Como ativar os cookies SYN no Windows Server 2008?

3

Eu tenho um ataque de spoofing SYN em um dos meus servidores. Embora haja recursos suficientes disponíveis no servidor (BW, CPU, RAM), novas solicitações legítimas recebem Request time-out error. Parece que a fila de pendências fica cheia e os novos pedidos demoram o tempo na fila.

Como habilitar cookies SYN no Windows Server 2008 Enterprise Edition (64 bits)?

    
por Xaqron 03.08.2011 / 00:30

2 respostas

1

Aqui é uma postagem do TechNet sobre ele:

" A partir do Windows Vista, a proteção SynAttack é ativada por padrão e não pode ser desativada ... Como o driver TCPIP entra em estado de ataque com base no número de núcleos da CPU e na quantidade de Com a memória disponível, sistemas com mais recursos começarão a perder novas tentativas de conexão mais tarde, em comparação com sistemas com menos recursos, que foram codificados (de acordo com as configurações do Registro) em sistemas pré-Vista em que o sistema foi movido para estado de ataque muitos recursos estavam disponíveis para o sistema. "

    
por 03.08.2011 / 06:08
0

Se você estiver usando um firewall Linux, há várias opções para proteção do SYN DoS / DDoS, antes de acessar o servidor Windows.

Primeiro, você pode configurar uma regra de resposta rápida para todos os pacotes SYN sem importância, tornando a resposta do firewall em nome do servidor Windows. (Conexões não estabelecidas, você deve instalar um keepalive super-agressivo para pacotes válidos. Quase todas as Syn Floods se encaixarão em uma dessas categorias.) Você pode então definir o limite do Syn Cookie nestes tipos de pacotes.

Para os pacotes Keep-alive de frequência padrão, eles também devem ser respondidos rapidamente, mas também devem ser encaminhados, e a resposta do servidor deve ser capturada.

Isso essencialmente usará o firewall Linux para sua proteção de cookie SYN (e honestamente, o protocolo de cookie Linux Syn é muito melhor. O protocolo de cookie Syn no Windows é uma porcaria, e é por isso que é desativado por padrão apenas descartando pacotes .)

    
por 14.03.2018 / 18:46