Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 05-12-2009, 10:30 PM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Hạn chế các cuộc tấn công DOS trên Windows Server 2003

Hạn chế các cuộc tấn công DOS trên Windows Server 2003












Nếu ai hiểu về sự nguy hiểm cũng như nguy cơ tiềm ẩn của hệ thống có thể bị tấn công DoS (Denial of service) sẽ có sự chuẩn bị tốt nhất cho hệ thống, giảm tối thiểu các ảnh hưởng của các cuộc tấn công đó là yêu cầu luôn được các nhà quản trị mạng đặt ra. Trong bài viết này tôi giới thiệu cách hạn chế các tấn công DoS trong hệ thống Windows Server 2003.
- Trước tiên bạn phải cập nhật bản vá lỗi mới nhất từ Microsoft và chắc chắn không còn bản vá lỗi nào chưa được cài đặt. Các thông tin về các bản update có trên website:
http://www.microsoft.com/security
- Và việc harden (làm rắn - đảm bảo vững chắc) cho giao thức TCP/IP trên máy chủ Windows Server 2003 là việc cần làm với nhà quản trị mạng. Với mặc định các cấu hình trong TCP/IP được thiết lập chuẩn cho việc trao đổi thông tin một cách thuận tiện. Nếu máy tính của bạn kết nối chực tiếp với Internet thì theo khuyến cáo của Microsoft bạn nên đảm bảo giao thức TCP/IP được cấu hình để hạn chế các cuộc tấn công DoS.
Cấu hình các tham số TCP/IP trong Registry nhằm đảm bảo Harden cho TCP/IP
Một số lỗi có thể sẽ sảy ra khi bạn chỉnh sửa các thông số trong registry bằng việc sử dụng Registry Editor hoặc bằng một phương pháp nào khác. Một số lỗi xảy ra có thể buộc bạn phải cài lại hệ điều hành. Microsoft không thể cam đoan là tất cả các lỗi đều có thể khắc phục được. Việc chỉnh sửa registry là một nguy cơ rất lớn.
Dưới đây là các thông số của TCP/IP trong registry và bạn có thể cấu hình để nâng cao tính vững chắc cho giao thức TCP/IP khi máy tính của bạn kết nối trực tiếp tới Internet. Tất cả các thông số của nó trong registry được lưu tại.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es
Chú ý: Tất cả các thông số đều ở dạng Hexadecimal
NOTE: All values are in hexadecimal unless otherwise noted.



Với cấu hình trong:

Value name: SynAttackProtect
Key: Tcpip\Parameters
Value Type: REG_DWORD
Valid Range: 0,1
Default: 0
Các thông số trong TCP có thể là truyền lại các gói tin trong dạng SYN-ACKS. Khi bạn cấu hình thông số này, các kết nối sẽ nhanh trong bị time out hơn trong các vụ tấn công SYN (là một dạng tấn công DoS).
Dưới đây là vài thông số bạn có thể sử dụng để thiết lập trong Registry
0 (tham số mặc định): Không bảo vệ trước các cuộc tấn công SYN
1: Thiết lập SynAttackProtect là 1 sẽ tốt hơn và nó sẽ bảo vệ hệ thống trước các cuộc tấn công SYN. Tham số này có nghĩa, nếu là 0 thì hệ thống sẽ truyền lại thông tin SYN-ACKS. Nếu bạn thiết lập tham số là 1, khi một kết nối sẽ có kết quả time out nhanh hơn nếu như hệ thống phát hiện thấy tấn công SYN. Windows sử dụng các tham số sau để hạn chế các vụ tấn công.
TcpMaxPortsExhausted
TCPMaxHalfOpen
TCPMaxHalfOpenRetried
Lưu ý là trong phiên bản Windows Server 2003 Service Pack 1 tham số trong SynAttackProtect với mặc định là 1


Với cấu hình trong:

