服務器安全（三） (5)

要過濾所有的ICMP報文只需要將類型和編碼都設置為255）
　　細心的朋友剛才可能已經發現，在輸入、輸出過濾器的下面，還有一個"碎片檢查"功能，這個功能使用來
應付IP碎片攻擊的，這已經超出了本文所討論的范圍，我會在以后的拒絕服務攻擊的文章中繼續和大家一起探
討的。Win2000的路由及遠程訪問是一個功能非常強大的工具集
4.改變windows系統的一些默認值（例如：數據包的生存時間(TTL)值，不同系統有不同的值，有經驗的人
可以根據TTL的不同的值判斷對方使用的是何種操作系統（例如windows 2000默認值128），我改改改，看你怎
么看)
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)
說明:指定傳出IP數據包中設置的默認生存時間(TTL)值.TTL決定了IP數據包在到達
目標前在網絡中生存的最大時間.它實際上限定了IP數據包在丟棄前允許通過的路由
器數量.有時利用此數值來探測遠程主機操作系統.
5.防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
EnableICMPRedirects REG_DWORD 0x0(默認值為0x1)
說明:該參數控制Windows 2000是否會改變其路由表以響應網絡設備(如路由器)發送給它的ICMP重定向消息,有
時會被利用來干壞事.Win2000中默認值為1,表示響應ICMP重定向報文.
6.禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
PerformRouterDiscovery REG_DWORD 0x0(默認值為0x2)
說明:“ICMP路由公告”功能可造成他人計算機的網絡連接異常,數據被竊聽,計算機被用于流量攻擊等嚴重后果
.此問題曾導致校園網某些局域網大面積,長時間的網絡異常.因此建議關閉響應ICMP路由通告報文.Win2000中默
認值為2,表示當DHCP發送路由器發現選項時啟用
7.防止SYN洪水攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
SynAttackProtect REG_DWORD 0x2(默認值為0x0)
說明:SYN攻擊保護包括減少SYN-ACK重新傳輸次數,以減少分配資源所保留的時
間.路由緩存項資源分配延遲,直到建立連接為止.如果synattackprotect=2,
則AFD的連接指示一直延遲到三路握手完成為止.注意,僅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried設置超出范圍時,保護機制才會采取措施.
8.禁止C$、D$一類的缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
AutoShareServer、REG_DWORD、0x0
9.禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
AutoShareWks、REG_DWORD、0x0
10.限制IPC$缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用戶無法列舉本機用戶列表
0x2 匿名用戶無法連接本機IPC$共享
說明:不建議使用2，否則可能會造成你的一些服務無法啟動，如SQL Server
11.不支持IGMP協議
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
IGMPLevel REG_DWORD 0x0(默認值為0x2)
說明:記得Win9x下有個bug,就是用可以用IGMP使別人藍屏,修改注冊表可以修正這個
bug.Win2000雖然沒這個bug了,但IGMP并不是必要的,因此照樣可以去掉.改成0后用
route print將看不到那個討厭的224.0.0.0項了.
12.設置arp緩存老化時間設置
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值為120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值為600)
說明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,則引用或未引用的ARP緩存項在ArpCacheLife
秒后到期.如果ArpCacheLife小于阿ARPCacheMinReferencedLife,未引用項在ArpCacheLife秒后到期,而引用項
在ArpCacheMinReferencedLife秒后到期.每次將出站數據包發送到項的IP地址時,就會引用ARP緩存中的項。
13.禁止死網關監測技術
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
EnableDeadGWDetect REG_DWORD 0x0(默認值為ox1)
說明:如果你設置了多個網關,那么你的機器在處理多個連接有困難時,就會自動改用備份網關.有時候這并不是
一項好主意,建議禁止死網關監測.
14.不支持路由功能
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
IPEnableRouter REG_DWORD 0x0(默認值為0x0)
說明:把值設置為0x1可以使Win2000具備路由功能,由此帶來不必要的問題.
15.做NAT時放大轉換的對外端口最大值
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
MaxUserPort REG_DWORD 5000-65534(十進制)(默認值0x1388--十進制為5000)
說明:當應用程序從系統請求可用的用戶端口數時,該參數控制所使用的最大端口數.正常情況下,短期端口的分
配數量為1024-5000.將該參數設置到有效范圍以外時,就會使用最接近的有效數值(5000或65534).使用NAT時建
議把值放大點.
16.修改MAC地址
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass
找到右窗口的說明為"網卡"的目錄,
比如說是{4D36E972-E325-11CE-BFC1-08002BE10318}
展開之,在其下的0000,0001,0002...的分支中找到"DriverDesc"的鍵值為你網卡的說明,比如說"DriverDesc"的
值為"Intel(R) 82559 Fast Ethernet LAN on Motherboard"然后在右窗口新建一字符串值,名字為
"Networkaddress",內容為你想要的MAC值，比如說是"004040404040"然后重起計算機，ipconfig /all看看.
17. 系統默認banner的修改
IIS BANNER 的 DLL 文件放在C:WINNTSYSTEM32INETSRV 目錄下面的，其中對應關系是：
WEB是：C:WINNTSYSTEM32INETSRVW3SVC.DLL
FTP是： C:WINNTSYSTEM32INETSRVFTPSVC2.DLL
SMTP是：C:WINNTSYSTEM32INETSRVSMTPSVC.DLL
注意：
在修改的時候請停止 IIS的服務，可以用 iisreset /stop 。
由于 2000系統后臺的文件保護機制的作用，當系統一旦發現重要的 DLL文件被修改后就會嘗試用
%SYSTEMROOT%system32dllcache 目錄下的備份文件來進行恢復，所以在修改前我們還需要事先刪除
%SYSTEMROOT%system32dllcache目錄下的同名文件

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]