Evitar ataque DoS/Turbinas
2 participantes
Página 1 de 1.
Evitar ataque DoS/Turbinas
Buenas tardes a todos!
Buscando por la red info sobre seguridad encontré algo bastante interesante.
Acá les dejo la guia.
Como todos saben los ataques de denegación de servicio, conocidos comoDoS, intentan aprovechar los fallos del protocolo TCP/IP para saturarel tráfico e impedir que la información llegue al equipo afectado.
Si bien es cierto hasta la fecha era muy difícil impedir un ataque DoSa equipos basados en la arquitectura NT, como Windows 2000 o XP; noocurre así lo mismo con el kernel de Linux (caso que no tratare acá porestar centrados en la arquitectura necesaria para correr servidores deMuonline). Sin embargo, he encontrado un modo de reforzar la pila delprotocolo TCP/IP en Windows; ya sea en redes internas (LAN) o redesconectadas a Internet (WAN).
Podemos hacer esto utilizando el editor de registros creando un “registro” con ciertas características:
Para eso vamos a => INICIO=>EJECUTAR, y ahi tipeamos "regedit" (Sin las comillas)
Primero que nada vamos a guardar una copia de seguridad de nuestro registro:
Ahora vamos a => ARCHIVO=>EXPORTAR
[Tienes que estar registrado y conectado para ver esa imagen]
Después de hacer eso nos aparece esta ventana:
[Tienes que estar registrado y conectado para ver esa imagen]
Ponemos el nombre del archivo backup, seleccionamos un directorio y después hacemos click en guardar.
Ahora vamos a => HKey_Local_Machine/ System/CurrentControlSet/ Services/ Tcpip/ Parameters (Para Equipos basados enla arquitectura NT, como Windows 2000 o XP)
Ubicados en esa ruta
Colocan los siguientes valores DWORD:
EnableICMPRedirect = 0
SynAttackProtect = 2
TCPMaxConnectResponseRetransmissions = 2
TCPMaxHalfOpen = 500
TCPMaxHalfOpenRetired = 400
TCPMaxPortsExhausted = 5
TCPMaxDataRetransmissions = 3
EnableDeadGWDetect = 0
EnablePMTUDiscovery = 0
NoNameReleaseOnDemand = 1
PerformRouterDiscovery = 0
En Windows 2003 se ha habilitado otro tipo de protección.
Afd.sys puede usar la copia de seguridad dinámica del Registro,configurable, en lugar de hacerlo con la copia de seguridad estática.
Para eso vamos a => HKey_Local_Machine/ System/ CurrentControlSet/ Services/ AFD/ Parameters
Valores DWORD:
EnableDynamicBacklog = 1
MinimumDynamicBacklog = 20
MaximumDynamicBacklog = 20000
DynamicBacklogGrowthDelta = 10
¿Para que sirve cada valor?
EnableICMPRedirect = 0(Se deshabilitan las redirecciones ICMP, impidiendo que un ataque se redirija a un tercero).
SynAttackProtect = 2 (Establece el límite SYN,para que no se cree una situación en la que la conexión TCP se bloqueeen un estado semi abierto. La configuración predeterminada es 0. Unvalor de 2 controla la caducidad de las conexiones abiertas y medioabiertas).
TCPMaxConnectResponseRetransmissions = 2(Determina las veces que TCP transmite un mensaje SYN/ACK que no esrespondido. TCP retransmite confirmaciones hasta alcanzar el número deeste valor).
TCPMaxHalfOpen = 500 (Número de conexiones queel servidor puede mantener en estado semi abierto antes de que TCP/IPinicie la protección contra ataques SYN).
TCPMaxHalfOpenRetired = 400 (Número deconexiones que el servidor puede mantener en estado semi abierto,incluso después de retransmitir una conexión. Si se sobrepasa estaentrada, TCP/IP inicia la protección contra ataques SYN).
TCPMaxPortsExhausted = 5 (Número de solicitudes de conexión que el sistema rechazará antes de que TCP/IP inicie la protección contra ataques SYN).
TCPMaxDataRetransmissions = 3 (Número de veces que TCP retransmite un segmento de datos desconocido en una conexión existente).
