概要
本模塊著重講述了 Windows 2000 TCP/IP 堆棧的可能利用，并具體描述了可通過配置 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\ 注冊表項來應(yīng)用的對策。此外，模塊還講述了該配置的潛在影響。

返回頁首
Windows 2000 TCP/IP 堆棧潛在威脅和對策的影響
表 1 顯示了 TCP/IP 堆棧的潛在利用。該表還顯示了可能的對策，以及利用與對策的潛在影響。

表 1：TCP/IP 堆棧的潛在利用

注冊表值項 對策潛在影響 潛在利用
EnableICMPRedirect
假如將路由和遠程訪問服務(wù) (RRAS) 配置為自治系統(tǒng)邊界路由器 (ASBR)，它將無法正確導入連接接口子網(wǎng)路由。相反，該路由器將主機路由插入開放式最短路徑優(yōu)先 (OSPF) 路由中。由于 OSPF 路由器不能用作 ASBR 路由器，導入連接接口子網(wǎng)路由至 OSPF 將導致路由表與生疏的路由路徑相互混淆。
Internet 控制消息協(xié)議 (ICMP) 重定向?qū)�導致堆棧探測主機路由。這些路由將覆蓋 OSPF 生成的路由。
這一結(jié)果本身是預料中的行為。但問題是，由于 ICMP 重定向探測路由的超時時間是 10 分鐘，這便在相關(guān)網(wǎng)絡(luò)中形成黑洞。

SynAttackProtect
該注冊表值答應(yīng) TCP 調(diào)整 SYN-ACK 的重新傳輸。配置了該值后，一旦發(fā)生 SYN 攻擊，連接響應(yīng)的超時時間更短。該值在連接指示中增加了額外的延遲，在發(fā)生 SYN 攻擊時，TCP 連接請求的超時時間很短。假如配置了該設(shè)置，每個適配器（包括初始往返時間 (RTT) 和窗口大�。┨捉幼诌x項所配置的可伸縮窗口和 TCP 參數(shù)將不再起作用。
在 SYN Flood 攻擊中，攻擊者向服務(wù)器持續(xù)發(fā)送 SYN 數(shù)據(jù)包流，服務(wù)器使處于半打開狀態(tài)的連接一直保持打開狀態(tài)，直至被沉沒在龐大的數(shù)據(jù)流中而無法響應(yīng)合法的請求。

EnableDeadGWDetect
啟用間隔網(wǎng)關(guān)檢測后，假如有很多連接都存在問題，TCP 可能要求 IP 切換到備份網(wǎng)關(guān)，假如該設(shè)置的值是 0，Windows 不再檢測間隔網(wǎng)關(guān)，并自動切換到替換網(wǎng)關(guān)。
攻擊者可強制服務(wù)器切換網(wǎng)關(guān)，并極有可能切換到毫無預備的網(wǎng)關(guān)。

EnablePMTUDiscovery
假如 EnablePMTUDiscovery 的設(shè)置是 1，TCP 將嘗試發(fā)現(xiàn)遠程主機路徑中的最大傳輸單位 (MTU) 或最大數(shù)據(jù)包大小。TCP 可通過發(fā)現(xiàn)路徑的 MTU 并將 TCP 段限制在該值之內(nèi)來在 MTU 不同的網(wǎng)絡(luò)連接路徑中消除路由器中的碎片。
碎片對 TCP 吞吐量有負面影響。假如值設(shè)置是 0，所有非本地子網(wǎng)主機的連接都將使用 576 字節(jié)的 MTU。
假如值非 0，攻擊者可強制 MTU 為非常小的值，然后強制服務(wù)器分割大量的數(shù)據(jù)包，進而使堆棧超負荷工作。

KeepAliveTime
該值控制了 TCP 嘗試通過發(fā)送 KeepAlive 數(shù)據(jù)包確認空閑連接是否依然毫無變化的頻率。假如遠程計算機仍可訪問，說明數(shù)據(jù)包保持有效 (KeepAlive)。
在默認情況下，系統(tǒng)不發(fā)送 KeepAlive 數(shù)據(jù)包。您可通過程序在連接中配置該值。假如減少至 5 分鐘（默認值是 2 小時），表示非活動會話將很快斷開。
能連接網(wǎng)絡(luò)應(yīng)用程序的攻擊者可以通過建立大量的連接造成 DoS。

DisableIPSourceRouting
IP 源路由這種機制答應(yīng)發(fā)送者確定數(shù)據(jù)報通過網(wǎng)絡(luò)的 IP 路由。將該值設(shè)置為 2 將導致所有傳入的源路由數(shù)據(jù)包丟失。
攻擊者使用源路由數(shù)據(jù)包隱蔽他們的身份和位置。源路由答應(yīng)計算機發(fā)送數(shù)據(jù)包來指定自己使用的路由。

TCPMaxConnectResponseRetransmissions
該參數(shù)控制了在未明確 SYN 的情況下，SYN-ACK 因響應(yīng)連接請求而重新傳輸?shù)拇螖?shù)。
假如值大于或等于 2，表示堆棧在內(nèi)部使用 SYN-ATTACK 保護。假如值小于 2，表示堆棧的 SYN-ATTACK 保護根本不讀取注冊表值。該參數(shù)縮短了清理 TCP 連接所需的默認時間。遭受強烈攻擊的站點可降低該值至 1。設(shè)置為 0 也有效。但是，假如該參數(shù)的設(shè)置是 0，SYN-ACK 根本不會重新傳輸，并在 3 秒鐘后超時。假如值非常低，遠端客戶端的合法連接嘗試也將失敗。

查看更多 動易Cms教程  動易Cms模板