Tinhoc1088's Blog

Icon

Tư Vấn Tin Học

Hạn chế các cuộc tấn công DOS trên Windows Server 2003

Nếu ai hiểu về sự nguy hiểm cũng như nguy cơ tiềm ẩn của hệ thống có thể bị tấn công DoS (Denial of service) sẽ có sự chuẩn bị tốt nhất cho hệ thống, giảm tối thiểu các ảnh hưởng của các cuộc tấn công đó là yêu cầu luôn được các nhà quản trị mạng đặt ra. Trong bài viết này tôi giới thiệu cách hạn chế các tấn công DoS trong hệ thống Windows Server 2003.
– Trước tiên bạn phải cập nhật bản vá lỗi mới nhất từ Microsoft và chắc chắn không còn bản vá lỗi nào chưa được cài đặt. Các thông tin về các bản update có trên website:
– Và việc harden (làm rắn – đảm bảo vững chắc) cho giao thức TCP/IP trên máy chủ Windows Server 2003 là việc cần làm với nhà quản trị mạng. Với mặc định các cấu hình trong TCP/IP được thiết lập chuẩn cho việc trao đổi thông tin một cách thuận tiện. Nếu máy tính của bạn kết nối chực tiếp với Internet thì theo khuyến cáo của Microsoft bạn nên đảm bảo giao thức TCP/IP được cấu hình để hạn chế các cuộc tấn công DoS.
Cấu hình các tham số TCP/IP trong Registry nhằm đảm bảo Harden cho TCP/IP
Một số lỗi có thể sẽ sảy ra khi bạn chỉnh sửa các thông số trong registry bằng việc sử dụng Registry Editor hoặc bằng một phương pháp nào khác. Một số lỗi xảy ra có thể buộc bạn phải cài lại hệ điều hành. Microsoft không thể cam đoan là tất cả các lỗi đều có thể khắc phục được. Việc chỉnh sửa registry là một nguy cơ rất lớn.
Dưới đây là các thông số của TCP/IP trong registry và bạn có thể cấu hình để nâng cao tính vững chắc cho giao thức TCP/IP khi máy tính của bạn kết nối trực tiếp tới Internet. Tất cả các thông số của nó trong registry được lưu tại.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Chú ý: Tất cả các thông số đều ở dạng Hexadecimal
NOTE: All values are in hexadecimal unless otherwise noted.
Với cấu hình trong:
Value name: SynAttackProtect
Key: Tcpip\Parameters
Value Type: REG_DWORD
Valid Range: 0,1
Default: 0
Các thông số trong TCP có thể là truyền lại các gói tin trong dạng SYN-ACKS. Khi bạn cấu hình thông số này, các kết nối sẽ nhanh trong bị time out hơn trong các vụ tấn công SYN (là một dạng tấn công DoS).
Dưới đây là vài thông số bạn có thể sử dụng để thiết lập trong Registry
0 (tham số mặc định): Không bảo vệ trước các cuộc tấn công SYN
1: Thiết lập SynAttackProtect là 1 sẽ tốt hơn và nó sẽ bảo vệ hệ thống trước các cuộc tấn công SYN. Tham số này có nghĩa, nếu là 0 thì hệ thống sẽ truyền lại thông tin SYN-ACKS. Nếu bạn thiết lập tham số là 1, khi một kết nối sẽ có kết quả time out nhanh hơn nếu như hệ thống phát hiện thấy tấn công SYN. Windows sử dụng các tham số sau để hạn chế các vụ tấn công.
TcpMaxPortsExhausted
TCPMaxHalfOpen
TCPMaxHalfOpenRetried
Lưu ý là trong phiên bản Windows Server 2003 Service Pack 1 tham số trong SynAttackProtect với mặc định là 1
Với cấu hình trong:
Value name: EnableDeadGWDetect
Key: Tcpip\Parameters
Value Type: REG_DWORD
Valid Range: 0, 1 (False, True)
Default: 1 (True)
1: Khi bạn thiết lập EnableDeadGWDetect là 1, TCP sẽ cho phép thực hiện việc phát hiện ra dead-gateway. Khi dead-gateway được phát hiện là enable, TCP có thể sẽ truy vấn đến giao thức IP để thay đổi gateway. Việc sử dụng backup gateway được định nghĩa trong tab Advanced tại TCP/IP configuration.
0: Microsoft khuyến cáo bạn thiết lập tham số trong EnableDeadGWDetect là 0. Nếu bạn không thiết lập là 0, một tấn công có thể sảy ra và hướng máy chủ qua một gatewary khác, và có thể các gói tin từ đó sẽ bị tóm hay làm gì đó khi các dữ liệu chạy qua gateway của kẻ tấn công.
Với cấu hình trong:
Value name: EnablePMTUDiscovery
Key: Tcpip\Parameters
Value Type: REG_DWORD
Valid Range: 0, 1 (False, True)
Default: 1 (True)
1: Khi bạn thiết lập EnablePMTUDiscovery là 1, TCP sẽ cố gắng khám phá Maximum Transmission Unit (MTU) hay một gói tin lớn từ những người dùng từ xa. Gói tin TCP có thể bị vỡ khi chúng đi qua cac Routers để kết nối vào hệ thống mạng với MTUs khác bằng việc khám phá ra đường của MTU và giới hạn kích cỡ các gói TCP.
0: Microsoft khuyến cáo bạn thiết lập EnablePMTUDiscovery là 0. Khi bạn thực hiện việc này, một MTU với kích thước là 576 sẽ được sử dụng trong tất cả các kết nối. Nếu bạn không thiết lập thông số này là 0 một tấn công dựa trên các thông số MTU từ các kết nối có thể sẽ ảnh hưởng đến hệ thống của bạn.
Với cấu hình trong:
Value name: KeepAliveTime
Key: Tcpip\Parameters
Value Type: REG_DWORD-Time in milliseconds
Valid Range: 1-0xFFFFFFFF
Default: 7,200,000 (two hours)
Tham số này điều khiển: việc TCP cố gắng kiểm tra một kết nối, và dữ gói tin chưa bị chết. Nếu máy tính từ xa được kết nối, nó sẽ được lưu lại các gói tin đã bị thất lạc. Keep-alive sẽ không gửi (với thiết lập mặc định). Bạn có thể sử dụng một chương trình để cấu hình các thông số cho một kết nối. Khuyên cáo từ nhà sản xuất thiết lập là 300,000 (5 phút).
Với cấu hình trong:
Value name: NoNameReleaseOnDemand
Key: Netbt\Parameters
Value Type: REG_DWORD
Valid Range: 0, 1 (False, True)
Default: 0 (False)
Tham số này quyết định tên của máy tính trong định dạng của NetBIOS khi có yêu cầu. Thông số này sẽ thêm sự cho phép người quản trị bảo vệ máy tính trước các mã nguy hiểm khai thác tên máy tính. Microsoft khuyến cáo bạn thiết lập NoNameReleaseOnDemand là 1
Khắc phục sự cố
Khi bạn thay đổi các tham số trogn registry ảnh hưởng đến TCP/IP, có thể điều đó sẽ ảnh hưởng đến các chương trình cũng như dịch vụ chạy trên máy tính Windows Server 2003. Microsoft khuyến cáo bạn kiểm tra các thiết lập này trước, trước khi quyết định áp dụng chính sách này.
Sao lưu registry ra một bản có gì nếu các thiết lập ảnh hưởng đến hệ thống các bạn chỉ cần import là ok.

