3.6.7 其他保护

作者: 王达 出处:电子工业出版社 　2007-07-26 10:39　   砖    好    评论  条 　进入论坛

阅读提示：本章仅从基础层面对黑客攻击的一些主要方面进行介绍，如了解黑客攻击的类型和主要攻击方式，端口和漏洞扫描，以及在Windows 2000/Server 2003系统下针对拒绝服务攻击所进行的TCP协议深层配置。本文介绍了其他保护.

3.6.7  其他保护
这一部分的所有注册表项和值都位于注册表的HKLM\System\CurrentControlSet\Services \Tcpip\Parameters主键项的下面。
1．保护屏蔽的网络细节
网络地址转换（NAT）用于将网络与传入连接屏蔽开来。攻击者可能规避此屏蔽，以便使用IP源路由来确定网络拓扑。需修改的键值项为DisableIPSourceRouting。
将名为“DisableIPSourceRouting”的键值项的值设为“1”（有效值为0（转发所有数据包），1（不转发源路由数据包），2（丢弃所有传入的源路由数据包））。该项设置可以用来禁用IP源路由。
2．避免接收数据包片段
处理数据包片段可以是高成本的。虽然拒绝服务很少来自外围网络，但此设置能防止处理数据包片段。需修改的键值项为EnableFragmentChecking。
将名为“EnableFragmentChecking”的键值项的值设为“1”（有效值为0（禁用），1（启用））。该项设置可以用来禁止IP堆栈接收数据包片段。
3．切勿转发去往多台主机的数据包
多播数据包可能被多台主机响应，从而导致响应淹没网络。需要修改的键值项为EnableMulticastForwarding。
将名为“EnableMulticastForwarding”的键值项的值设置为“0”（有效值为0（False），1（True））。该项设置可以用来指定路由服务使用此参数来控制是否转发IP多播。此参数由路由和远程访问服务创建。
4．只有防火墙可以在网络间转发数据包
多主机服务器切勿在它所连接的网络之间转发数据包，明显的例外是防火墙。需要修改的键值项为IPEnableRouter。
将名为“IPEnableRouter”的键值项的值设置为“0”（有效值为0（False），1（True））。将此参数设置为“1”（True）会使系统在它所连接的网络之间路由IP数据包，选择0则不路由。
5．屏蔽网络拓扑结构细节
可以使用ICMP数据包请求主机的子网掩码。只泄露此信息是无害的，但是可以利用多台主机的响应来了解内部网络的情况。需要修改的键值项为EnableAddrMaskReply。
将名为“EnableAddrMaskReply”的键值项的值设为“0”（有效值为0（False），1（True））。此参数控制计算机是否响应ICMP地址屏蔽请求，选择0则表示不响应ICMP地址屏蔽请求。
如表3-4所示汇总了以上注册表值项的修改建议值，通过这些值项的修改可以获得最大程度的保护。
表3-4  其他攻击保护所需的注册表值项修改建议值

回书目   上一节   下一节