|
||||||||
|
||||||||
|
|
Công Cụ | Xếp Bài |
05-12-2009, 10:30 PM | #1 |
Guest
Trả Lời: n/a
|
Hạn chế các cuộc tấn công DOS trên Windows Server 2003
Hạn chế các cuộc tấn công DOS trên Windows Server 2003 Nếu ai hiểu về sự nguy hiểm cũng như nguy cơ tiềm ẩn của hệ thống có thể bị tấn công DoS (Denial of service) sẽ có sự chuẩn bị tốt nhất cho hệ thống, giảm tối thiểu các ảnh hưởng của các cuộc tấn công đó là yêu cầu luôn được các nhà quản trị mạng đặt ra. Trong bài viết này tôi giới thiệu cách hạn chế các tấn công DoS trong hệ thống Windows Server 2003. - Trước tiên bạn phải cập nhật bản vá lỗi mới nhất từ Microsoft và chắc chắn không còn bản vá lỗi nào chưa được cài đặt. Các thông tin về các bản update có trên website: http://www.microsoft.com/security - Và việc harden (làm rắn - đảm bảo vững chắc) cho giao thức TCP/IP trên máy chủ Windows Server 2003 là việc cần làm với nhà quản trị mạng. Với mặc định các cấu hình trong TCP/IP được thiết lập chuẩn cho việc trao đổi thông tin một cách thuận tiện. Nếu máy tính của bạn kết nối chực tiếp với Internet thì theo khuyến cáo của Microsoft bạn nên đảm bảo giao thức TCP/IP được cấu hình để hạn chế các cuộc tấn công DoS. Cấu hình các tham số TCP/IP trong Registry nhằm đảm bảo Harden cho TCP/IP Một số lỗi có thể sẽ sảy ra khi bạn chỉnh sửa các thông số trong registry bằng việc sử dụng Registry Editor hoặc bằng một phương pháp nào khác. Một số lỗi xảy ra có thể buộc bạn phải cài lại hệ điều hành. Microsoft không thể cam đoan là tất cả các lỗi đều có thể khắc phục được. Việc chỉnh sửa registry là một nguy cơ rất lớn. Dưới đây là các thông số của TCP/IP trong registry và bạn có thể cấu hình để nâng cao tính vững chắc cho giao thức TCP/IP khi máy tính của bạn kết nối trực tiếp tới Internet. Tất cả các thông số của nó trong registry được lưu tại. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es Chú ý: Tất cả các thông số đều ở dạng Hexadecimal NOTE: All values are in hexadecimal unless otherwise noted. Với cấu hình trong: Value name: SynAttackProtect Key: Tcpip\Parameters Value Type: REG_DWORD Valid Range: 0,1 Default: 0 Các thông số trong TCP có thể là truyền lại các gói tin trong dạng SYN-ACKS. Khi bạn cấu hình thông số này, các kết nối sẽ nhanh trong bị time out hơn trong các vụ tấn công SYN (là một dạng tấn công DoS). Dưới đây là vài thông số bạn có thể sử dụng để thiết lập trong Registry 0 (tham số mặc định): Không bảo vệ trước các cuộc tấn công SYN 1: Thiết lập SynAttackProtect là 1 sẽ tốt hơn và nó sẽ bảo vệ hệ thống trước các cuộc tấn công SYN. Tham số này có nghĩa, nếu là 0 thì hệ thống sẽ truyền lại thông tin SYN-ACKS. Nếu bạn thiết lập tham số là 1, khi một kết nối sẽ có kết quả time out nhanh hơn nếu như hệ thống phát hiện thấy tấn công SYN. Windows sử dụng các tham số sau để hạn chế các vụ tấn công. TcpMaxPortsExhausted TCPMaxHalfOpen TCPMaxHalfOpenRetried Lưu ý là trong phiên bản Windows Server 2003 Service Pack 1 tham số trong SynAttackProtect với mặc định là 1 Với cấu hình trong: Value name: EnableDeadGWDetect Key: Tcpip\Parameters Value Type: REG_DWORD Valid Range: 0, 1 (False, True) Default: 1 (True) 1: Khi bạn thiết lập EnableDeadGWDetect là 1, TCP sẽ cho phép thực hiện việc phát hiện ra dead-gateway. Khi dead-gateway được phát hiện là enable, TCP có thể sẽ truy vấn đến giao thức IP để thay đổi gateway. Việc sử dụng backup gateway được định nghĩa trong tab Advanced tại TCP/IP configuration. 0: Microsoft khuyến cáo bạn thiết lập tham số trong EnableDeadGWDetect là 0. Nếu bạn không thiết lập là 0, một tấn công có thể sảy ra và hướng máy chủ qua một gatewary khác, và có thể các gói tin từ đó sẽ bị tóm hay làm gì đó khi các dữ liệu chạy qua gateway của kẻ tấn công. Với cấu hình trong: Value name: EnablePMTUDiscovery Key: Tcpip\Parameters Value Type: REG_DWORD Valid Range: 0, 1 (False, True) Default: 1 (True) 1: Khi bạn thiết lập EnablePMTUDiscovery là 1, TCP sẽ cố gắng khám phá Maximum Transmission Unit (MTU) hay một gói tin lớn từ những người dùng từ xa. Gói tin TCP có thể bị vỡ khi chúng đi qua cac Routers để kết nối vào hệ thống mạng với MTUs khác bằng việc khám phá ra đường của MTU và giới hạn kích cỡ các gói TCP. 0: Microsoft khuyến cáo bạn thiết lập EnablePMTUDiscovery là 0. Khi bạn thực hiện việc này, một MTU với kích thước là 576 sẽ được sử dụng trong tất cả các kết nối. Nếu bạn không thiết lập thông số này là 0 một tấn công dựa trên các thông số MTU từ các kết nối có thể sẽ ảnh hưởng đến hệ thống của bạn. Với cấu hình trong: Value name: KeepAliveTime Key: Tcpip\Parameters Value Type: REG_DWORD-Time in milliseconds Valid Range: 1-0xFFFFFFFF Default: 7,200,000 (two hours) Tham số này điều khiển: việc TCP cố gắng kiểm tra một kết nối, và dữ gói tin chưa bị chết. Nếu máy tính từ xa được kết nối, nó sẽ được lưu lại các gói tin đã bị thất lạc. Keep-alive sẽ không gửi (với thiết lập mặc định). Bạn có thể sử dụng một chương trình để cấu hình các thông số cho một kết nối. Khuyên cáo từ nhà sản xuất thiết lập là 300,000 (5 phút). Với cấu hình trong: Value name: NoNameReleaseOnDemand Key: Netbt\Parameters Value Type: REG_DWORD Valid Range: 0, 1 (False, True) Default: 0 (False) Tham số này quyết định tên của máy tính trong định dạng của NetBIOS khi có yêu cầu. Thông số này sẽ thêm sự cho phép người quản trị bảo vệ máy tính trước các mã nguy hiểm khai thác tên máy tính. Microsoft khuyến cáo bạn thiết lập NoNameReleaseOnDemand là 1 Khắc phục sự cố Khi bạn thay đổi các tham số trogn registry ảnh hưởng đến TCP/IP, có thể điều đó sẽ ảnh hưởng đến các chương trình cũng như dịch vụ chạy trên máy tính Windows Server 2003. Microsoft khuyến cáo bạn kiểm tra các thiết lập này trước, trước khi quyết định áp dụng chính sách này. Sao lưu registry ra một bản có gì nếu các thiết lập ảnh hưởng đến hệ thống các bạn chỉ cần import là ok. Theo Vnexperts (SecurityFocus) |
|
|