четверг, 20 декабря 2012 г.

Оптимизация сетевого стека на платформах MS Windows с элементами защиты от DoS.


Проверялось на Windows 2000/XP/2003 с последними SP и выше. Является продолжением темы о тьюнинге сетевого стека платформ MS Windows.
Предлагаю добавить в реестр вашей рабочей станции или сервера (в этом случае необходимо понимать, для чего вы это делаете), следующие ключи реестра, ответственные за IPv4, но их можно применить и к IPv6:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AFD\Parameters]
“EnableDynamicBacklog”=dword:00000001
“MinimumDynamicBacklog”=dword:00000014
“MaximumDynamicBacklog”=dword:00004e20
“DynamicBacklogGrowthDelta”=dword:0000000a
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters]
“ForwardBroadcasts”=dword:00000000
“IPEnableRouter”=dword:00000000
“UseDomainNameDevolution”=dword:00000000
“EnableICMPRedirect”=dword:00000000
“DeadGWDetectDefault”=dword:00000000
“DontAddDefaultGatewayDefault”=dword:00000000
“EnableWsd”=dword:00000001
“QualifyingDestinationThreshold”=dword:00000003
“SynAttackProtect”=dword:00000002
“TcpMaxHalfOpen”=dword:00000064
“TcpMaxHalfOpenRetried”=dword:00000050
“TcpMaxPortsExhausted”=dword:00000001
“TcpMaxConnectResponseRetransmissions”=dword:00000002
“EnableDeadGWDetect”=dword:00000000
“EnablePMTUDiscovery”=dword:00000000
“KeepAliveTime”=dword:000493e0
“EnableICMPRedirects”=dword:00000000
“EnableSecurityFilters”=dword:00000001
“DisableIPSourseRouting”=dword:00000002
“TcpMaxDataRetransmissions”=dword:00000003
“EnableDynamicBacklog”=dword:00000001
“MinimumDynamicBacklog”=dword:00000014
“MaximumDynamicBacklog”=dword:00004e20
“DynamicBacklogGrowthDelta”=dword:0000000a
“PerformRouterDiscovery”=dword:00000000
“EnableMulticastForwarding”=dword:00000000
“EnableAddrMaskReply”=dword:00000000
“TcpMaxDupAcks”=dword:00000002
“GlobalMaxTcpWindowSize”=dword:0000ffff
“SackOpts”=dword:00000001
“TcpUseRFC1122UrgentPointer”=dword:00000001
“IGMPLevel”=dword:00000000
“EnablePMTUBHDetect”=dword:00000000
“DefaultTTL”=dword:00000083
“DefaultTOS”=dword:0000000c
“UseZeroBroadcast”=dword:00000000
“TcpTimedWaitDelay”=dword:0000001e
“Tcp1323Opts”=dword:00000003
“PMTUBlackHoleDetect”=dword:00000000
“DefaultRcvWindow”=dword:00002000
“DeadGWDetect”=dword:00000000
“BSDUrgent”=dword:00000000
“DisableIPSourceRouting”=dword:00000001
“TcpWindowSize”=dword:00002238
Еще раз обращаю ваше внимание, что данное изменение параметров реестра даст максимальный эффект только при установленных последних SP для MS Windows 2000/XP/2003. Для MS Windows Vista/2008 наличие SP уже не играет роли, т. к. данные платформы уже имеют необходимую функциональность сетевого стека. Также обращаю внимание, что для серверов, тех, которые являются шлюзами, параметры, ответственные за маршрутизацию для пакетов, не стоит изменять. :-) Кроме того, не забываем отключать не используемые сервисы и сетевые средства через использование редактирования локальных и групповых политик безопасности, что дополнительно усилит защиту ресурсов ваших серверов и рабочих станций. Не забываем о защите сервисов, фильтрации пакетов и изоляции доменов (подсетей /аналог NAP в Windows 2008/).
Для платформ Unix, Linux, Mac OS доступны и более жесткие правила по фильтрации пакетов, но, к сожалению, платформам MS Windows еще далеко до их функциональности.
Информация, представленная в данной статье, собрана по материалам ресурса technet.microsoft.com. Описания тех или иных приведенных параметров мною не приводились, знающим особенности протоколов семейства TCP/IP и так будет ясно, а не знающих подвигнет на дальнейшее изучение данной области знаний. Учиться ни когда не поздно, не правда ли?
Данная статья будет полезна широкому кругу специалистов, как начинающим, так и уже имеющим некоторый опыт работы.
При публикации данной статьи на сторонних ресурсах прямая ссылка на первоисточник обязательна.



https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%be%d0%bf%d1%82%d0%b8%d0%bc%d0%b8%d0%b7%d0%b0%d1%86%d0%b8%d1%8f-%d1%81%d0%b5%d1%82%d0%b5%d0%b2%d0%be%d0%b3%d0%be-%d1%81%d1%82%d0%b5%d0%ba%d0%b0-%d0%bd%d0%b0-%d0%bf%d0%bb%d0%b0%d1%82%d1%84%d0%be/

Комментариев нет:

Отправить комментарий

http://nikitushkinandrey.wordpress.com