SYN洪水攻击是利用客户端和服务端建立TCP连接,服务器必须收到客户端返回的一个 ACK 包才完成建立连接,否则一直处于等待的缺陷,连续发送 SYN 报文给服务器端请求建立 TCP 连接,却不回应(这种情况称为半开连接),当半开连接数达到系统允许的最大值时,系统不再接受建立连接请求,即后面的用户无法访问到服务器,拿网站服务器来说就是无法打开网页;最终还可能耗尽服务器的 CPU 和内存,使服务器彻底瘫痪。
好在 Windows 系统提供了修改注册表的办法,防止 SYN 洪水攻击来保护服务器的正常运行,这种方法咱们称为 SynAttackProtect 机制。
为防范 SYN 攻击,win2000系统的 tcp/ip 协议栈内嵌了 SynAttackProtect 机制,Win2003系统也采用此机制。SynAttackProtect 机制是通过关闭某些 socket 选项,增加额外的连接指示和减少超时时间,使系统能处理更多的 SYN 连接,以达到防范 SYN 攻击的目的。
默认情况下,Win2000操作系统并不支持 SynAttackProtect 保护机制,需要在注册表以下位置增加 SynAttackProtect 键值,以下为设置步骤
1、依次选择“开始 → 运行”,输入 regedit 回车,打开注册表编辑器。
2、定位到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
在空白处单击右键,选择“DWORD(32-位)值”
3、名称输入 SynAttackProtect,双击 SynAttackProtect,把值设置为 1 或 2
需要特别说明一下,当 SynAttackProtect 值(如无特别说明,本文提到的注册表键值都为十六进制)为0或不设置时,系统不受SynAttackProtect 保护。
当 SynAttackProtect 值为1时,系统通过减少重传次数和延迟未连接时路由缓冲项(route cache entry)防范 SYN 攻击。
当 SynAttackProtect 值为2时(Microsoft推荐使用此值),系统不仅使用backlog队列,还使用附加的半连接指示,以此来处理更多的SYN连接,使用此键值时,tcp/ip 的 TCPInitialRTT、window size 和可滑动窗囗将被禁止。
4、单击“确定”设置完成,按照上述步骤继续设置以下项(新建类型均为 DWORD 值):
TcpMaxHalfOpen (十进制) 值:500
TcpMaxHalfOpenRetried (十进制) 值:400
EnablePMTUDiscovery 值:1
NoNameReleaseOnDemand 值:1
EnableDeadGWDetect 值:0
KeepAliveTime 值(十进制):300000
PerformRouterDiscovery 值:0
EnableICMPRedirects 值:0
修改项说明
SynAttackProtect:syn 洪水攻击保护,取值范围 0、1、2;
TcpMaxHalfOpen:允许的最大半开连接数;
TcpMaxHalfOpenRetried:是处于至少已发送一次重传的 SYN_RCVD 状态中的TCP连接数;
EnablePMTUDiscovery:是否进行最大包长度路径检测;
NoNameReleaseOnDemand:当收到网络名称释放请求时,是否释放 NetBIOS 名称;
EnableDeadGWDetect:是否允许网关检测;
KeepAliveTime:每隔多长时间验证一次闲置未断开连接,单位:毫秒;
PerformRouterDiscovery:是否将试图执行路由器发现每个 RFC 1256 在每个接口基础上;
EnableICMPRedirects:是否启用 ICMP 重定向。
我们应该知道,平时,系统是不启用 SynAttackProtect 机制的,仅在检测到SYN攻击时,才启用,并调整 tcp/ip 协议栈。那么系统是如何检测 SYN 攻击发生的呢?事实上,系统根据 TcpMaxHalfOpen,TcpMaxHalfOpenRetried 和 TcpMaxPortsExhausted 三个参数判断是否遭受 SYN 攻击。
TcpMaxHalfOpen 表示能同时处理的最大半连接数(也即服务器处于 SYN_RECV 阶段),如果超过此值,系统认为正处于 SYN 攻击中。Win2000 server 默认值为100,Win2000 Advanced server为500。
TcpMaxHalfOpenRetried 定义了保存在 backlog 队列且重传过的半连接数(即服务器处于 SYN_RECV 阶段,并且对于一些连接,若发送了SYN-ACK后没有响应使得服务器重发SYN-ACK),如果超过此值,系统自动启动 SynAttackProtect 机制。Win2000 server默认值为80,Win2000 Advanced server为400。
TcpMaxPortsExhausted 是指系统拒绝的 SYN 请求包的数量(也即服务器处于 LISTEN 阶段,个人认为是与 socket 中的 listen 第二个参数 backlog 一样的意思,也即等待连接队列的长度),默认是5。
如果想调整以上参数的默认值,可以在注册表里修改(位置与 SynAttackProtect 相同)。
注意事项
调整这些参数可能会影响系统的网络性能,建议在充分测试后再应用到生产环境。此外,确保系统已安装最新的安全补丁,以进一步增强防护能力。