EnableDeadGWDetect = 0 (Determina si elordenador tiene que detectar puertas de enlace inactivas. Un valor de 1implica que el sistema solicite a TCP que cambie a una puerta de enlacede reserva en caso de conexiones con problemas. Las puertas de enlacede reserva están definidas en ersonName productid="laConfiguración TCP" w:st="on">la ConfiguraciónTCPersonName>/IP, en Red, del Panel de control).
EnablePMTUDiscovery = 0 (Determina si estáhabilitado el descubrimiento MTU de ruta de acceso, donde TCP descubreel paquete de mayor tamaño en la ruta a un host remoto).
DisableIPSourceRouting = 2 (Determina si un Equipo permite que losclientes conectados establezcan la ruta que los paquetes deben seguirhasta su destino. Un valor de 2 impide el enrutamiento de origen de lospaquetes IP).
NoNameReleaseOnDemand = 1 (Determina si elEquipo libera su nombre NetBIOS a otro Equipo que lo solicite o si unpaquete malintencionado quiere apropiarse del nombre NetBIOS).
PerformRouterDiscovery = 0 (Determina si elEquipo realiza un descubrimiento del router de esta tarjeta. Eldescubrimiento solicita la información del router y agrega lainformación a una tabla de ruta -ARP-. El valor de 0 incluso impide elenvenenamiento ARP).
EnableDynamicBacklog = 1 (Alterna entre el usode una copia de seguridad estática y una dinámica del Registro. Elvalor predeterminado es 0, lo que únicamente permite el uso de la copiade seguridad estática)
MinimumDynamicBacklog = 20 (Número mínimo deconexiones permitidas a la escucha. Si las conexiones libres desciendenpor debajo de este valor se crea un subproceso para crear conexioneslibres adicionales. Un valor demasiado grande reduce el rendimiento delEquipo)
MaximumDynamicBacklog = 20000 (Número máximode conexiones libres y medio abiertas. Más allá de este valor no habráconexiones libres adicionales, al estar limitado).
DynamicBacklogGrowthDelta = 10 (Número deextremos Winsock en cada conjunto de asignación solicitado por elEquipo. Un número demasiado elevado provoca que los recursos delsistema se ocupen de forma innecesaria).
¿No sabes como crear un Valor?
Nos ubicamos en la ruta => HKey_Local_Machine/ System/ CurrentControlSet/ Services/ Tcpip/ Parameters
o en => HKey_Local_Machine/ System/ CurrentControlSet/ Services/ AFD/ Parameters (Como muestra la imagen)
Hacemos click derecho y nos aparece esto:
Para editarle la informacion del valor al Valor DWORD hacemos click derecho al Valor DWORD=>MODIFICAR=>INFORMACION DE VALOR (Ahi ponemos el numero)
Una ves echo todo esto, nos tiene que quedar asi en:
HKey_Local_Machine/ System/ CurrentControlSet/ Services/ Tcpip/ Parameters
[Tienes que estar registrado y conectado para ver esa imagen]
y en HKey_Local_Machine/ System/ CurrentControlSet/ Services/ AFD/ Parameters nos tiene que quedar asi (Solo Windows 2003) :
[Tienes que estar registrado y conectado para ver esa imagen]
¿Como funciona el ataque?
[Tienes que estar registrado y conectado para ver esa imagen]
Créditos:
Tuservermu: Información de valores e información de ataques DoS.
Saludos.
Buscando por la red info sobre seguridad encontré algo bastante interesante.
Acá les dejo la guia.
Como todos saben los ataques de denegación de servicio, conocidos comoDoS, intentan aprovechar los fallos del protocolo TCP/IP para saturarel tráfico e impedir que la información llegue al equipo afectado.
Si bien es cierto hasta la fecha era muy difícil impedir un ataque DoSa equipos basados en la arquitectura NT, como Windows 2000 o XP; noocurre así lo mismo con el kernel de Linux (caso que no tratare acá porestar centrados en la arquitectura necesaria para correr servidores deMuonline). Sin embargo, he encontrado un modo de reforzar la pila delprotocolo TCP/IP en Windows; ya sea en redes internas (LAN) o redesconectadas a Internet (WAN).
