作者:风间子
可能大家在其他很多地方都看到过在Windows中通过修改注册表来加固TCP/IP协议栈以抵御拒绝服务的攻击,不过基本上是针对Windows 2000的。在此我想提醒大家,Windows 2000和Windows Server 2003中启用SYN攻击保护的键值不一样。在Windows 2000中,通常是设置SynAttackProtect键值为dword:2以获得最有效的SYN攻击保护,但是在Windows Server 2003中,SynAttackProtect键值只具有0和1这两个值,只是在键值设置为dword:1时启用SYN攻击保护。
关于它们之间的区别,请参见微软知识库文章:
HOW TO:在 Windows 2000 中加固 TCP/IP 协议栈以抵御拒绝服务的攻击
和
HOW TO:在 Windows Server 2003 中加固 TCP/IP 堆栈以抵御拒绝服务攻击
关于这些键值更为详细的信息,请参见微软安全指南文章如何:强化 TCP/IP 堆栈安全,不过这篇文章中描述的部分键值位置有误,具体位置请参见前面两篇知识库文章。
在此我为大家创建了两个分别针对Windows 2000和Windows Server 2003的注册表文件,导入后即可启用SYN攻击保护。
For Windows 2000(文件名后缀为.txt,右击后选择目标另存为,保存后修改文件扩展名为.reg再导入注册表即可),或者将以下内容复制后导入到注册表中:
---------------------------------------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
"SynAttackProtect"=dword:2
"TcpMaxPortsExhausted"=dword:5
"TcpMaxHalfOpen"=dword:500
"TcpMaxHalfOpenRetried"=dword:400
"TcpMaxConnectResponseRetransmissions"=dword:2
"TcpMaxDataRetransmissions"=dword:2
"EnablePMTUDiscovery"=dword:0
"KeepAliveTime"=dword:300000
"NoNameReleaseOnDemand"=dword:1
"DefaultTTL"=dword:256
"EnableDeadGWDetect"=dword:0
"DisableIPSourceRouting"=dword:1
"EnableFragmentChecking"=dword:1
"EnableMulticastForwarding"=dword:0
"IPEnableRouter"=dword:0
"EnableAddrMaskReply"=dword:0
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/AFD/Parameters]
"EnableICMPRedirect"=dword:0
"EnableDynamicBacklog"=dword:1
"MinimumDynamicBacklog"=dword:20
"MaximumDynamicBacklog"=dword:20000
"DynamicBacklogGrowthDelta"=dword:10
---------------------------------------------------------------------------------
For Windows Server 2003(文件名后缀为.txt,右击后选择目标另存为,保存后修改文件扩展名为.reg再导入注册表即可),或者将以下内容复制后导入到注册表中:
---------------------------------------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
"SynAttackProtect"=dword:1
"TcpMaxPortsExhausted"=dword:5
"TcpMaxHalfOpen"=dword:500
"TcpMaxHalfOpenRetried"=dword:400
"TcpMaxConnectResponseRetransmissions"=dword:2
"TcpMaxDataRetransmissions"=dword:2
"EnablePMTUDiscovery"=dword:0
"KeepAliveTime"=dword:300000
"NoNameReleaseOnDemand"=dword:1
"DefaultTTL"=dword:256
"EnableDeadGWDetect"=dword:0
"DisableIPSourceRouting"=dword:1
"EnableFragmentChecking"=dword:1
"EnableMulticastForwarding"=dword:0
"IPEnableRouter"=dword:0
"EnableAddrMaskReply"=dword:0
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/AFD/Parameters]
"EnableICMPRedirect"=dword:0
"EnableDynamicBacklog"=dword:1
"MinimumDynamicBacklog"=dword:20
"MaximumDynamicBacklog"=dword:20000
"DynamicBacklogGrowthDelta"=dword:10
---------------------------------------------------------------------------------
分享到:
相关推荐
优化服务〔2〕 在"网络连接"里,把不需要的协议和服务都移除 ² 去掉Qos数据包计划程序 ² 关闭Netbios服务〔关闭139端口〕 网络连接->本地连接->属性->Internet协议版本 4->属性->高级->WINS->禁用TCP/IP上的NetBIOS...
对Modbus/TCP 协议存在的报文缺乏加密,无认证机制,无防重放攻击机制以及无授权访问机制灯重要的信息安全问题进行深入研究,设计了Modbus/TCP 信息安全防护模型。并基于该模型实现了Modbus/TCP 信息安全防护系统。...
5.4 检查是否已关闭不必要的服务-Simple TCP/IP Services(高危) 5.5 检查是否已关闭不必要的服务-Simple Mail Transport Protocol (SMTP)(高危) 5.6 检查是否已关闭不必要的服务-DHCP Client(高危) 5.7 检查...
控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS 在网络连接的协议里启用TCP/IP筛选,...
Windows操作系统安全加固Windows操作系统安全加固Windows操作系统安全加固Windows操作系统安全加固Windows操作系统安全加固Windows操作系统安全加固Windows操作系统安全加固Windows操作系统安全加固Windows操作系统...
windows server 服务器主机安全加固设置windows server 服务器主机安全加固设置windows server 服务器主机安全加固设置
此工具为bat批处理文件,里面是我收集总结的一套安全加固命令,集成windows系统的所有安全处理项,对于公司服务器,个人pc加固起到非常好的效果,只要双击运行,cmd可视界面,让你的电脑更加安全。更是学习系统安全...
E094-数据库安全-加固TCPIP协议栈
windows操作系统 安全加固方法
windows2003服务器加固,适合新手,如有错误请指出。
此工具为bat批处理文件,里面是我收集总结的一套安全加固命令,集成windows系统的所有安全处理项,对于公司服务器,个人pc加固起到非常好的效果,只要双击运行,cmd可视界面,让你的电脑更加安全。更是学习系统安全...
因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。但是,IIS的安全性却一直令人担忧。...所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。
不同 FTP 服务软件可能有不同的防护程序,本修复方案以 Windows server 2008 中自带的 FTP 服务和 Linux 中的vsftpd服务为例,您可参考以下方案对您的 FTP 服务进行安全加固。 重要提示: 请确保您的 FTP 服务软件为...
适用于Windows Server 2012的安全加固脚本。1.关闭不要的服务;2.阻止危险端口;3.必备的安全策略(密码、审核等),可以添加其他功能。
Windows服务器安全加固.pdf
windows2003系统加固windows2003系统加固windows2003系统加固windows2003系统加固windows2003系统加固
安全加固服务流程安全加固服务流程安全加固服务流程安全加固服务流程安全加固服务流程安全加固服务流程安全加固服务流程安全加固服务流程安全加固服务流程安全加固服务流程安全加固服务流程安全加固服务流程安全加固...
Windows操作系统安全加固策略,使用目前所有Windows服务器系统
windows安全加固手册---安全风险评估中,关于windows操作系统的安全checklist和加固内容
启用windows更新服务,设置为自动更新状态,以便及时打补丁。不要用360了,360安全卫士不支持2008补丁的安装 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 ...