調整 TCP/IP 防范攻擊

TCP/IP 安全設置
除了上述所列出的設置之外，可以修改下列項以輔助系統更有效地抵御攻擊。請注
意，這些推薦值決不是使系統不受攻擊，而只在于調整 TCP/IP 棧防范攻擊。這些
項的設置并不涉及系統上的許多其它組件（可能被用于攻擊系統）。對于注冊表的
任何更改，管理員必須充分了解這些更改對系統默認功能的影響以及在他們的環境
中是否適當�！�

SynAttackProtect　

項： TcpipParameters　

數值類型：REG_DWORD　

有效范圍：0、1、2　

0（沒有 SYN 攻擊保護）
1（如果滿足 TcpMaxHalfOpen 和 TcpMaxHalfOpenRetried 設置，減少重傳重試次
數與延遲的 RCE（路由緩存項）創建。）　
2（除 1 之外的另一個 Winsock 延遲指示。）　

備注 當系統發現自己受到攻擊時，任何套接字上的下列選項不再啟用：可縮放窗
口 (RFC 1323) 與每個適配器上已配置 TCP 參數（初始 RTT、窗口大�。�。這是
因為當保護生效時，在發送 SYN-ACK 之前不再查詢路由緩存項，并且連接過程中
Winsock 選項不可用�！�

默認值： 0 (false)　

推薦值： 2　

說明：SYN 攻擊保護包括減少 SYN-ACK 重傳次數，以減少分配資源所保留的時間
。路由緩存項資源分配延遲，直到建立連接為止。如果 synattackprotect = 2，
則 AFD 的連接指示一直延遲到三路握手完成為止。注意，僅在 TcpMaxHalfOpen　
和 TcpMaxHalfOpenRetried 設置超出范圍時，保護機制才會采取措施�！�

TcpMaxHalfOpen　

項： TcpipParameters　

數值類型： REG_DWORD - 數字　

有效范圍： 100-0xFFFF　

默認值： 100 (Professional、Server)、500 (Advanced Server)　

說明：該參數控制 SYN 攻擊保護啟動前允許處于 SYN-RCVD 狀態的連接數量。如
果將 SynAttackProtect 設為 1，確保該數值低于要保護的端口上 AFD 偵聽預備
的值（有關詳細信息，參見附錄 C 中的預備參數）。有關詳細信息，請參見　
SynAttackProtect 參數�！�

TcpMaxHalfOpenRetried　

項： TcpipParameters　

數值類型： REG_DWORD - 數字　

有效范圍： 80-0xFFFF　

默認值： 80 (Professional、Server)、400 (Advanced Server)　

說明：該參數控制在 SYN 攻擊保護啟動前處于 SYN-RCVD 狀態的連接數量，對于
該連接至少有一個 SYN 重傳已經發送。有關詳細信息，參見 SynAttackProtect　
參數�！�

EnablePMTUDiscovery　

項： TcpipParameters　

數值類型：REG_DWORD - 布爾值　

有效范圍：0、1（false、true）　

默認值： 1 (true)　

推薦值： 0　

說明：將該參數設置為 1 (true) 時，TCP 將查找到達遠程主機路徑上的最大傳輸
單位（MTU 或最大的數據包大�。�。通過發現路徑 MTU 并將 TCP 字段限制到這個
大小，TCP 可以限制在連結到不同的 MTU 網絡的路由器上的碎片。碎片會影響　
TCP 吞吐量和網絡堵塞。將這個參數設置成 0，會導致為所有不在本地子網上主機
連接使用 576 字節的 MTU�！�

NoNameReleaseOnDemand　

項： NetbtParameters　

數值類型： REG_DWORD - 布爾值　

有效范圍：0、1（false、true）　

默認值： 0 (false)　

推薦值： 1　

說明：該參數確定當收到網絡的名稱釋放請求時，計算機是否釋放其 NetBIOS 名
稱。添加該參數，管理員就可以保護機器免遭惡意名稱釋放攻擊�！�

EnableDeadGWDetect　

項： TcpipParameters　

數值類型： REG_DWORD - 布爾值　

有效范圍：0、1（false、true）　

默認值： 1 (true)　

推薦值： 0　

說明：當該參數設為 1 時，允許 TCP 執行間隔網關檢測。啟用該功能時，如果處
理多個連接有困難時，TCP 可以請求 IP 改到備份網關。備份網關可以在“網絡控
制面板”中“TCP/IP 配置”對話框的“高級”部分進行定義。有關詳細信息，請
參見本文“間隔網關檢測”一節�！�

KeepAliveTime　

項： TcpipParameters　

數值類型：REG_DWORD - 時間（毫秒）　

有效范圍： 1-0xFFFFFFFF　

默認值： 7,200,000（兩個小時）　

推薦值：300,000　

說明：通過發送保留的數據包，該參數可確定 TCP 要隔多長時間驗證一次閑置連
接仍仍未斷開。如果遠程系統仍可以連接并正在運行，它就會確認保留傳輸。默認
情況下，不發送保留數據包。應用程序可以在連接上啟用這一功能�！�

PerformRouterDiscovery　

項： TcpipParametersInterfacesinterface　

數值類型：REG_DWORD　

有效范圍：0、1、2　

0（禁用）
1（啟用）
2（僅當 DHCP 發送路由器發現選項時啟用）　

默認值： 2，DHCP 控制，但默認情況下為關閉�！�

推薦值： 0　

說明：該參數控制 Windows 2000 是否根據每個接口上的 RFC 1256 執行路由器發
現。也可參見 SolicitationAddressBcast

文章來源于領測軟件測試網 http://www.kjueaiud.com/