Podemos hacer esto utilizando el editor de registros creando un “registro” con ciertas características:
Para eso vamos a => INICIO=>EJECUTAR, y ahi tipeamos "regedit" (Sin las comillas)
Primero que nada vamos a guardar una copia de seguridad de nuestro registro:
Ahora vamos a => ARCHIVO=>EXPORTAR
[Tienes que estar registrado y conectado para ver esa imagen]
Después de hacer eso nos aparece esta ventana:
[Tienes que estar registrado y conectado para ver esa imagen]
Ponemos el nombre del archivo backup, seleccionamos un directorio y después hacemos click en guardar.
Ahora vamos a => HKey_Local_Machine/ System/CurrentControlSet/ Services/ Tcpip/ Parameters (Para Equipos basados enla arquitectura NT, como Windows 2000 o XP)
Ubicados en esa ruta
Colocan los siguientes valores DWORD:
EnableICMPRedirect = 0
SynAttackProtect = 2
TCPMaxConnectResponseRetransmissions = 2
TCPMaxHalfOpen = 500
TCPMaxHalfOpenRetired = 400
TCPMaxPortsExhausted = 5
TCPMaxDataRetransmissions = 3
EnableDeadGWDetect = 0
EnablePMTUDiscovery = 0
NoNameReleaseOnDemand = 1
PerformRouterDiscovery = 0
En Windows 2003 se ha habilitado otro tipo de protección.
Afd.sys puede usar la copia de seguridad dinámica del Registro,configurable, en lugar de hacerlo con la copia de seguridad estática.
Para eso vamos a => HKey_Local_Machine/ System/ CurrentControlSet/ Services/ AFD/ Parameters
Valores DWORD:
EnableDynamicBacklog = 1
MinimumDynamicBacklog = 20
MaximumDynamicBacklog = 20000
DynamicBacklogGrowthDelta = 10
¿Para que sirve cada valor?
EnableICMPRedirect = 0(Se deshabilitan las redirecciones ICMP, impidiendo que un ataque se redirija a un tercero).
SynAttackProtect = 2 (Establece el límite SYN,para que no se cree una situación en la que la conexión TCP se bloqueeen un estado semi abierto. La configuración predeterminada es 0. Unvalor de 2 controla la caducidad de las conexiones abiertas y medioabiertas).
TCPMaxConnectResponseRetransmissions = 2(Determina las veces que TCP transmite un mensaje SYN/ACK que no esrespondido. TCP retransmite confirmaciones hasta alcanzar el número deeste valor).
TCPMaxHalfOpen = 500 (Número de conexiones queel servidor puede mantener en estado semi abierto antes de que TCP/IPinicie la protección contra ataques SYN).
TCPMaxHalfOpenRetired = 400 (Número deconexiones que el servidor puede mantener en estado semi abierto,incluso después de retransmitir una conexión. Si se sobrepasa estaentrada, TCP/IP inicia la protección contra ataques SYN).
TCPMaxPortsExhausted = 5 (Número de solicitudes de conexión que el sistema rechazará antes de que TCP/IP inicie la protección contra ataques SYN).
TCPMaxDataRetransmissions = 3 (Número de veces que TCP retransmite un segmento de datos desconocido en una conexión existente).
EnableDeadGWDetect = 0 (Determina si elordenador tiene que detectar puertas de enlace inactivas. Un valor de 1implica que el sistema solicite a TCP que cambie a una puerta de enlacede reserva en caso de conexiones con problemas. Las puertas de enlacede reserva están definidas en ersonName productid="laConfiguración TCP" w:st="on">la ConfiguraciónTCPersonName>/IP, en Red, del Panel de control).
EnablePMTUDiscovery = 0 (Determina si estáhabilitado el descubrimiento MTU de ruta de acceso, donde TCP descubreel paquete de mayor tamaño en la ruta a un host remoto).
DisableIPSourceRouting = 2 (Determina si un Equipo permite que losclientes conectados establezcan la ruta que los paquetes deben seguirhasta su destino. Un valor de 2 impide el enrutamiento de origen de lospaquetes IP).
