Windows 2000 Server 的 TCP/IP 漏洞與對策

Overview

發佈日期: 2004 年 11 月 17 日 | 更新日期: 2006 年 5 月 31 日


本頁內容

目標
適用於
如何使用本單元
摘要
Windows 2000 TCP/IP 堆疊可能的威脅及對策的影響

目標

透過本單元即可:

  • 識別 Microsoft® Windows® 2000 作業系統 TCP/IP 堆疊可能的漏洞。

  • 將登錄設定成是因應 Windows 2000 TCP/IP 堆疊漏洞的對策。

  • 識別 Windows 2000 TCP/IP 堆疊其漏洞和對策的可能影響。


適用於

本單元適用於下列產品及技術:

  • Windows 2000

  • Windows 2000 TCP/IP 堆疊

  • Windows 2000 登錄


如何使用本單元

本單元應用於保障 Windows 2000 TCP/IP 堆疊的安全。本單元也可用於識別 TCP/IP 堆疊的漏洞和對策的影響。

摘要

本單元在於強調 Windows 2000 TCP/IP 堆疊可能的漏洞。本單元還探討了可透過 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\ 登錄機碼的設定而套用的對策。另外也涵蓋了此設定的可能影響。

Windows 2000 TCP/IP 堆疊可能的威脅及對策的影響

[表 1] 指出 TCP/IP 堆疊可能的漏洞。該表還指出可能的對策,以及漏洞和對策可能的影響。

[表 1]:TCP/IP 堆疊可能的漏洞

登錄值項目

對策可能的影響

可能的漏洞

EnableICMPRedirect

當「路由及遠端存取服務 (RRAS)」設定為自發的系統邊界路由器 (Autonomous System Boundary Router,ASBR) 時,並無法正確地匯入連線的介面子網路路由。此路由器反而會將主機路由插入 Open Shortest Path First (OSPF) 路由。由於 OSPF 路由器無法用作為 ASBR 路由器,將連線的介面子網路路由匯入到 OSPF 會造成路由表與陌生的路由路徑相混淆。

「網際網路控制訊息通訊協定 (Internet Control Message Protocol,ICMP)」重新導向會導致堆疊包含主機路由。這些路由會覆蓋 OSPF 產生的路由。
這本身是預期的行為。問題在於 ICMP 包含重新導向之路由的 10 分鐘逾時期間會引起網路相關的黑洞。

SynAttackProtect

這是促使 TCP 調整 SYN-ACK 重新傳輸的登錄值。當您設定此值時,在 SYN 攻擊的事件中,連線會更快速回應逾時。此值會在連線指示增加額外的延遲,而 TCP 連線要求在 SYN 攻擊進行時很快就會逾時。當您設定此設定時,在每一介面卡通訊端選項上的可調整視窗和 TCP 參數 (包括「初始往返時間 (RTT)」和視窗大小) 將不再有作用。

在 SYN 大量攻擊中,攻擊者會傳送連續不斷的 SYN 封包資料流給伺服器,而伺服器會保持半開放的連線,直到無法負荷而且不能再回應合法的要求為止。

EnableDeadGWDetect

當啟用死閘道偵測時,如果大量連線遭遇到問題,TCP 可能會要求 IP 變更備份閘道。當此設定設定為 0 時,Windows 將不再偵測死閘道而會自動切換到其他閘道。

攻擊者可強制伺服器將閘道切換到一個可能是非預期的閘道。

EnablePMTUDiscovery

當您將 EnablePMTUDiscovery 設定為 1 時,TCP 會嘗試在遠端主機的路徑上探索傳輸單元最大值 (MTU) 或最大封包大小。TCP 可藉由探索路徑 MTU 並限制 TCP 片段為此大小,來消除以不同 MTU 連接網路的路徑之路由器的分散程度。
分散程度對 TCP 輸出量有不利的影響。當此值設為 0 時,所有不是本機子網路主機的連線都會使用 576 位元組的 MTU。