Value name: EnableDeadGWDetect
Key: Tcpip\Parameters
Value Type: REG_DWORD
Valid Range: 0, 1 (False, True)
Default: 1 (True)
1: Khi bạn thiết lập EnableDeadGWDetect là 1, TCP sẽ cho phép thực hiện việc phát hiện ra dead-gateway. Khi dead-gateway được phát hiện là enable, TCP có thể sẽ truy vấn đến giao thức IP để thay đổi gateway. Việc sử dụng backup gateway được định nghĩa trong tab Advanced tại TCP/IP configuration.
0: Microsoft khuyến cáo bạn thiết lập tham số trong EnableDeadGWDetect là 0. Nếu bạn không thiết lập là 0, một tấn công có thể sảy ra và hướng máy chủ qua một gatewary khác, và có thể các gói tin từ đó sẽ bị tóm hay làm gì đó khi các dữ liệu chạy qua gateway của kẻ tấn công.


Với cấu hình trong:

Value name: EnablePMTUDiscovery
Key: Tcpip\Parameters
Value Type: REG_DWORD
Valid Range: 0, 1 (False, True)
Default: 1 (True)
1: Khi bạn thiết lập EnablePMTUDiscovery là 1, TCP sẽ cố gắng khám phá Maximum Transmission Unit (MTU) hay một gói tin lớn từ những người dùng từ xa. Gói tin TCP có thể bị vỡ khi chúng đi qua cac Routers để kết nối vào hệ thống mạng với MTUs khác bằng việc khám phá ra đường của MTU và giới hạn kích cỡ các gói TCP.
0: Microsoft khuyến cáo bạn thiết lập EnablePMTUDiscovery là 0. Khi bạn thực hiện việc này, một MTU với kích thước là 576 sẽ được sử dụng trong tất cả các kết nối. Nếu bạn không thiết lập thông số này là 0 một tấn công dựa trên các thông số MTU từ các kết nối có thể sẽ ảnh hưởng đến hệ thống của bạn.


Với cấu hình trong:

Value name: KeepAliveTime
Key: Tcpip\Parameters
Value Type: REG_DWORD-Time in milliseconds
Valid Range: 1-0xFFFFFFFF
Default: 7,200,000 (two hours)
Tham số này điều khiển: việc TCP cố gắng kiểm tra một kết nối, và dữ gói tin chưa bị chết. Nếu máy tính từ xa được kết nối, nó sẽ được lưu lại các gói tin đã bị thất lạc. Keep-alive sẽ không gửi (với thiết lập mặc định). Bạn có thể sử dụng một chương trình để cấu hình các thông số cho một kết nối. Khuyên cáo từ nhà sản xuất thiết lập là 300,000 (5 phút).


Với cấu hình trong:

Value name: NoNameReleaseOnDemand
Key: Netbt\Parameters
Value Type: REG_DWORD
Valid Range: 0, 1 (False, True)
Default: 0 (False)
Tham số này quyết định tên của máy tính trong định dạng của NetBIOS khi có yêu cầu. Thông số này sẽ thêm sự cho phép người quản trị bảo vệ máy tính trước các mã nguy hiểm khai thác tên máy tính. Microsoft khuyến cáo bạn thiết lập NoNameReleaseOnDemand là 1


Khắc phục sự cố

Khi bạn thay đổi các tham số trogn registry ảnh hưởng đến TCP/IP, có thể điều đó sẽ ảnh hưởng đến các chương trình cũng như dịch vụ chạy trên máy tính Windows Server 2003. Microsoft khuyến cáo bạn kiểm tra các thiết lập này trước, trước khi quyết định áp dụng chính sách này.
Sao lưu registry ra một bản có gì nếu các thiết lập ảnh hưởng đến hệ thống các bạn chỉ cần import là ok.


Theo Vnexperts (SecurityFocus)




  Trả lời ngay kèm theo trích dẫn này
Gửi trả lời


Công Cụ
Xếp Bài

Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 05:00 PM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.