Theo SecurityFocus

Filed under: Bảo Mật-Hardening Windows Server 2003

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

Top 10 Best Hosting

HostGator Review HostGator Review
Hostgator $3.96/mo. 25% Off code: Best25PercentOff
iPage Review iPage Review
Cheapest Hosting - only $1.99/month Visit iPage
BlueHost Review BlueHost Review
Best Personal Hosting - $4.95/mo Visit BlueHost
A2Hosting Review A2Hosting Review
Best SSD Hosting - $4.97/mo Visit A2Hosting
GoDaddy Review GoDaddy Review
Best Budget Hosting - $1.99/mo Visit GoDaddy
Stablehost Review Stablehost Review
Stablehost Coupons 40% Off code: Best40PercentOff
Arvixe Review Arvixe Review
Arvixe hosting - $4/mo Visit Arvixe
InMotion Hosting Review InMotion Hosting Review
Best Business Hosting - $5.99/mo Visit InMotion
Dreamhost Review Dreamhost Review
Dreamhost $75 off code: BEST75USDOFF
IXWebHosting Review IXWebHosting Review
IXWebHosting - $3.95/mo Visit IXWebHosting
View All Web Hosting Coupons

RSS Tư vấn tin học

  • Lỗi: có thể dòng không tin đang không hoạt động. Hãy thử lại sau.

RSS USB 3G

  • Lỗi: có thể dòng không tin đang không hoạt động. Hãy thử lại sau.

RSS Di động

  • Lỗi: có thể dòng không tin đang không hoạt động. Hãy thử lại sau.

RSS Chat SMS

  • Lỗi: có thể dòng không tin đang không hoạt động. Hãy thử lại sau.

RSS Phục hồi dữ liệu

  • Lỗi: có thể dòng không tin đang không hoạt động. Hãy thử lại sau.
%d bloggers like this: