Wenn Sie Ihren 4D Webserver unter Microsoft Windows Server 2003 Service Pack 1 einsetzen kann es bei hohen Besucherzahlen und Trafficaufkommen auftreten, dass der 4D Webserver nicht richtig auf die Client anfragen antwortet (z.B. Bilder werden nicht angezeigt, Webseiten werden nicht vollständig geladen etc.).
Das Problem liegt nicht am 4D Webserver sondern an den neuen Netzwerkfeatures von Windows Server 2003 SP1, Stichwort "SYN-Angriffe".
Der Schutz vor SYN-Angriffen ist standardmäßig unter Windows Server 2003 SP1 aktiviert.
Auszug vom Microsoft TechNet Artikel:
Ein TCP-SYN-Angriff (Synchronize) ist ein DoS-Angriff (Denial-of-Service), der mit Hilfe von SYN-ACK-Segmenten (Synchronize-Acknowledgement) währen des TCP-Dreiwege-Handshakes ausgeführt wird. Ein solcher Angriff erzeugt eine große Menge an halboffenen TCP-Verbindungen. Abhängig von der Implementierung des TCP/IP-Protokolls kann eine große Menge an halboffenen Verbindungen zu folgenden Situationen führen:
. Der gesamte zur Verfügung stehende Speicher wird ausgelastet.
. Es wird die maximale Anzahl von Einträgen im TCP Transmission Control Block (TCB) - einer internen Tabelle, in der alle TCP-Verbindungen eingetragen werden - verwendet. Weitere Verbindungen sind somit nicht mehr möglich.
. Es wird die maximale Anzahl an halboffenen Verbindungen verwendet. Auch hier sind keine weiteren TCP-Verbindungen mehr möglich.
Um eine große Anzahl an halboffenen TCP-Verbindungen zu erstellen, senden Angreifer eine große Menge an SYN-Segmenten - jedes Segment verwendet hierbei eine gefälschte IP-Adresse und TCP-Portnummer. Auf die vom Opfer zurückgesendeten SYN-ACKs wird nicht reagiert. SYN-Angriffe werden häufig dazu genutzt, Internetserver lahm zu legen.
Um die Auswirkungen eines SYN-Angriffs zu verringern, minimiert TCP/IP die Menge der für unvollständige TCP-Verbindung verfügbaren Ressourcen und verringert die Zeit bis zum Abbruch der unvollständigen Verbindungen. Wenn ein SYN-Angriff erkannt wird, verringert TCP/IP unter Windows Server 2003 und Windows XP die Anzahl der neu übermittelten SYN-ACK-Segmente. Außerdem wird kein Speicher reserviert, und es werden keine Einträge in der Tabelle angelegt - dies geschieht erst dann, wenn der TCP-Dreiwege-Handshake vollständig ist.
Sie können den Schutz vor SYN-Angriffen über den Registrierungswert SynAttackProtect unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters (REG_DWORD) konfigurieren. Um den Schutz zu deaktivieren, setzen Sie den Wert SynAttackProtect auf 0. Zur Aktivierung muss der Wert mit 1 konfiguriert werden.
Unter Windows XP (alle Versionen) und Windows Server 2003 ohne Service Pack ist der Wert SynAttackProtect standardmäßig mit 0 konfiguriert. Unter Windows Server 2003 SP1 hat er standardmäßig den Wert 1.
Eine ausführliche Beschreibung zu den neuen Netzwerkfeatures von Windows Server 2003 SP1 finden Sie unter: http://www.microsoft.com/germany/technet/datenbank/articles/600514.mspx
Weitere Artikel: Absichern des TCP/IP-Stacks: http://www.microsoft.com/germany/msdn/library/security/ErhoehenDerSicherheitVonWebanwendungen/secmod109.mspx?mfr=true
SYN-Flood: http://de.wikipedia.org/wiki/SYN-Flood
International |
Firmenprofil | Kontakt
| Site Map | © 4D 1995 - 2007 | Schriftgröße
ändern: [A]
[A]
[A] |
- * Externer Link