调整TCP/IP防范攻击

最新推荐文章于 2025-05-16 15:05:49 发布
原创 最新推荐文章于 2025-05-16 15:05:49 发布 · 985 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

TCP/IP安全设置除了上述所列出的设置之外,可以修改下列项以辅助系统更有效地抵御攻击。请注意,这些推荐值决不是使系统不受攻击,而只在于调整TCP/IP栈防范攻击。这些项的设置并不涉及系统上的许多其它组件(可能被用于攻击系统)。对于注册表的任何更改,管理员必须充分了解这些更改对系统默认功能的影响以及在他们的环境中是否适当。

  SynAttackProtect 

  项:TcpipParameters 

  数值类型:REG_DWORD 

  有效范围:0、1、2 

  0(没有SYN攻击保护)

  1(如果满足TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置,减少重传重试次数与延迟的RCE(路由缓存项)创建。)

  2(除1之外的另一个Winsock延迟指示。)

  备注当系统发现自己受到攻击时,任何套接字上的下列选项不再启用:可缩放窗口(RFC1323)与每个适配器上已配置TCP参数(初始RTT、窗口大小)。这是因为当保护生效时,在发送SYN-ACK之前不再查询路由缓存项,并且连接过程中Winsock选项不可用。

  默认值:0 (false) 

  推荐值:2 

  说明:SYN攻击保护包括减少SYN-ACK重传次数,以减少分配资源所保留的时间。路由缓存项资源分配延迟,直到建立连接为止。如果synattackprotect=2,则AFD的连接指示一直延迟到三路握手完成为止。注意,仅在TcpMaxHalfOpen 和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施。

  TcpMaxHalfOpen 

  项:TcpipParameters 

  数值类型:REG_DWORD -数字 

  有效范围:100-0xFFFF 

  默认值:100 (Professional、Server)、500 (Advanced Server) 

  说明:该参数控制SYN攻击保护启动前允许处于SYN-RCVD状态的连接数量。如果将SynAttackProtect设为1,确保该数值低于要保护的端口上AFD侦听预备的值(有关详细信息,参见附录C中的预备参数)。有关详细信息,请参见 SynAttackProtect参数。


TcpMaxHalfOpenRetried 

  项:TcpipParameters 

  数值类型:REG_DWORD -数字 

  有效范围:80-0xFFFF 

  默认值:80 (Professional、Server)、400 (Advanced Server) 

  说明:该参数控制在SYN攻击保护启动前处于SYN-RCVD状态的连接数量,对于该连接至少有一个SYN重传已经发送。有关详细信息,参见SynAttackProtect 参数。

  EnablePMTUDiscovery 

  项:TcpipParameters 

  数值类型:REG_DWORD -布尔值 

  有效范围:0、1(false、true)

  默认值:1 (true) 

  推荐值:0 

  说明:将该参数设置为1(true)时,TCP将查找到达远程主机路径上的最大传输单位(MTU或最大的数据包大小)。通过发现路径MTU并将TCP字段限制到这个大小,TCP可以限制在连结到不同的MTU网络的路由器上的碎片。碎片会影响 TCP吞吐量和网络堵塞。将这个参数设置成0,会导致为所有不在本地子网上主机连接使用576字节的MTU。

  NoNameReleaseOnDemand 

  项:NetbtParameters 

  数值类型:REG_DWORD -布尔值 

  有效范围:0、1(false、true)

  默认值:0 (false) 

  推荐值:1 

  说明:该参数确定当收到网络的名称释放请求时,计算机是否释放其NetBIOS名称。添加该参数,管理员就可以保护机器免遭恶意名称释放攻击。

  EnableDeadGWDetect 

  项:TcpipParameters 

  数值类型:REG_DWORD -布尔值 

  有效范围:0、1(false、true)

  默认值:1 (true) 

  推荐值:0 

  说明:当该参数设为1时,允许TCP执行间隔网关检测。启用该功能时,如果处理多个连接有困难时,TCP可以请求IP改到备份网关。备份网关可以在“网络控制面板”中“TCP/IP配置”对话框的“高级”部分进行定义。有关详细信息,请参见本文“间隔网关检测”一节。

KeepAliveTime 

  项:TcpipParameters 

  数值类型:REG_DWORD -时间(毫秒)

  有效范围:1-0xFFFFFFFF 

  默认值:7,200,000(两个小时)