NoNameReleaseOnDemand = 1 (Determina si elEquipo libera su nombre NetBIOS a otro Equipo que lo solicite o si unpaquete malintencionado quiere apropiarse del nombre NetBIOS).
PerformRouterDiscovery = 0 (Determina si elEquipo realiza un descubrimiento del router de esta tarjeta. Eldescubrimiento solicita la información del router y agrega lainformación a una tabla de ruta -ARP-. El valor de 0 incluso impide elenvenenamiento ARP).
EnableDynamicBacklog = 1 (Alterna entre el usode una copia de seguridad estática y una dinámica del Registro. Elvalor predeterminado es 0, lo que únicamente permite el uso de la copiade seguridad estática)
MinimumDynamicBacklog = 20 (Número mínimo deconexiones permitidas a la escucha. Si las conexiones libres desciendenpor debajo de este valor se crea un subproceso para crear conexioneslibres adicionales. Un valor demasiado grande reduce el rendimiento delEquipo)
MaximumDynamicBacklog = 20000 (Número máximode conexiones libres y medio abiertas. Más allá de este valor no habráconexiones libres adicionales, al estar limitado).
DynamicBacklogGrowthDelta = 10 (Número deextremos Winsock en cada conjunto de asignación solicitado por elEquipo. Un número demasiado elevado provoca que los recursos delsistema se ocupen de forma innecesaria).
¿No sabes como crear un Valor?
Nos ubicamos en la ruta => HKey_Local_Machine/ System/ CurrentControlSet/ Services/ Tcpip/ Parameters
o en => HKey_Local_Machine/ System/ CurrentControlSet/ Services/ AFD/ Parameters (Como muestra la imagen)
Hacemos click derecho y nos aparece esto:
[Tienes que estar registrado y conectado para ver esa imagen] | Haga clic en esta barra para ver la imagen completa. |
Para editarle la informacion del valor al Valor DWORD hacemos click derecho al Valor DWORD=>MODIFICAR=>INFORMACION DE VALOR (Ahi ponemos el numero)
Una ves echo todo esto, nos tiene que quedar asi en:
HKey_Local_Machine/ System/ CurrentControlSet/ Services/ Tcpip/ Parameters
[Tienes que estar registrado y conectado para ver esa imagen]
y en HKey_Local_Machine/ System/ CurrentControlSet/ Services/ AFD/ Parameters nos tiene que quedar asi (Solo Windows 2003) :
[Tienes que estar registrado y conectado para ver esa imagen]
¿Como funciona el ataque?
[Tienes que estar registrado y conectado para ver esa imagen]
Créditos:
Tuservermu: Información de valores e información de ataques DoS.
Saludos.
Última edición por Sr.Tompson el 2010-11-09, 21:00, editado 1 vez
Sr.Tompson- Miembro
-
~ New User ~
Mensajes : 19
Cash Point : 25735
Prestigio : 5
Registro : 09/11/2010
Localización : Almorzando con Mirta Legrand
Edad : 28
Re: Evitar ataque DoS/Turbinas
che si es un tutorial pone de icono el: [Tienes que estar registrado y conectado para ver esa imagen]
Sebastian- Leyenda
-
~ El Macho de la caverna ~
Mensajes : 1400
Cash Point : 33192
Prestigio : 2239
Registro : 09/11/2010
Localización : Buenos Aires.
Edad : 28
Temas similares
» [Guia]Evitar Ataques DoS/Turbinas
» [Server] Como Evitar las Turbinas Volk
» Evitar crasheo de GS mediante WPE PRO
» [Aporte] Anti-DOS / Turbinas
» [Aporte] FireHosted está bajo un ataque DoS, de nuevo por Alan Sardóni
» [Server] Como Evitar las Turbinas Volk
» Evitar crasheo de GS mediante WPE PRO
» [Aporte] Anti-DOS / Turbinas
» [Aporte] FireHosted está bajo un ataque DoS, de nuevo por Alan Sardóni
Página 1 de 1.
Permisos de este foro:
No puedes responder a temas en este foro.