概要
本模塊著重講述了 Windows 2000 TCP/IP 堆棧的可能利用，并具體描述了可通過配置 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\ 注冊表項來應(yīng)用的對策。此外，模塊還講述了該配置的潛在影響。

返回頁首
Windows 2000 TCP/IP 堆棧潛在威脅和對策的影響
表 1 顯示了 TCP/IP 堆棧的潛在利用。該表還顯示了可能的對策，以及利用與對策的潛在影響。

表 1：TCP/IP 堆棧的潛在利用

注冊表值項 對策潛在影響 潛在利用
EnableICMPRedirect
假如將路由和遠(yuǎn)程訪問服務(wù) (RRAS) 配置為自治系統(tǒng)邊界路由器 (ASBR)，它將無法正確導(dǎo)入連接接口子網(wǎng)路由。相反，該路由器將主機路由插入開放式最短路徑優(yōu)先 (OSPF) 路由中。由于 OSPF 路由器不能用作 ASBR 路由器，導(dǎo)入連接接口子網(wǎng)路由至 OSPF 將導(dǎo)致路由表與生疏的路由路徑相互混淆。
Internet 控制消息協(xié)議 (ICMP) 重定向?qū)��?dǎo)致堆棧探測主機路由。這些路由將覆蓋 OSPF 生成的路由。
這一結(jié)果本身是預(yù)料中的行為。但問題是，由于 ICMP 重定向探測路由的超時時間是 10 分鐘，這便在相關(guān)網(wǎng)絡(luò)中形成黑洞。

SynAttackProtect
該注冊表值答應(yīng) TCP 調(diào)整 SYN-ACK 的重新傳輸。配置了該值后，一旦發(fā)生 SYN 攻擊，連接響應(yīng)的超時時間更短。該值在連接指示中增加了額外的延遲，在發(fā)生 SYN 攻擊時，TCP 連接請求的超時時間很短。假如配置了該設(shè)置，每個適配器（包括初始往返時間 (RTT) 和窗口大�。┨捉幼诌x項所配置的可伸縮窗口和 TCP 參數(shù)將不再起作用。
在 SYN Flood 攻擊中，攻擊者向服務(wù)器持續(xù)發(fā)送 SYN 數(shù)據(jù)包流，服務(wù)器使處于半打開狀態(tài)的連接一直保持打開狀態(tài)，直至被沉沒在龐大的數(shù)據(jù)流中而無法響應(yīng)合法的請求。

EnableDeadGWDetect
啟用間隔網(wǎng)關(guān)檢測后，假如有很多連接都存在問題，TCP 可能要求 IP 切換到備份網(wǎng)關(guān)，假如該設(shè)置的值是 0，Windows 不再檢測間隔網(wǎng)關(guān)，并自動切換到替換網(wǎng)關(guān)。
攻擊者可強制服務(wù)器切換網(wǎng)關(guān)，并極有可能切換到毫無預(yù)備的網(wǎng)關(guān)。

EnablePMTUDiscovery
假如 EnablePMTUDiscovery 的設(shè)置是 1，TCP 將嘗試發(fā)現(xiàn)遠(yuǎn)程主機路徑中的最大傳輸單位 (MTU) 或最大數(shù)據(jù)包大小。TCP 可通過發(fā)現(xiàn)路徑的 MTU 并將 TCP 段限制在該值之內(nèi)來在 MTU 不同的網(wǎng)絡(luò)連接路徑中消除路由器中的碎片。
碎片對 TCP 吞吐量有負(fù)面影響。假如值設(shè)置是 0，所有非本地子網(wǎng)主機的連接都將使用 576 字節(jié)的 MTU。
假如值非 0，攻擊者可強制 MTU 為非常小的值，然后強制服務(wù)器分割大量的數(shù)據(jù)包，進(jìn)而使堆棧超負(fù)荷工作。

KeepAliveTime
該值控制了 TCP 嘗試通過發(fā)送 KeepAlive 數(shù)據(jù)包確認(rèn)空閑連接是否依然毫無變化的頻率。假如遠(yuǎn)程計算機仍可訪問，說明數(shù)據(jù)包保持有效 (KeepAlive)。
在默認(rèn)情況下，系統(tǒng)不發(fā)送 KeepAlive 數(shù)據(jù)包。您可通過程序在連接中配置該值。假如減少至 5 分鐘（默認(rèn)值是 2 小時），表示非活動會話將很快斷開。
能連接網(wǎng)絡(luò)應(yīng)用程序的攻擊者可以通過建立大量的連接造成 DoS。

DisableIPSourceRouting
IP 源路由這種機制答應(yīng)發(fā)送者確定數(shù)據(jù)報通過網(wǎng)絡(luò)的 IP 路由。將該值設(shè)置為 2 將導(dǎo)致所有傳入的源路由數(shù)據(jù)包丟失。
攻擊者使用源路由數(shù)據(jù)包隱蔽他們的身份和位置。源路由答應(yīng)計算機發(fā)送數(shù)據(jù)包來指定自己使用的路由。

TCPMaxConnectResponseRetransmissions
該參數(shù)控制了在未明確 SYN 的情況下，SYN-ACK 因響應(yīng)連接請求而重新傳輸?shù)拇螖?shù)。
假如值大于或等于 2，表示堆棧在內(nèi)部使用 SYN-ATTACK 保護(hù)。假如值小于 2，表示堆棧的 SYN-ATTACK 保護(hù)根本不讀取注冊表值。該參數(shù)縮短了清理 TCP 連接所需的默認(rèn)時間。遭受強烈攻擊的站點可降低該值至 1。設(shè)置為 0 也有效。但是，假如該參數(shù)的設(shè)置是 0，SYN-ACK 根本不會重新傳輸，并在 3 秒鐘后超時。假如值非常低，遠(yuǎn)端客戶端的合法連接嘗試也將失敗。

查看更多 動易Cms教程  動易Cms模板