  推荐值:300,000 

  说明:通过发送保留的数据包,该参数可确定TCP要隔多长时间验证一次闲置连接仍仍未断开。如果远程系统仍可以连接并正在运行,它就会确认保留传输。默认情况下,不发送保留数据包。应用程序可以在连接上启用这一功能。

  PerformRouterDiscovery 

  项:TcpipParametersInterfacesinterface 

  数值类型:REG_DWORD 

  有效范围:0、1、2 

  0(禁用)

  1(启用)

  2(仅当DHCP发送路由器发现选项时启用)

  默认值:2,DHCP控制,但默认情况下为关闭。

  推荐值:0 

  说明:该参数控制Windows 2000是否根据每个接口上的RFC1256执行路由器发现。也可参见SolicitationAddressBcast
计算机网络基础:TCP/IP 协议族的奥秘
优快云博客专家,系统架构师,有合作、疑惑请私信博主。
03-20 2万+
计算机网络基础:TCP/IP 协议族的奥秘,在当今数字化时代,计算机网络如同一张无形却坚韧的大网,将世界各地的设备紧密相连。无论是日常使用的手机、电脑进行的网页浏览、文件传输,还是企业复杂业务系统间的数据交互,背后都离不开一个关键的支撑体系 ——TCP/IP 协议族。它就像是网络世界的通用语言,确保了不同类型、不同品牌的设备能够跨越地域限制,顺畅地进行信息交流。深入探究 TCP/IP 协议族的奥秘,不仅能让我们理解网络通信的底层机制,更能为网络的构建、维护、优化以及创新应用的开发提供坚实的理论基础。
tcp分片攻击与防御原理
focus on security
02-22 5634
攻击原理 正常的网络流量中很少出现TCP分片报文,如果网络中TCP分片报文增多,则很可能正受到ddos攻击攻击者向攻击目标发送大量的TCP分片报文。 通常会造成以下危害: 大量的TCP分片报文消耗带宽资源,造成被攻击者的响应缓慢甚至无法正常回应。 网络设备或服务器收到大量的TCP分片报文,会进行分片重组,这样会导致网络设备或服务器的性能降低,甚至无法正常工作。 防御原理 TCP分片分为首分片和后续分片,可以只对首分片执行防御动作,如果首分片异常被丢弃了,后续分片因找不到首分片的会话会直接被后续
TCP 协议栈的防攻击方法
11-09
具体讲述阻止TCP中ACK的攻击方法 很好
释放tcp连接的命令是_TCP协议超详细解析及攻击/防范
weixin_39997311的博客
11-22 531
TCP 协议作用TCP 协议使用的是面向连接的方法进行通信的,其作用如下:面向流的处理:TCP 以流的方式处理数据。换句话说,TCP 可以一个字节一个字节地接收数据,而不是一次接收一个预订格式的数据块。TCP 把接收到的数据组成长度不等的段,再传递到网际层。重新排序:如果数据以错误的顺序到达目的地,TCP 模块能够对数据重新排序,来恢复原始数据。流量控制:TCP 能够确保数据传输不会超过目的计算机...
TCP防SYN攻击
06-19 414
syncookies 参数主要有以下三个值: 0 值,表示关闭该功能; 1 值,表示仅当 SYN 半连接队列放不下时,再启用它; 2 值,表示无条件开启功能; 如果为了防止SYN攻击,只需要将值赋值为1 即可 另外还有两点可以防止SYN攻击 增大半连接队列 不能只单纯增大 tcp_max_syn_backlog 的值,还需一同增大 somaxconn 和 backlog,也就是增大全连接队列。 否则,只单纯增大 tcp_max_syn_backlog...
TCP攻击原理及防护
Axiaozhi_的博客
08-03 455
存在大量连接状态,来自少数的几个源。这种攻击的原理是利用真实的IP地址向服务器发起大量的连接,并且建立连接之后很长时间不释放,占用服务器的资源,造成服务器服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应其他客户所发起的连接。Connection Flood(TCP多连接攻击,CC攻击等通过建立大量连接请求导致拒绝服务的攻击类型的总称)是典型的并且非常的有效的利用小流量冲击大带宽网络服务的攻击方式,这种攻击方式目前已经越来越猖獗。2、对恶意连接的IP进行封禁。1、主动清除残余连接。
IP碎片原理:攻击和防护
weixin_33828101的博客
11-11 724
