedWaitDelay" = dword: 0000001E
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters]
NetBT forbindelser, der øger blok stigningstakt. Standard er 3, område 1-20, jo mere værdi, jo større tilslutning for et stykke tid for at forbedre ydeevnen. Hver forbindelse blok bruger 87 bytes.
"BacklogIncrement" = dword: 00000003
Det største antal NetBT forbindelser hurtigere. Range 1-40.000, her sat til 1000, jo mere værdi, jo større tilslutning for lidt tid på at tillade flere tilslutninger.
"MaxConnBackLog" = dword: 000003e8
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAfdParameters]
Konfigurer aktive dynamiske Backlog. For netværk travlt, eller sårbare over for SYN angreb, anbefales det sat til 1, der tillader dynamisk Backlog.
"EnableDynamicBacklog" = dword: 00000001
Konfigurer minimum dynamisk Backlog. Som standard post er 0, at fordelingen af dynamiske Efterslæb mindste antal gratis forbindelser. Når antallet af forbindelser mindre end antallet af frie, vil det automatisk tildele gratis tilslutning. Standardværdien er 0, netværket optaget eller sårbare over for SYN angreb, er det anbefalede indstilling er 20.
"MinimumDynamicBacklog" = dword: 00000014
Den maksimale dynamiske Backlog. Som fastlægger den maksimale "standard" antallet af forbindelser, hovedsagelig afhænger af hukommelsens størrelse, kan teorien øge den maksimale hukommelse per 32m 5000, her sæt til 20000.
"MaximumDynamicBacklog" = dword: 00002e20
Data for hver ekstra ledig forbindelser. Standarden post er 5, som definerer frihed for hver at øge antallet af tilslutninger. For netværk travlt, eller sårbare over for SYN angreb, anbefales det at indstille til 10.
"DynamicBacklogGrowthDelta" = dword: 0000000a
De følgende afsnit skal manuelt ændre den aktuelle situation
-------------------------------------------------- --------------------------------------
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
Aktiver netværkskort på sikkerhed filter
"EnableSecurityFilters" = dword: 00000001
Samtidig er antallet af uafsluttede TCP forbindelser, hvor situationen kan kontrolleres.
"TcpNumConnections" =
Denne parameter TCP header bordstørrelse grænse. Der er en masse RAM i maskinen, øger indstillingen kan forbedre reaktionen resultater i SYN angreb.
"TcpMaxSendFree" =
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces (eget netværk interface)]
Forbud mod routing opdagelse. ICMP pakke routing cirkulære routing tabel kan anvendes til at øge record, kan føre til angreb, så forbuddet mod rute opdagelse.
"PerformRouterDiscovery" = dword: 00000000
-------------------------------------------------- --------------------------------------
Skriv til dig, jeg har lidt svimmel. Ha ha.
Forbedre systemet sikringsniveau fra det synspunkt mod DoS, er ovenstående også at ændre registreringsdatabasen er en af kun en lille del.
Jeg vil også fortsætte med at organisere nogle oplysninger til at dele. Selvfølgelig, der, hvis du finder inde i artiklen ikke er noget galt eller har en bedre måde at nogle konfiguration ligeledes fortælle mig oh.