TCP sin prevención de ataques

2

Soy nuevo en la implementación de seguridad de la información. Sin embargo, estoy tratando de fortalecer un servidor Windows. Estoy usando regedit para crear parámetros como SynAttackProtect, TcpMaxHalfOpen y TcpMaxHalfOpenRetried y establecer valores para ellos. Pero no estoy seguro de si esta es una buena manera de hacerlo. Como lo hice en esta ubicación, HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ TcpIp \ Parameters y agregando manualmente estos parámetros. Por favor sugiera si esto está bien

    
pregunta shiva 11.10.2013 - 16:36
fuente

1 respuesta

2

Impedir completamente los ataques de inundación de TCP SYN es imposible; Lo mejor que puedes hacer es mitigarlos. Estas configuraciones de registro son una opción válida y pueden ayudarlo si se encuentra bajo un ataque de inundación SYN débil o leve. Funcionan simplemente limitando la duración y la cantidad de conexiones medio abiertas cuando experimentan los síntomas de una inundación SYN. En otras palabras, hace que el servidor sea menos paciente a la espera de que el cliente complete el protocolo de enlace de tres vías (es decir, que complete la conexión).

Aquí hay algunas otras defensas comunes para ayudar a mitigar los ataques de inundación SYN:

  1. Aumentar los recursos del servidor (por ejemplo, agregar más memoria o más servidores para equilibrar la carga)

  2. Si filtrar direcciones IP es una opción, este sería el enfoque más efectivo. Por ejemplo, si sabe que su sitio web solo será utilizado por un cierto rango de direcciones IP (o ubicación geográfica), podría filtrar las direcciones IP que pueden conectarse. También se podría utilizar una lista blanca de direcciones IP de clientes legítimos conocidos para dar mayor prioridad a esas conexiones.

  3. También puede consultar Cookies SYN , que es un método de mitigación creativo que también podría ayudar.

Para leer más sobre estos métodos de mitigación de inundaciones SYN, sugiero leer sección 3 de RFC 4987

Espero que esto ayude!

    
respondido por el ansichart 12.10.2013 - 01:03
fuente

Lea otras preguntas en las etiquetas