为了加深理解IP协议和一些DoS攻击手段大家有必要看看以下内容,也许对你理解这个概念有所帮助.先来看看IP碎片是如何产生的吧。 一.IP碎片是如何产生的 链路层具有最大传输单元MTU这个特性,它限制了数据帧的最大长度,不同的网络类型都有一个上限值。以太网的MTU是1500,你可以用 netstat -i 命令查看这个值。如果IP层有数据包要传,而且数据包的长度超过...
计算机网络安全:针对TCP/IP堆栈的攻击方式的防御方法
最新发布
天涯雨的博客
05-16 685
计算机网络安全:同步包风暴(SYN Flooding)攻击;ICMP 攻击;SNMP 攻击
TCP/IP协议理论
一个菜鸟的博客
08-28 6889
参考文献: 《TCP-IP详解卷一:协议》 《用TCP-IP进行网际互联第一卷:原理、协议与结构》 《LwIP协议深度剖析与实战演练》 《嵌入式Internet TCP IP基础、实现及应用》 TCP/IP协议族通俗综述 OSI结构仅仅停留在理论阶段,没有以实践作为依据,实现起来过去复杂,所以TCP/IP协议栈简化了。 从底层到顶层剖析TCP/IP协议栈 1...
深入探讨TCP/IP服务器端开发技术
- **安全性**:网络通信服务器需要关注安全性问题,如防范DDoS攻击、数据加密、身份验证机制等。 - **可维护性和可扩展性**:编写易于理解和维护的代码,并且设计时要考虑到未来可能的功能扩展。 综合上述内容,一...
深入理解TCP/IP协议:卷二实现原理
- 网络安全问题,例如IP欺骗、DDoS攻击等,以及如何在协议实现中防范这些问题。 - DNS(域名系统)的解析过程,以及在实现时的优化策略。 由于书中内容丰富,这仅是对《TCP/IP详解卷二:实现》中可能涉及的一些...
常见IP碎片攻击详解.pdf
11-02
常见IP碎片攻击详解
windows系统漏洞加固
04-18
一. 账号口令 1.1 检查是否已启用密码复杂性要求(低危) 1.2 检查是否已正确配置密码长度最小值(低危) 1.3 检查是否按组进行用户管理(低危) 1.4 检查是否按照权限、责任创建、使用用户账号(低危) 1.5 检查是否已正确配置“复位帐户锁定计数器”时间(低危) 1.6 检查是否已正确配置帐户锁定阈值(低危) 1.7 检查是否已删除或禁用高危帐户(低危) 1.8 检查是否已正确配置密码最长使用期限(低危) 1.9 检查是否已正确配置“强制密码历史”(低危) 1.10 检查是否已正确配置密码最短使用期限(低危) 1.11 域环境:检查是否已启用“域环境下禁止计算机帐户更改密码”策略(低危) 1.12 检查是否已更改管理员帐户名称(低危) 1.13 检查是否已正确配置帐户锁定时间(低危) 二. 认证授权 2.1 检查是否已限制可关闭系统的帐户和组(低危) 2.2 检查是否已限制可从远端关闭系统的帐户和组(低危) 2.3 检查是否已限制“取得文件或其它对象的所有权”的帐户和组(低危) 2.4 检查是否已正确配置“从网络访问此计算机”策略(低危) 2.5 检查是否已正确配置“允许本地登录”策略(低危) 2.6 检查是否已删除可远程访问的注册表路径和子路径(低危) 2.7 检查是否已限制匿名用户连接(低危) 2.8 检查是否已删除可匿名访问的共享和命名管道(低危) 三. 日志审计 3.1 检查是否已正确配置应用程序日志(低危) 3.2 检查是否已正确配置审核(日志记录)策略(低危) 3.3 检查是否已正确配置系统日志(低危) 3.4 检查是否已正确配置安全日志(低危) 四. 协议安全 4.1 检查是否已开启Windows防火墙(低危) 4.2 检查是否已启用TCP/IP筛选功能(低危) 4.3 检查是否已修改默认的远程桌面(RDP)服务端口(低危) 4.4 检查是否已禁用路由发现功能(低危) 4.5 检查是否已正确配置重传单独数据片段的次数(低危) 4.6 检查是否已启用并正确配置源路由攻击保护(低危) 4.7 检查是否已删除SNMP服务的默认public团体(低危) 4.8 检查是否已禁用失效网关检测(低危) 4.9 检查是否已启用并正确配置TCP碎片攻击保护(低危) 4.10 检查是否已启用并正确配置ICMP攻击保护(低危) 4.11 检查是否已正确配置TCP“连接存活时间”(低危) 4.12 检查是否已启用并正确配置SYN攻击保护(低危) 五. 