若您不將此值設為 0,攻擊者就可藉由強制伺服器分散成許多封包,來迫使 MTU 變成非常小的值而過度使用堆疊。

KeepAliveTime

這個值會透過傳送持續作用的 (Keep-Alive) 封包,來控制 TCP 多久嘗試確認一個閒置連線是否仍然處於完整無缺。若遠端電腦仍是可以連線的,它會告知收到持續作用的封包。
持續作用的封包依預設並不會傳送。您可以使用程式在連線上設定此值。將此值從預設的 2 小時減少為 5 分鐘,表示會更快速地中斷非作用中工作階段的連線。

能夠連線到網路應用程式的攻擊者,可藉由建立無數的連線而造成 Dos 的狀況。

DisableIPSourceRouting

IP 來源路由是一種允許傳送者決定資料包通過網路時應該採用 IP 路由的機制。將此值設為 2 將致使所有連入的來源路由封包遭到捨棄。

攻擊者會利用來源路由封包來隱匿它們的身分和位置。來源路由允許傳送封包的電腦指定它要採用的路由。

TCPMaxConnectResponseRetransmissions

此參數控制著若 SYN 未被認可,則為了回應連線要求而重新傳輸 SYN-ACK 的次數。
若此值大於或等於 2,則堆疊會從內部採取 SYN-ATTACK 保護。若此值小於 2,則堆疊完全不會讀取 SYN-ATTACK 保護的登錄值。此參數會縮短清除半開啟 TCP 連線所花的預設時間。處於重度攻擊的站台可將此值設為 1。0 的值也有效。不過,若此參數設為 0,將完全無法重新傳輸 SYN-ACK,而且將於 3 秒內逾時。將此值設得如此低,可能會導致遠處用戶端的合法連線嘗試失敗。

在 SYN 大量攻擊中,攻擊者會傳送連續不斷的 SYN 封包資料流給伺服器,而伺服器會保持半開放的連線,直到無法負荷而且不能再回應合法的要求為止。

TCPMaxDataRetransmissions

TCP 會在每個輸出片段交至 IP 時,啟動重新傳輸計時器。若在計時器過期前未收到對特定片段中的資料認可,最多將重新傳輸該片段 3 次。

在 SYN 大量攻擊中,攻擊者會傳送連續不斷的 SYN 封包資料流給伺服器,而伺服器會保持半開放的連線,直到無法負荷而且不能再回應合法的要求為止。

PerformRouterDiscovery

這個設定是為了防止 Windows 2000 (支援「網際網路路由器探索通訊協定 (Internet Router Discovery Protocol,IRDP)」) 自動在電腦上偵測和設定預設閘道位址。

取得相同網路片段上其中一個系統控制權的攻擊者,可設定網路上的一部電腦來模擬路由器。
其他有啟用 IRDP 的電腦接著就會嘗試將它們的流量路由到已遭入侵的系統。

TCPMaxPortsExhausted

此參數控制著 SYN-ATTACK 保護開始操作的點。SYN-ATTACK 保護會在 TCPMaxPortsExhausted 連接要求因連線可用的積存設為 0 而遭到系統拒絕時開始操作。這對嘗試合法使用它的伺服器或系統有些微的影響。

在 SYN 大量攻擊中,攻擊者會傳送連續不斷的 SYN 封包資料流給伺服器,而伺服器會保持半開放的連線,直到無法負荷而且不能再回應合法的要求為止。

AFD 設定:

DynamicBacklogGrowthDelta

EnableDynamicBacklog
MinimumDynamicBacklog

MaximumDynamicBacklog

Windows 通訊端應用程式,如 FTP 伺服器及 Web 伺服器,其連線嘗試是由 Afd.sys 所處理。Afd.sys 已經過修改成在不拒絕合法用戶端存取的情況下,支援大量半開放狀態下的連線。
這是藉由允許系統管理員設定動態積存而達成。
DynamicBacklogGrowthDelta 控制著在需要額外連線時,可建立的免費連線數目。請小心使用此值,因為較大的值可能會導致配置過多的免費連線。

在 SYN 大量攻擊中,攻擊者會傳送連續不斷的 SYN 封包資料流給伺服器,而伺服器會保持半開放的連線,直到無法負荷而且不能再回應合法的要求為止。


顯示: