:D Cười cái lấy thiện cảm rồi nói :D
Theo như Mr3a nhận xét thì mình chỉ là thầy bói xem voi thôi, nên mạn phép bói luôn cho linhthsm vài quẻ nha :D
- Việc bạn đặt server hay thuê server ở VDC thì cho dù họ có FW hardware tốt cỡ nào đi nữa mà bạn không thuê dịch vụ managed server or managed firewall thì cũng như không, cái fw đó có rules gì cho server của bạn đâu :| Còn việc nếu thật sự bạn có thuê luôn fw và dịch vụ managed cái fw đó thì lại là việc trọng đại à nha, lúc này là do VDC làm ăn quá tệ, bạn có thể nghĩ đến nhà cung cấp khác là vừa rồi đó.
- Trường hợp của bạn got 1 đống synfood, giao thức TCP như hình trên hoàn toàn có thể khắc phục và giảm thiểu mức thiệt hai xuống thấp nhất chỉ qua cách sửa vài cái registry là ok rùi. Nếu ko lầm thì bạn xài win :D nhưng do học thầy chưa tới nơi mà bị đuổi xuống núi nên chỉ lờ mờ biết là win 2kx ko biết cụ thể là 2k, 2k3 hay 2k8 nữa :| nên bốc tạm 1 thang thuốc cho 2k3 nhé, nếu bạn xài win khác thì có thể pm mình hoặc vào site của MS mà theo hướng dẫn.
Từ trang gốc của MS
Denial of service (DoS) attacks are network attacks that are aimed at making a computer or a particular service on a computer unavailable to network users. Denial of service attacks can be difficult to defend against. To help prevent denial of service attacks, you can use one or both of the following methods:
* Keep your computer updated with the latest security fixes. Security fixes are located on the following Microsoft Web site:
<b><font color=red>[Chỉ có thành viên mới xem link được. <a href="register.php"> Nhấp đây để đăng ký thành viên......</a>]</font></b> (<b><font color=red>[Chỉ có thành viên mới xem link được. <a href="register.php"> Nhấp đây để đăng ký thành viên......</a>]</font></b>)
* Harden the TCP/IP protocol stack on your Windows Server 2003 computers. The default TCP/IP stack configuration is tuned to handle standard intranet traffic. If you connect a computer directly to the Internet, Microsoft recommends that you harden the TCP/IP stack against denial of service attacks.
Back to the top
TCP/IP Registry Values That Harden the TCP/IP Stack
Important This section, method, or task contains steps that tell you how to modify the registry. However, serious problems might occur if you modify the registry incorrectly. Therefore, make sure that you follow these steps carefully. For added protection, back up the registry before you modify it. Then, you can restore the registry if a problem occurs. For more information about how to back up and restore the registry, click the following article number to view the article in the Microsoft Knowledge Base:
322756 (<b><font color=red>[Chỉ có thành viên mới xem link được. <a href="register.php"> Nhấp đây để đăng ký thành viên......</a>]</font></b> ) How to back up and restore the registry in Windows
The following list explains the TCP/IP-related registry values that you can configure to harden the TCP/IP stack on computers that are directly connected to the Internet. All of these values should be created under the following registry key, unless otherwise noted:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es
NOTE: All values are in hexadecimal unless otherwise noted.
* Value name: SynAttackProtect
Key: Tcpip\Parameters
Value Type: REG_DWORD
Valid Range: 0,1
Default: 0
This registry value causes Transmission Control Protocol (TCP) to adjust retransmission of SYN-ACKS. When you configure this value, the connection responses time out more quickly during a SYN attack (a type of denial of service attack).
The following parameters can be used with this registry value:
o 0 (default value): No SYN attack protection
o 1: Set SynAttackProtect to 1 for better protection against SYN attacks. This parameter causes TCP to adjust the retransmission of SYN-ACKS. When you set SynAttackProtect to 1, connection responses time out more quickly if the system detects that a SYN attack is in progress. Windows uses the following values to determine whether an attack is in progress:
+ TcpMaxPortsExhausted
+ TCPMaxHalfOpen
+ TCPMaxHalfOpenRetried
Note In Windows Server 2003 Service Pack 1, the default value for the SynAttackProtect registry entry is 1.
Note The TcpMaxPortsExhausted registry key is obsolete in Windows XP SP2 and in later versions of Windows operating systems.
* Value name: EnableDeadGWDetect (Applies to Windows 2003 only)
Key: Tcpip\Parameters
Value Type: REG_DWORD
Valid Range: 0, 1 (False, True)
Default: 1 (True)
The following list explains the parameters that you can use with this registry value:
o 1: When you set EnableDeadGWDetect to 1, TCP is permitted to perform dead-gateway detection. When dead-gateway detection is enabled, TCP may ask the Internet Protocol (IP) to change to a backup gateway if a number of connections are experiencing difficulty. Backup gateways are defined in the Advanced section of the TCP/IP configuration dialog box in the Network tool in Control Panel.
o 0: Microsoft recommends that you set the EnableDeadGWDetect value to 0. If you do not set this value to 0, an attack may force the server to switch gateways and cause it to switch to an unintended gateway.
* Value name: EnablePMTUDiscovery
Key: Tcpip\Parameters
Value Type: REG_DWORD
Valid Range: 0, 1 (False, True)
Default: 1 (True)
The following list explains the parameters that you can use with this registry value:
o 1: When you set EnablePMTUDiscovery to 1, TCP tries to discover either the maximum transmission unit (MTU) or the largest packet size over the path to a remote host. TCP can remove fragmentation at routers along the path that connect networks with different MTUs by discovering the path MTU and limiting TCP segments to this size. Fragmentation adversely affects TCP throughput.
o 0: Microsoft recommends that you set EnablePMTUDiscovery to 0. When you do so, an MTU of 576 bytes is used for all connections that are not hosts on the local subnet. If you do not set this value to 0, an attacker may force the MTU value to a very small value and overwork the stack.
Important Setting EnablePMTUDiscovery to 0 negatively affects TCP/IP performance and throughput. Even though Microsoft recommends this setting, it should not be used unless you are fully aware of this performance loss.
* Value name: KeepAliveTime
Key: Tcpip\Parameters
Value Type: REG_DWORD-Time in milliseconds
Valid Range: 1-0xFFFFFFFF
Default: 7,200,000 (two hours)
This value controls how frequently TCP tries to verify that an idle connection is still intact by sending a keep-alive packet. If the remote computer is still reachable, it acknowledges the keep-alive packet. Keep-alive packets are not sent by default. You can use a program to configure this value on a connection. The recommended value setting is 300,000 (5 minutes).
* Value name: NoNameReleaseOnDemand
Key: Netbt\Parameters
Value Type: REG_DWORD
Valid Range: 0, 1 (False, True)
Default: 0 (False)
This value determines whether the computer releases its NetBIOS name when it receives a name-release request. This value was added to permit the administrator to protect the computer against malicious name-release attacks. Microsoft recommends that you set the NoNameReleaseOnDemand value to 1.
Trang dịch ra từ 3com dành cho các bạn nào hạn chế về Eng
- Trước tiên bạn phải cập nhật bản vá lỗi mới nhất từ Microsoft và chắc chắn không còn bản vá lỗi nào chưa được cài đặt. Các thông tin về các bản update có trên website: <b><font color=red>[Chỉ có thành viên mới xem link được. <a href="register.php"> Nhấp đây để đăng ký thành viên......</a>]</font></b>
- Và việc harden (làm rắn - đảm bảo vững chắc) cho giao thức TCP/IP trên máy chủ Windows Server 2003 là việc cần làm với nhà quản trị mạng. Với mặc định các cấu hình trong TCP/IP được thiết lập chuẩn cho việc trao đổi thông tin một cách thuận tiện. Nếu máy tính của bạn kết nối chực tiếp với Internet thì theo khuyến cáo của Microsoft bạn nên đảm bảo giao thức TCP/IP được cấu hình để hạn chế các cuộc tấn công DoS.
Cấu hình các tham số TCP/IP trong Registry nhằm đảm bảo Harden cho TCP/IP
Một số lỗi có thể sẽ sảy ra khi bạn chỉnh sửa các thông số trong registry bằng việc sử dụng Registry Editor hoặc bằng một phương pháp nào khác. Một số lỗi xảy ra có thể buộc bạn phải cài lại hệ điều hành. Microsoft không thể cam đoan là tất cả các lỗi đều có thể khắc phục được. Việc chỉnh sửa registry là một nguy cơ rất lớn.
Dưới đây là các thông số của TCP/IP trong registry và bạn có thể cấu hình để nâng cao tính vững chắc cho giao thức TCP/IP khi máy tính của bạn kết nối trực tiếp tới Internet. Tất cả các thông số của nó trong registry được lưu tại.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es
Chú ý: Tất cả các thông số đều ở dạng Hexadecimal
NOTE: All values are in hexadecimal unless otherwise noted.
Với cấu hình trong:
Value name: SynAttackProtect
Key: Tcpip\Parameters
Value Type: REG_DWORD
Valid Range: 0,1
Default: 0
Các thông số trong TCP có thể là truyền lại các gói tin trong dạng SYN-ACKS. Khi bạn cấu hình thông số này, các kết nối sẽ nhanh trong bị time out hơn trong các vụ tấn công SYN (là một dạng tấn công DoS).
Dưới đây là vài thông số bạn có thể sử dụng để thiết lập trong Registry
0 (tham số mặc định): Không bảo vệ trước các cuộc tấn công SYN
1: Thiết lập SynAttackProtect là 1 sẽ tốt hơn và nó sẽ bảo vệ hệ thống trước các cuộc tấn công SYN. Tham số này có nghĩa, nếu là 0 thì hệ thống sẽ truyền lại thông tin SYN-ACKS. Nếu bạn thiết lập tham số là 1, khi một kết nối sẽ có kết quả time out nhanh hơn nếu như hệ thống phát hiện thấy tấn công SYN. Windows sử dụng các tham số sau để hạn chế các vụ tấn công.
TcpMaxPortsExhausted
TCPMaxHalfOpen
TCPMaxHalfOpenRetried
Lưu ý là trong phiên bản Windows Server 2003 Service Pack 1 tham số trong SynAttackProtect với mặc định là 1
Với cấu hình trong:
Value name: EnableDeadGWDetect
Key: Tcpip\Parameters
Value Type: REG_DWORD
Valid Range: 0, 1 (False, True)
Default: 1 (True)
1: Khi bạn thiết lập EnableDeadGWDetect là 1, TCP sẽ cho phép thực hiện việc phát hiện ra dead-gateway. Khi dead-gateway được phát hiện là enable, TCP có thể sẽ truy vấn đến giao thức IP để thay đổi gateway. Việc sử dụng backup gateway được định nghĩa trong tab Advanced tại TCP/IP configuration.
0: Microsoft khuyến cáo bạn thiết lập tham số trong EnableDeadGWDetect là 0. Nếu bạn không thiết lập là 0, một tấn công có thể sảy ra và hướng máy chủ qua một gatewary khác, và có thể các gói tin từ đó sẽ bị tóm hay làm gì đó khi các dữ liệu chạy qua gateway của kẻ tấn công.
Với cấu hình trong:
Value name: EnablePMTUDiscovery
Key: Tcpip\Parameters
Value Type: REG_DWORD
Valid Range: 0, 1 (False, True)
Default: 1 (True)
1: Khi bạn thiết lập EnablePMTUDiscovery là 1, TCP sẽ cố gắng khám phá Maximum Transmission Unit (MTU) hay một gói tin lớn từ những người dùng từ xa. Gói tin TCP có thể bị vỡ khi chúng đi qua cac Routers để kết nối vào hệ thống mạng với MTUs khác bằng việc khám phá ra đường của MTU và giới hạn kích cỡ các gói TCP.
0: Microsoft khuyến cáo bạn thiết lập EnablePMTUDiscovery là 0. Khi bạn thực hiện việc này, một MTU với kích thước là 576 sẽ được sử dụng trong tất cả các kết nối. Nếu bạn không thiết lập thông số này là 0 một tấn công dựa trên các thông số MTU từ các kết nối có thể sẽ ảnh hưởng đến hệ thống của bạn.
Với cấu hình trong:
Value name: KeepAliveTime
Key: Tcpip\Parameters
Value Type: REG_DWORD-Time in milliseconds
Valid Range: 1-0xFFFFFFFF
Default: 7,200,000 (two hours)
Tham số này điều khiển: việc TCP cố gắng kiểm tra một kết nối, và dữ gói tin chưa bị chết. Nếu máy tính từ xa được kết nối, nó sẽ được lưu lại các gói tin đã bị thất lạc. Keep-alive sẽ không gửi (với thiết lập mặc định). Bạn có thể sử dụng một chương trình để cấu hình các thông số cho một kết nối. Khuyên cáo từ nhà sản xuất thiết lập là 300,000 (5 phút).
Với cấu hình trong:
Value name: NoNameReleaseOnDemand
Key: Netbt\Parameters
Value Type: REG_DWORD
Valid Range: 0, 1 (False, True)
Default: 0 (False)
Tham số này quyết định tên của máy tính trong định dạng của NetBIOS khi có yêu cầu. Thông số này sẽ thêm sự cho phép người quản trị bảo vệ máy tính trước các mã nguy hiểm khai thác tên máy tính. Microsoft khuyến cáo bạn thiết lập NoNameReleaseOnDemand là 1
Khắc phục sự cố
Khi bạn thay đổi các tham số trogn registry ảnh hưởng đến TCP/IP, có thể điều đó sẽ ảnh hưởng đến các chương trình cũng như dịch vụ chạy trên máy tính Windows Server 2003. Microsoft khuyến cáo bạn kiểm tra các thiết lập này trước, trước khi quyết định áp dụng chính sách này.
Sao lưu registry ra một bản có gì nếu các thiết lập ảnh hưởng đến hệ thống các bạn chỉ cần import là ok.
Lưu ý : Cách trên chỉ là hạn chế thiệt hại tới mức tối thiểu các thiệt hại đến máy chủ thôi nhé. Giả dụ bạn vẫn chưa có rules hợp lí thì trước khi kas drop thì vẫn để những request đó qua.
- Nếu thang thuốc kia vẫn không hiệu quả đến mức bạn muốn thì bạn thuê server của mình đi, bạo gan hứa với anh em trong clbgames này 1 câu luôn., với những dạng att bằng tool, không có đâu tư như trên thì chỉ cần tối đa 30" từ khi tiếp nhận yêu cầu là các kỹ thuật viên có thể handle tốt. Chưa kể các bạn thuê FW Hardware riêng.(Ai đó chê mình cạnh tranh không tốt thì chịu).
- Bài viết có hơi hám quảng cáo chút, ae giơ cao đánh khẽ nhé đừng thẳng tay quá :D