其他安全 5.1 检查是否已关闭不必要的服务-Windows Internet Name Service (WINS)(高危) 5.2 检查是否已关闭不必要的服务-Remote Access Connection Manager(高危) 5.3 检查是否已禁止Windows自动登录(高危) 5.4 检查是否已关闭不必要的服务-Simple TCP/IP Services(高危) 5.5 检查是否已关闭不必要的服务-Simple Mail Transport Protocol (SMTP)(高危) 5.6 检查是否已关闭不必要的服务-DHCP Client(高危) 5.7 检查是否已关闭不必要的服务-Message Queuing(高危) 5.8 检查是否已关闭不必要的服务-DHCP Server(高危) 5.9 检查系统是否已安装最新补丁包和补丁(中危) 5.10 检查是否已安装防病毒软件(中危) 5.11 检查是否已禁用“登录时无须按 Ctrl+Alt+Del”策略(低危) 5.12 检查是否已创建多个磁盘分区(低危) 5.13 检查是否已启用并正确配置屏幕保护程序(低危) 5.14 检查是否已启用Windows数据执行保护(DEP)(低危) 5.15 检查是否已禁用Windows硬盘默认共享(低危) 5.16 检查磁盘分区是否都是NTFS文件系统(低危) 5.17 检查是否已关闭Windows自动播放(低危) 5.18 域环境:检查是否已正确配置域环境下安全通道数据的安全设置(低危) 5.19 域环境:检查是否已启用“域环境下需要强会话密钥”策略(低危) 5.20 域环境:检查是否已启用“需要域控制器身份验证以解锁工作站”策略(低危) 5.21 检查是否已正确配置“锁定会话时显示用户信息”策略(低危) 5.22 检查是否已启用“当登录时间用完时自动注销用户”策略(低危) 5.23 检查是否已正确配置“提示用户在密码过期之前进行更改”策略(低危) 5.24 检查是否已启用并正确配置Windows网络时间同步服务(NTP)(低危) 5.25 检查共享文件夹的权限设置是否安全(低危) 5.26 域环境:检查是否已正确配置“可被缓存保存的登录的个数”策略(低危) 5.27 检查是否已正确配置服务器在暂停会话前所需的空闲时间量(低危) 5.28 检查是否已启用“不显示最后的用户名”策略(低危) 5.29 检查是否已启用并正确配置Windows自动更新(低危)
Syn flood攻击防御,包碎片攻击防御,源路由欺骗防御
2201_75708511的博客
10-29 915
Syn flood攻击防御,包碎片攻击防御,源路由欺骗防御
IP碎片攻击-常见IP碎片攻击详解
千重浪Linux技术工作室
09-30 4653
IP碎片攻击-常见IP碎片攻击详解   2010-06-27 22:48:29|  分类: Security|字号 订阅 1. 为什么存在IP碎片   链路层具有最大传输单元MTU这个特性,它限制了数据帧的最大长度,不同的网络类型都有一个上限值。以太网的MTU是1500,你可以用 netstat -i 命令查看这个值。如果IP层有数据包要传,而且数据包的长
TCP攻击实战及其简略防御措施
爱吃仡坨的Blog
08-07 2190
TCP攻击实战及其简略防御措施
windows服务器的基线安全(等保要求)
weixin_45574151的博客
03-01 4206
windows服务器的基线安全(等保要求参考 ) 下图是扫描出来的需要做基线的选项 加固建议都已经贴出来了,按照这个参考可以合格,有部分需要人工现场核实确认,这个要根据具体需求操作。 1、防火墙TCP\IP筛选配置 1.进入“控制面板”->“网络连接”->“本地连接”; 2.进入“Internet协议(TCP/IP)->属性”->“高级->TCP/IP设置”; 3.在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。 2、
SYN攻击原理以及防范技术
浮生一梦
03-23 6464
据统计,在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得2000年YAHOO网站遭受的攻击事例,当时黑客利用的就是简单而有效的SYN攻击,有些网络蠕虫病毒配合SYN攻击造成更大的破坏。本文介绍SYN攻击的基本原理、工具及检测方法,并全面探讨SYN攻击防范技术。   一、TCP握手协议   在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值